1. 啥是sql注入

sql注入是一种通过操作输入来修改后台sql语句以达到利用代码进行攻击目的的技术

2.生成sql注入漏洞的原因

总结一句话:对前台传过来的参数没有进行有效的过滤,太相信前端传过来的参数了,
  如:转义字符处理不当,类型处理不当,查询语句组装不当,
  错误处理不当,多个提交处理不当,还有不适当的数据库配置 ,都有可能成为sql注入成功的原因!

3.案例分析

下面就以案例的形式说一下吧...
环境是本地的搭建的 以sqli-lab先来做演示吧

3.1 第一关 less-1

正常访问

参数加加入一个单引号',报错了,说明是这里存在get 字符型注入攻击,如果不知道的话,
也可以做代码审计来看出,既然存在注入漏洞,我们就可以获取相关数据库的信息了

这里说明一下,id为什么-1,这里需要了解一些sql里的知识,
 union 关键字的使用,union这个关键字是代表联合查询的意思,
也可以看成 union前是一个sql语句,union后是一个语句,为什么id=-1呢?
这个union是这样的,前面这个sql 返回false或空值,后面这个语句才会执行,不一定是-1,
  只要这个数据库里没有这个值,都是可以的, -- + 是啥意思?  
  它是mysql里的一种注释方法,mysql 再看到这-- + 加时,后面的语句就不执行了 ,
  为什么select 1,2,3 这里主要是测试是哪个字段显示在当前页面了,可以看到 2,3列是显示在页面上的,
  也是有回显的,
  
  下一步:咱们继续获取数据库,表名,字段名  

构造语句如下:
id=-1' union select 1,2 database() --+ 

可以看当前用的数据库为security这个数据库,看看这个数据库里有哪些表, group_concat()函数,
  这个函数其实就把多个列的值,以字符串的形式组合起来展示,具体的用法自己搜索吧

可以看到当前数据库有下面4个表,以表名来看,users表估计是保存用户信息的,
  我们再进一步看一下有哪些列

这里可以看到,有好多列,咱们最关心的不就是username,password的嘛?再看

这不用户名和密码就都显示出来吗,密码还是明文的,我也是醉了!
  这里注意一个用法,group_concat时以:做为分割符,
  我这里直接使用:,有的时候需要转化成16进制,8进制啥的

另外一种方法 手工报错型注入

id=1' and 1=1 -- + 正常
id=1' and 1=2 -- + 失败 
说明存在手工报错型注入
注入语句如下:
?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')))  -- +

这个需要有一定mysql基础的看起来比较容易些,extractvalue()这个函数是处理xml相关数据的,这里可以简单的理解成,我要在concat里查找指定的值就可以,concat()函数也是把多个值拼接成字符串的函数

这里看到字段并没有显示全,再加个条件看看,看看有没有想要的
构造语句如下:

?id=1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and column_name not in ( 'user_id','first_name','last_name') )))  -- +

另外一种方法,是使用sqlmap攻击进行sql注入了,这里我就不说了,咱们再来看第二关
有喜欢网络安全的同学,欢迎一起来交流,有喜欢的小伙伴欢迎点赞和转发哦!