SQL Injection的原因和危害
原因
下图可以很好的表示SQL注入,车牌被识别后,系统会执行drop database指令删除数据库
下面的漫画中,该学生的姓名为“Robert’); DROP TABLE students;–”,导致students表被删除:
在输入的字符串之中注入SQL指令,恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,遭到破坏或是入侵
例如,某个网站的登录验证的SQL查询代码为
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"恶意填入
userName = "1' OR '1'='1";与
passWord = "1' OR '1'='1";时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"实际上运行的SQL命令会变成下面这样的
strSQL = "SELECT * FROM users;"从而达到无账号密码登录网站。所以SQL注入被俗称为黑客的填空游戏。
危害
- 资料表中的资料外泄,例如企业及个人机密资料,账户资料,密码等。
- 数据结构被黑客探知,得以做进一步攻击(例如SELECT * FROM sys.tables)。
- 数据库服务器被攻击,系统管理员账户被窜改(例如ALTER LOGIN sa WITH PASSWORD=‘xxxxxx’)。
- 获取系统较高权限后,有可能得以在网页加入恶意链接、恶意代码以及Phishing等。
- 经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统(例如xp_cmdshell "net stop iisadmin"可停止服务器的IIS服务)。
- 攻击者利用数据库提供的各种功能操纵文件系统,写入Webshell,最终导致攻击者攻陷系统
- 破坏硬盘资料,瘫痪全系统(例如xp_cmdshell “FORMAT C:”)。
- 获取系统最高权限后,可针对企业内部的任一管理系统做大规模破坏,甚至让其企业倒闭。
- 网站主页被窜改,导致声誉受到损害。(此处部分引自维基百科)
SQL Injection中的特殊字符
单引号''与井号#
输入数据两端都会被加上引号''作为SQL语句的一部分
比如,下面是一个输入窗口:
实际上它的形式:
假若输入数据分别为:EID5002' #' 和 xyz
则对应的SQL语句为:
可以看到#后的内容被注释
因此,通过人为的输入''和#,可以改变SQL语句的意义
防止SQL Injection
可以通过正则表达式,或限制输入长度等手段,对用户输入进行校验,从而防止SQL Injection
对用户输入进行校验
以mysql_real_escape_string()函数为例:
该函数在传递给该函数的字符串中的某些潜在危险字符之前添加转义字符:反斜杠\,可以有效地对抗用户输入的'
例如,假如登录的SQL语句如下:
$sql = "select * from user where user_name='$username' and password='$password'";$username填入:username=' or 1=1;#,则对应的SQL语句如下:
$sql = "select * from user where user_name='' or 1=1;#' and password='$password'";这样即可成功做到SQL注入
但是使用mysql_real_escape_string()函数之后,SQL语句就变成:
$sql = "select * from user where user_name='\' or 1=1;#' and password='$password'";可以看出,由于转义字符\,使得SQL无法注入
SQL Injection过程中常用的猜测手段
- 根据报错信息获知
在本次实验中,当输入错误的邮箱,会出现Error inserting into table "email"! Email not valid! Please contact an administrator of Fischer's,发现table名为email
- 猜测
order by猜测列数
ORDER BY关键字用于对结果集按照一个列或者多个列进行排序
order by 1指将第一列的数据按升序排列,以此类推
因此假若order by n报错,则第n列不存在,因此可推断出列数
在本次实验中,当输入order by 4,正常显示,当输入order by 5,报错,因此列数为4
(选做,实在搞不定可以网上搜索walkthrough)HTS Realistic 4。先去http://www.hackthissite.org/注册,然后利用SQL Injection完成下面这一关,目的是获得a list of the email addresses。
选做
题目要求
From: SaveTheWhales
Message: Hello, I was referred to you by a friend who says you know how to hack into computers and web sites - well I was wondering if you could help me out here. There’s this local store who is killing hundreds of animals a day exclusively for the purpose of selling jackets and purses etc out of their skin! I have been to their website and they have an email list for their customers. I was wondering if you could somehow hack in and send me every email address on that list? I want to send them a message letting them know of the murder they are wearing. Just reply to this message with a list of the email addresses. Please? Their website is at http://www.hackthissite.org/missions/realistic/4/. Thanks so much!!
翻译成人话:通过SQL Injection,在这个售卖野生动物制作的服装的网站中找到数据库中的邮箱数据,并且发给SaveTheWhales的邮箱
解答
试探性的在add to list中输入并提交邮箱信息:
情景一:(输入合法的邮箱)
情景二:(输入不合法的邮箱)
可以看出,table名为email
进入Fur Coats!,进入如下页面:
在Products表中,为了猜测列数,可以使用order by语句
也即是:
https://www.hackthissite.org/missions/realistic/4/products.php?category=2%20order%20by%204经过试探,可以发现,order by 1,order by 2,order by 3,order by 4都是合法的,但是当输入order by 5是不合法输入
因此,有理由相信:该表中共有四列数据
为了实现SQL注入,在这里使用UNION语句实现联合查询。由于UNION语句要求内部的每个 SELECT语句必须拥有相同数量的列,列也必须拥有相似的数据类型,因此email表也要选中4列,使用的查询语句如下:
UNION ALL SELECT null, *, null, null FROM email;即:
https://www.hackthissite.org/missions/realistic/4/products.php?category=2%20UNION%20ALL%20SELECT%20null,%20*,%20null,%20null%20FROM%20email;如下图所示,SQL Injection成功,显示出了邮箱
按照题目要求,将邮箱发送
显示成功完成mission 4
