首先的话,我们来仔细搞清楚这个攻击的流程,第一步就是了解一下,什么是sql?又什么是sql注入、sql注入的流程和步骤。
1、首先什么是sql,
Sql是一种数据库查询和程序设计的语言,这里的数据库是指存放网站的一些信息数据,常见的数据库有:mysql、access、mssql(sql server)、oracle数据库等等,这些数据库被大多数的中小型企业使用,专门存放用户的一些网站信息和数据信息,通过一些sql语言中一些的命令去增加、删除、改写、查询这些数据。这个就是sql。
2、什么是sql注入?
一般来说,黑客通过把恶意的sql语句插入到网站的表单提交或者输入域名请求的查询语句,最终达到欺骗网站的服务器执行恶意的sql语句,通过这些sql语句来获取黑客他们自己想要的一些数据信息和用户信息,也就是说如果存在sql注入,那么就可以执行sql语句的所有命令
1)sql注入形成的原因
数据库的属于与网站的代码未严格分离,当一个黑客提交的参数数据未做充分的检查和防御的话,那么黑客的就会输入恶意的sql命令,改变了原有的sql命令的语义,就会把黑客执行的语句带入到数据库被执行
2)Sql注入的危害。
这些危害不单单只限于数据库的用户信息泄露,通过sql注入也可以恶意的篡改网页,也可以写入的网站后门。数据库服务器被估计,数据库的系统管理员账号也会被篡改,服务器被远程控制,也会破坏硬盘数据、使系统瘫痪。
3、sql注入的流程和步骤
首先的话,上面讲到了增加、删除、改写、查询这些数据,简称为:增删改查。
我们先了解一下什么是提交方式:提交方式是为满足不同的需要,与服务器资源进行交互、访问等等
我们常见的提交方式就是GET和POST
首先是GET,get提交方式,比如说你要查询一个数据,那么查询的代码就会出现在链接当中,可以看见我们id=1,1就是我们搜索的内容,出现了链接当中,这种就是get
第二个是Post提交方式是看不见的,需要我们利用工具去看见,我们要用到hackbar这款浏览器插件
可以就可以这样去提交,在这里我搜索了2,那么显示的数据也就不同,这个就是数据库的查询功能,那么的话,get提交比post的提交更具有危害性。
介绍了提交方式,接下来就是我们的sql注入
Sql注入的原理就是客户端提交的数据和命令被带入到数据库被执行,从而被黑客恶意的利用,
首先这里是一个正常的页面,提交的方式是post,那么我们如何去判断是否存在sql注入?
判断sql注入我们就要用到一些判断语句
And 1=1 and 1=2 or 1=1 or 1=2 xor 1=1 xor 1=2
首先是and 1=1和and 1=2 ,and 1=1在网站id=1的后输入比较以post方式提交,那么的话返回的页面是正常,因为and是与的意思,1等于1吗??1肯定等于1,那么这里返回的页面是正常的,当然,最重要的是,这里的sql语句被带入到数据库被执行,所以可以判定这里存sql注入。
执行了and 1=2之后,页面出现了报错,因为1不等于2,所以这里的页面出现了报错,什么数据也没查询出来,那么我们可以判定我们输入的语句被带入到数据库被执行,所以他这个地方存sql注入
然后就是or 1=1 or 1=2, 到了or 1=2这里,返回的页面就是正常的,因为前面是真,也就是数据存在的,后面的1=2不成立就是假,所以就是真假为真,真真为假, 假假为真,其实最重要的因素还是sql语句被带入到数据库被执行了。
那么我们如何去利用sql注入获取我们想要的信息?
判定完是否存在sql语句后,我们这里整理出sql注入的步骤,1、判断是否存在sql注入 2、查询 怎么查询有几个列名?我们就要使用到order by 3、显示可注入的位置 4、显示数据库名、显示数据库的某个表名、显示数据库的某个表名的某个列名、最后显示数据。
那我们前面判断了是否存在sql注入,那么我们就可以用order by 来猜列数
首先输入order by 4 他这里报错了,提示我们没有4个列数
输入order by 3的话,他这里就返回了正常的页面,说明列数有3个
知道了列数有3个之后,我们就需要显示字段位了,也就是可以注入的位置
那么我们执行了and 1=2 union select 1,2,3 就成功显示了字段位,为什么要前面加了and 1=2?这是因为要让前面报错,后面的union select查询语句才能被执行,最终显示出了注入攻击的位置
显示出了2和3的位置,也就是说2和3是可注入和查询的位置,那么的话,我们这里要用到机个内置的函数 database()(显示出当前的数据库名)、user()(当前用户名) version()(mysql数据库版本信息)、@@datadir 读取数据库路径、@@basedirmysql安装路径、table_name显示表名、column_name显示列名
知道了上面的几个数据库函数后,我们前面讲到sql注入的步骤,第一步就是获取当前网站的数据库名,因为数据库有很多不同的数据库和名字。也有很多不同的网站、
显示当前的数据库名
我们把2替换成了database()函数,知道了当前网站的数据库为security,那么我们接下来是猜security的表名。
猜表名的话,我们就需要以下语句
information_schema是mysql自带的数据库,点号代表下一级的意思,就查出了一个表名
如果要查当前网站的表名,我们就得加一个where table_schema='数据库名'
于是就查询出了当前的数据库的其中一个表名
那么如果要列出所有的表名,我们这里要用到group_concat()函数,他这个函数代表所有的意思,列出了数据库中的所有表名,一共有四个
那么问题来了,如果说我们要从中获取数据,我们应该从哪个表名开始?一方面是从users表名,因为user的中文意思是用户,那么他这里就有可能存用户的信息,第二个是admin,admin是后台的意思,那么的话,我们就可以先从这些表开始去弄列名
首先我们选取了users表名,我们要列出所有的列名的话,我们就需要改一下语句,把table改为column
可以看见我把table改为了column,然后后面用table_name=’表名’指定我们要查询这个表名中的所有列,于是网站就显示出了id、username、password三个列名
知道了列名之后,接着就是显示列名里面的数据,显示数据就不用那么麻烦了,只要知道列名和用from指定表名,那么页面就会显示出用户的邮箱和账号密码了
好,那么这个就是一方面sql注入的基础。