SQL注入详解

今天给各位分享SQL注入详解的知识，其中也会对进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

首先是用户可以控制输入；

第二个是原始程序要执行的代码，与用户输入的数据拼接在一起。

varsql=’select*fromtableNamewherename=”+’测试’+”’;这个“拼接”过程非常重要，正是这个拼接过程导致了代码注入。

如果是更新/删除语句，可能会产生严重的后果。

在SQL注入过程中，如果网站的Web应用抛出异常信息，例如攻击者在参数中输入单引号“’”，导致执行查询语句出现语法错误，错误信息显示在对于攻击者来说，构造SQL注入语句会更加方便。

当Web应用程序不显示异常信息时，可以使用“盲注入”技术。

2. 盲注

所谓“盲注入”，就是在服务器没有错误回显的情况下完成的注入攻击。服务器没有错误回显，这对攻击者来说缺乏非常重要的“调试信息”，因此攻击者必须想办法验证注入的SQL语句是否被执行。

最常见的盲注入验证方法是构造一个简单的条件语句，根据返回的页面是否发生变化来判断SQL语句是否已经执行。

例如，一个应用程序的URL如下：

http://localhost:88/person.aspx?id=2执行的SQL语句为：

select*fromtableNamewhereid=2如果攻击者构造了以下条件语句：

http://localhost:88/person.aspx?id=2and1=2实际执行的SQL语句会变成：

select*fromtableNamewhereid=2and1=2因为“and 1=2”始终是一个假命题，所以这条SQL语句的“and”条件永远不能成立。对于Web应用程序来说，结果不会返回给用户，攻击者看到的页面结果将是空的或错误页面。

为了进一步确认注入存在，攻击者还必须再次验证该过程。由于某些处理逻辑或安全功能，当攻击者构造异常请求时，也可能导致页面异常返回。攻击者继续构造以下请求：

http://localhost:88/person.aspx?id=2and1=1 当攻击者构造条件“and 1=1”时，如果页面正常返回，说明SQL语句的“and”执行成功，那么就可以判断表明“id”参数存在SQL注入漏洞。

在本次攻击过程中，虽然服务器关闭了错误回显，但攻击者可以通过简单的条件判断、比较页面返回结果的差异来判断是否存在SQL注入漏洞。这就是盲注的运作方式。

3. 定时攻击

使用MySQL的BENCHMARK()函数，可以多次执行同一个函数，使得结果返回时间比平时更长；通过时间的变化，可以判断注入语句是否执行成功。这是一种旁道攻击，这种技术在盲注中被称为“定时攻击”。

或者使用Microsoft SQL Server 的waitfordelay ‘0:0:5’，用于指定等待时间。如果该语句注入成功，将会导致数据库返回记录以及Web请求响应延迟特定的时间。由于该语句不涉及条件判断等情况，所以很容易注入成功。根据Web请求是否存在延迟，渗透测试人员可以判断网站是否存在注入漏洞。同时，由于该语句没有返回具体内容，因此也是盲注的一个重要检测手段。

例如构造的攻击参数id值为：

select*fromemployeewhereid=1if(SUBSTRING(DB_NAME(),1,1)=’t’)waitfordelay’0:0:5’这条sql判断数据库名首字母是否为t。如果判断结果为true，则SQL执行延迟将是由waitfor延迟’0:0:5’引起的；如果不为真，则该语句将被快速执行。攻击者迭代所有字母，直到验证整个数据库名称。

4.数据库攻击技巧

发现SQL 注入漏洞仅仅是一个开始。要实施完整的攻击，还需要做更多的工作。将介绍一些有代表性的SQL注入技术。了解这些技术将有助于您更深入地了解SQL注入的攻击原理。

例如构造的攻击参数id值如下，使用union select分别确认表名admin和列名passwd是否存在：

select*fromemployeewhereid=1unionallselect1fromamdinselect*fromemployeewhereid=1unionallselect1,passwordfromamdin 另外，如果你想猜测用户名和密码的具体值，可以通过判断字符范围来逐步读出：

select*fromemployeewhereid=1IFASCII(SUBSTRING((selecttop1cityfromCustomers),1,1))=49WAITFORDELAY’0:0:5’这个过程非常繁琐，所以非常有必要使用自动化工具来帮助完成整个过程。 sqlmap.py是一个非常好的自动化注入工具。

5、命令执行

在MS SQL Server中，可以直接使用存储过程“xp_cmdshell”来执行系统命令。

在MS SQL Server 中，存储过程“xp_cmdshell”是臭名昭著的。无数的黑客教程使用它在注入SQL Server时执行系统命令：

execmaster.dbo.xp_cmdshell’cmd.exedirc:’execmaster.dbo.xp_cmdshell’ping’ 除了xp_cmdshell之外，还有一些其他存储过程在攻击过程中也有帮助。例如

xp_regread可以操作注册表；

xp_servicecontrol，允许用户启动和停止服务；

xp_terminate_process，提供进程的进程ID，终止该进程。

xp_ntsec_enumdomains，列出服务器可以进入的域。

xp_loginconfig，获取服务器安全信息。

xp_dirtree，允许获取目录树。

6.SQL自动注入工具

学习了SQL注入的相关知识和技术后，当发现SQL注入漏洞时，一般需要在Web应用后台发送大量请求，从远程数据库获取所需信息。这种手动检测方法耗时且效率较低。低，一些专门的软件可以帮助我们检测到。要正确运行这些软件，您只需根据界面提示进行相关操作即可。这些软件主要包括：

穿山甲（pangolin），其网站地址为：http://www.xmarks.com/s/site/www.nosec-inc.com/en/products/pangolin/。

SQLMap，网站地址为：http://sqlmap.sourceforge.net。

山猫，网站地址为：http://www.northern-monkee.co.uk/projects/bobcat/bobcat.html。

BSQL，网址为：http://code.google.come/p/bsq;jacler/。

Havij，网站地址为：http://itsecteam.com/en/projects/project1.htm。

SQLInjector，网址为：http://www.woanware.co.uk/?page_id=19。

7.正确防御SQL注入

从防守的角度来看，有两件事要做：

（1）查找所有SQL注入漏洞；

(2) 修补这些漏洞。

8. SQL注入的代码层防御：编写Web应用程序时如何防御代码

输入验证防御（JS前端）

输入验证是指在用户提交表单数据之前，使用一定的规则来验证网页代码中输入数据的合法性。这里的验证不仅要验证数据的类型，还需要使用正则表达式或者业务逻辑来验证数据的内容是否符合要求。

Web服务器端数据验证

1. ASP.NET应用程序通过System.Web.HttpRequest类获取用户提交的输入。此类包含Web 应用程序用来访问用户提交的数据的许多属性和方法。如下表所示：

https://docs.microsoft.com/zh-cn/dotnet/api/microsoft.aspnetcore.http.httprequest?view=aspnetcore-5.0

https://res.weread.qq.com/wrepub/epub_26211899_816

API.jfif用于在ASP.NET平台获取用户提交的数据

接收的参数主要有四种类型，分别是Form参数、URL参数、Cookies参数和Session参数。例如，在Web服务器上通过ASP获取这些参数的语句如下。

Form参数的读取：UserName=Request.Form[‘User1’];

读取URL参数：UserName=Request.QueryString[‘User1’];

读取Cookies参数：UserName=Request.Cookies[‘User1’];

Session参数读取：UserName=Session[‘User1’];

检查输入数据的数据类型。例如，在输入时间和日期时，必须严格遵循时间和日期的格式等，避免损坏用户数据。然而，数据类型检查并不是万能的。如果需求需要用户提交字符串，比如一篇短文章，则需要依靠其他方法来防止SQL注入。

通过代码过滤防御：过滤关键字

‘xp_cmdshell’,’截断’,’转储’,’netuser’,’–‘,’/*’,’删除’,’更新’,’插入’,’执行’,’计数(‘,’恢复’ ,’netlocalgroup’,’asc’,’execute’,’desc’,’drop’,’truncate’,’char’,’grant’,’master’,’netlocalgroupadministrators’正确防御SQL注入：

还有大量应用程序允许用户指定排序键（ASC 或DESC）

1.参数化参数