sql判断相等_Web安全：SQL注入漏洞

 一次性付费进群&＃xff0c;长期免费索取教程&＃xff0c;没有付费教程。

进微信群回复公众号&＃xff1a;微信群&＃xff1b;QQ群&＃xff1a;460500587

微信公众号&＃xff1a;计算机与网络安全

ID&＃xff1a;Computer-network

SQL注入漏洞指攻击者通过构建特殊的输入作为参数传入Web应用。这些输入大都是SQL语法里的一些组合&＃xff0c;通过执行SQL语句进而执行攻击者所需要的操作。其主要原因是程序没有细致地过滤用户输入的数据&＃xff0c;导致攻击数据植入程序被当作代码执行。

我们通过SQL注入漏洞&＃xff0c;可以得到目标站点的敏感数据(如数据库中的账号和密码、目标站点的绝对路径等)。然后&＃xff0c;若条件允许&＃xff0c;我们可以通过sqlmap交互式写shell&＃xff0c;得到目标站点的shell。得到shell之后&＃xff0c;可以下载目标站点的代码。此时&＃xff0c;我们可以对目标站点的代码进行审计&＃xff0c;判断是否有数据库连接敏感信息&＃xff0c;是否有旁站&＃xff0c;是否有权限进入旁站等。

我们现在已经知道SQL注入漏洞的原理了&＃xff0c;接下来介绍MySQL的SQL注入。在此提醒下大家&＃xff0c;别把SQL注入的对象弄错了&＃xff0c;是MySQL(数据库)的SQL注入&＃xff0c;而非网上流传的脚本注入&＃xff0c;如PHP注入。要知道&＃xff0c;SQL注入的本质是针对数据库而非脚本语言的。首先&＃xff0c;在PHP中&＃xff0c;两个单引号闭合的信息是字符串&＃xff0c;两个双引号闭合的信息最终也是字符串。只是&＃xff0c;程序会搜索双引号闭合的信息中是否有可执行的运算&＃xff0c;如有&＃xff0c;就执行运算&＃xff0c;如没有&＃xff0c;就不执行运算&＃xff1b;而对于单引号&＃xff0c;则不会去搜索&＃xff0c;默认闭合的信息中全部都是不可执行的字符串。其实&＃xff0c;双引号只比单引号多执行了一个搜索算法而已。这样看来&＃xff0c;被单引号闭合的信息的执行效率还是要比双引号要高一些。所以&＃xff0c;我建议大家用单引号闭合那些纯粹的字符串&＃xff0c;用双引号闭合那些存在可执行运算的字符串。这是一个PHP编程的好习惯&＃xff0c;例如以下代码。

$user &＃61; addslashes($_GET[&＃39;a&＃39;]);

$sql &＃61; "select host,user,password from user where user&＃61;&＃39;$user&＃39;";

$res &＃61; mysql_query($sql);

$row &＃61; mysql_fetch_array($res);

var_dump($row);

事实上&＃xff0c;在这段代码中&＃xff0c;我们可以将$sql变量看作用双引号闭合的且存在可执行运算的字符串。当PHP的Lex或者Yacc解析到第一个双引号时&＃xff0c;就会去找第二个双引号&＃xff0c;两个双引号都找到之后&＃xff0c;自然就明白了&＃xff0c;原来这些信息都是被这对双引号闭合的。因此&＃xff0c;继续按照双引号闭合的规则解析。规则为&＃xff0c;搜索可执行运算&＃xff0c;有则计算处理&＃xff0c;没有则不计算处理&＃xff1b;然后&＃xff0c;将总的处理结果作为纯粹的字符串返回$sql变量中。

接下来介绍SQL注入分类&＃xff0c;一般将SQL注入分为3类&＃xff1a;数字型SQL注入、字符型SQL注入及搜索型SQL注入。在此&＃xff0c;我们从另一个角度来深入了解SQL注入的本质并读懂SQL注入真正的内涵。例如&＃xff0c;大家分析以下这段PHP代码有没有MySQL的SQL注入(DB是MySQL)。

$user &＃61; addslashes($_GET[&＃39;a&＃39;]);

$sql &＃61; "select host,user,password from user where user&＃61;&＃39;$user&＃39;";

$res &＃61; mysql_query($sql);

$row &＃61; mysql_fetch_array($res);

var_dump($row);

看到这段代码&＃xff0c;我们应该想到的是magic_quotes_gpc是否开启(没开启就只是利用addslashes函数在此转义&＃xff0c;开启了这里就是双重转义)&＃xff1b;此处有没有MySQL的宽字节注入(考虑PHP与MySQL的代码是否一致)&＃xff1b;单引号与双引号在此处的含义。SQL注入测试文件sql_inject.php&＃xff0c;其代码如下。

//连接数据库

$conn &＃61; mysql_connect(&＃39;127.0.0.1&＃39;,&＃39;root&＃39;,&＃39;root&＃39;);

mysql_select_db(&＃39;mysql&＃39;,$conn);

//$user &＃61; addslashes($_GET[&＃39;a&＃39;]);

$user &＃61; $_GET[&＃39;a&＃39;];

$sql &＃61; "select host,user,password from user where user&＃61;&＃39;$user&＃39;"; echo $sql;

echo &＃39;
&＃39;;

$res &＃61; mysql_query($sql);

$row &＃61; mysql_fetch_array($res);

var_dump($row);

?>

开启浏览器&＃xff0c;输入http://localhost:81/sql_inject.php?a&＃61;123&＃39; or &＃39;1&＃39;&＃61;&＃39;1&＃xff0c;Web服务器返回如下信息。

select host,user,password from user where user&＃61;&＃39;123&＃39; or &＃39;1&＃39;&＃61;&＃39;1&＃39;

array(6) { [0]&＃61;> string(9) "localhost" ["host"]&＃61;> string(9)

"localhost" [1]&＃61;> string(4) "root" ["user"]&＃61;> string(4) "root"

[2]&＃61;> string(41) "*81F5E21E35407D884A6CD4A731AEBFB6AF209E1B"

["password"]&＃61;> string(41) "*81F5E21E35407D884A6CD4A731AEBFB6AF209E1B" }

显示注入已经成功了&＃xff0c;暴出了root。

host | user | password

localhost | root | *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B

127.0.0.1 | root | *81F5E21E35407D884A6CD4A731AEBFB6AF209E1B

其实&＃xff0c;当我们输入123&＃39; or &＃39;1&＃39;&＃61;&＃39;1并提交请求的时候&＃xff0c;$sql变量的值也随着变成select host,user,password from user where user&＃61;&＃39;123&＃39; or &＃39;1&＃39;&＃61;&＃39;1&＃39;。这段语句就是SQL语句&＃xff0c;由MySQL解析执行。其实您会发现&＃xff0c;这段SQL语句执行后&＃xff0c;已经把user表里所有用户的信息都查询出来了。我们来分析一下为什么会这样。问题就出在where条件语句中&＃xff0c;即user&＃61;&＃39;123&＃39; or &＃39;1&＃39;&＃61;&＃39;1&＃39;。这句话的意思就是&＃xff0c;只要user表中的user字段满足其值等于123或者&＃39;1&＃39;&＃61;&＃39;1&＃39;的这个条件&＃xff0c;就执行前面的select查询。大家仔细想想&＃xff0c;这里的运算是不是有问题&＃xff0c;运算结果是不是永远都返回为true。

我们可以先来了解下运算的优先级&＃xff0c;其口诀为&＃xff0c;先算术&＃xff0c;后关系&＃xff0c;再逻辑。其含义为&＃xff0c;在逻辑表达式中&＃xff0c;混有算术运算&＃xff0c;要先进行算术(加减乘除)运算&＃xff0c;再进行关系(大小比较)运算&＃xff0c;最后进行逻辑(或、且、非)运算&＃xff0c;得到真假(true或 false)结果。所以&＃xff0c;在select host,user,password from user where user&＃61;&＃39;123&＃39; or&＃39;1&＃39;&＃61;&＃39;1&＃39;中&＃xff0c;先进行算术运算&＃xff0c;若无算术运算&＃xff0c;则看关系运算&＃xff0c;&＃39;1&＃39;&＃61;&＃39;1&＃39; 就是关系运算。由于这两者相等&＃xff0c;所以&＃xff0c;这句关系运算结果返回true。此时&＃xff0c;SQL语句就变成了select host,user,password from user where user&＃61;&＃39;123&＃39; or true&＃xff0c;我们继续进行关系运算&＃xff0c;user&＃61;&＃39;123&＃39;吗&＃xff1f;user肯定不等于123&＃xff0c;其实user&＃61;root&＃xff0c;看看数据库就明白了。所以&＃xff0c;这句关系运算的代码执行后返回false。此时&＃xff0c;SQL语句又变成了select host,user,password from user where false or true&＃xff0c; where条件语句里面就只有“false or true”这个条件了。这是什么运算&＃xff1f;这已经是逻辑运算了&＃xff0c;真或假运算的结果是真还是假&＃xff0c;这里就不解释了。执行效果如图1所示。

图1  执行SQL语句(1)

最后&＃xff0c;来解释下这句SQL语句&＃xff1a;select host,user,password from user where false or true。这句SQL语句中的false or true部分的执行结果是true。此时&＃xff0c;这句SQL语句就变成了select host,user,password from user where true&＃xff0c;where语句后面的条件始终是true。也就是说&＃xff0c;条件始终都是真。我们的SQL语句执行的充分非必要事件就是where语句后面的条件恒为真。那么此时&＃xff0c;执行select查询就是必然的事情了。这里可以列举C语言里面的一个循环语句来说明问题&＃xff0c;它们如出一辙&＃xff1a;where (true){//do something…}&＃xff0c;大家觉得它与此是不是一个道理呢&＃xff1f;这样大家应该明白SQL注入的本质了吧&＃xff1f;只要能构造出语法正确的SQL语句&＃xff0c;注入不是难事。还有一点&＃xff0c;需要明白3种运算的优先级关系。执行效果如图2所示。

图2  执行SQL语句(2)

例1&＃xff1a;如果某站id参数存在数字型SQL注入漏洞&＃xff0c;攻击者就能在浏览器(借助插件HackBar)中构造并提交攻击测试语句。然后发送至服务器&＃xff0c;攻击测试语句为id&＃61;1) UNION ALL SELECT CONCAT(user()),NULL,NULL,NULL,NULL,NULL…。接下来&＃xff0c;服务器返回敏感信息至浏览器&＃xff0c;即数据库用户信息&＃xff0c;信息为root&＃64;*.*.219.248&＃xff0c;如图3所示。

图3  数字型SQL注入之敏感信息泄露

例2&＃xff1a;如果某站fromCity参数存在字符型SQL注入漏洞&＃xff0c;攻击者就能在浏览器(借助插件HackBar)中构造并提交攻击测试语句&＃xff0c;然后发送至服务器。攻击测试语句为fromCity&＃61;6F9619FF-8A86-D011-B42D-00004FC964FF&＃39; UNION ALL SELECT user--?。接下来&＃xff0c;服务器返回敏感信息至浏览器&＃xff0c;即数据库用户名信息。数据库用户名信息为swwl&＃xff0c;而且Web物理地址也泄露了&＃xff0c;Web物理地址&＃xff1a;F:\项目\&＃xff0c;如图4所示。

例3&＃xff1a;如果某站doccatid参数存在搜索型SQL注入漏洞&＃xff0c;攻击者就能在浏览器的搜索框中构造并提交攻击测试语句&＃xff0c;然后发送至服务器。攻击测试语句为doccatid&＃61;(case when 1 like 1 then 1249014520765 end)。接下来&＃xff0c;服务器将全部文章返回至浏览器&＃xff0c;如图5所示。

图5  搜索型SQL注入敏感信息泄露

可以看到&＃xff0c;这里存在搜索型SQL注入。此时&＃xff0c;攻击者使用Python编写EXP。通过EXP&＃xff0c;攻击者可以查询出敏感信息(如当前数据库的用户等)。

微信公众号&＃xff1a;计算机与网络安全

ID&＃xff1a;Computer-network

【推荐书籍】