黑客攻击的阶段是:侦察、扫描、获得访问权、维护访问权和清除踪迹。基本上就是这样obtain information,那么do something with that information看来这个SQL注入学习模块是用来教如何获取当前系统的信息的。
SQL注入的基础是插入SQL代码/命令/语法。它通常在 WHERE 子句中完成(因为 webapp 通常具有搜索功能,它基本上是检索用户输入并将其插入到 where 子句中。
例如,最简单的漏洞是这样的(假设 MySQL 和 PHP):
SELECT * FROM mytable WHERE mycolumn='$_GET[myparam]'
有效负载是您放入参数(例如:myparam)中以执行 SQL 注入的内容。通过这样的查询,您可以注入有效载荷1' OR 1=1来测试 SQL 注入漏洞。
第一个有效载荷
第一个有效载荷用于检查是否存在注入点(可以注入的参数)。
- 如果更改参数并且输出发生变化,则表示存在注入点。
- 否则没有注入点
第二有效载荷
第二个有效载荷用于检查目标应用程序是否存在 SQL 注入漏洞(应用程序是否会清理用户的输入)。
- 如果应用程序显示所有输出,则意味着该应用程序存在 SQL 注入漏洞。解释:因为发送到 RDBMS 的查询会变成这样
注射前:
SELECT col1, col2, ... colN FROM mytable WHERE col1='myparam'
注射后:
SELECT col1, col2, ... colN FROM mytable WHERE col1='1' or 1-- -'
请注意,在 MySQL 中,--(minus-minus-space) 用于标记内联注释。所以实际的查询是:SELECT col1, col2, ... colN FROM mytable WHERE col1='1' or 1
第三有效载荷
第三个有效载荷用于检查查询将选择多少列。要理解这一点,您必须了解subquery、join和union(快速搜索,这是一个非常基本的概念)。名称或表别名并不重要(UT1 或 UT2),它只是标识符,因此它与当前表别名不同。
- 如果查询成功(无错误,app显示输出),则表示app查询SELECTs 2列
- 如果查询失败,则表示它不是 2 列,您可以更改有效负载以检查 3 列、4 列等...
检查 SELECT 语句是否有 3 列的示例:
-1' union select * from (select 1)UT1 JOIN (SELECT 2)UT2 on 1=1 JOIN (SELECT 3)UT3 on 1=1 -- -
提示:在学习 SQL 注入时,只需将有效负载键入(或复制粘贴)到 SQL 控制台(如果查询被认为是危险的,则使用虚拟机或沙箱)要容易得多。
编辑1:
子查询和联合的基本解释
子查询:它基本上是将一个查询放在另一个查询中。子查询可以插入到 SELECT 子句、FROM 子句和 WHERE 子句中。
FROM 子句中的子查询示例:
select * from (select 'hello','world','foo','bar')x;
WHERE 子句中的子查询示例:
select * from tblsample t1 where t1.price>(select avg(t2.price) from tblsample t2);
联合:连接选择输出,例如:
tbl1
+----+--------+-----------+------+
| id | name | address | tele |
+----+--------+-----------+------+
| 1 | Rupert | Somewhere | 022 |
| 2 | John | Doe | 022 |
+----+--------+-----------+------+
tbl2
+----+--------+-----------+------+
| id | name | address | tele |
+----+--------+-----------+------+
| 1 | AAAAAA | DDDDDDDDD | 022 |
| 2 | BBBB | CCC | 022 |
+----+--------+-----------+------+
select * from tbl1 union select * from tbl2
+----+--------+-----------+------+
| id | name | address | tele |
+----+--------+-----------+------+
| 1 | Rupert | Somewhere | 022 |
| 2 | John | Doe | 022 |
| 1 | AAAAAA | DDDDDDDDD | 022 |
| 2 | BBBB | CCC | 022 |
+----+--------+-----------+------+
编辑2:
关于第三个有效载荷的进一步解释
在 mysql 中,您可以通过选择一个值来制作一个“文字表”。这是一个例子:
MariaDB [(none)]> SELECT 1;
+---+
| 1 |
+---+
| 1 |
+---+
1 row in set (0.00 sec)
MariaDB [(none)]> SELECT 1,2;
+---+---+
| 1 | 2 |
+---+---+
| 1 | 2 |
+---+---+
1 row in set (0.00 sec)
MariaDB [(none)]> SELECT 1 firstcol, 2 secondcol;
+----------+-----------+
| firstcol | secondcol |
+----------+-----------+
| 1 | 2 |
+----------+-----------+
1 row in set (0.00 sec)
制作这个“文字表”的目的是检查我们注入的 SELECT 语句有多少列。例如:
MariaDB [(none)]> SELECT 1 firstcol, 2 secondcol UNION SELECT 3 thirdcol, 4 fourthcol;
+----------+-----------+
| firstcol | secondcol |
+----------+-----------+
| 1 | 2 |
| 3 | 4 |
+----------+-----------+
2 rows in set (0.07 sec)
MariaDB [(none)]> SELECT 1 firstcol, 2 secondcol UNION SELECT 3 thirdcol, 4 fourthcol, 5 fifthcol;
ERROR 1222 (21000): The used SELECT statements have a different number of columns
如上图,当在两个列数不同的 select 语句上使用 UNION 时,会报错。因此,当 SELECT 语句不抛出错误时,您可以获得多少列。
那么,我们为什么不直接使用SELECT 1, 22 列来生成“文字表”呢?那是因为应用程序的防火墙阻止了逗号的使用。因此,我们必须绕道而行,使用 JOIN 查询制作 2 个列式“文字表”SELECT * FROM (SELECT 1)UT1 JOIN (SELECT 2)UT2 ON 1=1
MariaDB [(none)]> SELECT * FROM (SELECT 1)UT1 JOIN (SELECT 2)UT2 ON 1=1;
+---+---+
| 1 | 2 |
+---+---+
| 1 | 2 |
+---+---+
1 row in set (0.01 sec)
附加说明:MariaDB 是 MySQL 的“免费版本”(因为 MySQL 已出售并成为专有版本)。MariaDB 保持或多或少与 MySQL 相同的语法和命令。