文档章节

sql注入

AllenOR灵感
 AllenOR灵感
发布于 2017/09/10 01:18
字数 2079
阅读 2
收藏 0

准备

SQL注入是一个过气的话题(现在的项目大部分都已经使用ORM来对数据库进行查询了,所以SQL注入在大部分情况下都已经被框架给规避掉了);然而不管你在不在乎,它都在那里,它是WEB领域攻击的一种最常见的手段,它通过利用可视化界面的表单录入(例如: 登录界面的用户名输入框),输入一些乱七八糟的字符来影响你的SQL原声语句的拼接,从而影响整个查询结果来达到Hacker的目的。

先声明一下我的操作系统是Windows7,数据库采用的是MySQL,数据库连接工具用的是Navicat,编程语言采用的是Python 2.7,下面是记录一个完整的练习过程。

 

建表

创建一张用户表

CREATE TABLE `user` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `realname` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;
插入数据
insert into user (`username`, `realname`) values ('zhangsan1', '张三1');
insert into user (`username`, `realname`) values ('zhangsan2', '张三2');
insert into user (`username`, `realname`) values ('zhangsan3', '张三3');
insert into user (`username`, `realname`) values ('zhangsan4', '张三4');
insert into user (`username`, `realname`) values ('zhangsan5', '张三5');
insert into user (`username`, `realname`) values ('zhangsan6', '张三6');
insert into user (`username`, `realname`) values ('zhangsan7', '张三7');
insert into user (`username`, `realname`) values ('zhangsan8', '张三8');
insert into user (`username`, `realname`) values ('zhangsan9', '张三9');
insert into user (`username`, `realname`) values ('zhangsan10', '张三10');
Navicat查看数据
# 查询语句
select * from user;

# 显示结果
1    zhangsan1    张三1
2    zhangsan2    张三2
3    zhangsan3    张三3
4    zhangsan4    张三4
5    zhangsan5    张三5
6    zhangsan6    张三6
7    zhangsan7    张三7
8    zhangsan8    张三8
9    zhangsan9    张三9
10    zhangsan10    张三10
Python查看数据
# 安装依赖库
pip install torndb mysqlclient==1.3.7

# 创建代码文件prepare.py
import torndb

conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
result = conn.query('select * from user')

for i in result:
    print(i)


# 运行代码
python prepare.py

# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

注入

常规查询
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10')

# sql语句拼接
# _sql相当于 'select * from user where id=10'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)



# 显示结果
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

关键字(or)注入
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10 or True')

# sql语句拼接
# _sql相当于 'select * from user where id=10 or True'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

SQL语句的where条件只要你的语法没问题,那么它背后的机制是支持三种东西:True、False、表达式。 or关键字跟编程语言中的机制是一样的,不管其他表达式是否成立,只要or关键字后面的表达式是True那么整个where条件都是成立的。

布尔(True)
select * from user where True; # 返回所有结果

布尔(False)
select * from user where False; # 返回空结果

表达式(1=1)
select * from user where 1=1; # 返回所有结果

表达式(id=8)
select * from user where id=8; # 返回一条结果

表达式(id=8 or True) / (id=8 or 1=1)
select * from user where id=8 or 1=1; # 返回所有结果

 

特殊字符(=)注入

正常查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('zhangsan4')
realname = get_argument('张三4')

# sql语句拼接
# _sql相当于 'select * from user where username="zhangsan4" and realname="张三4"'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}

注入查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('"or ""="')
realname = get_argument('"or ""="')

# sql语句拼接
# _sql相当于 'select * from user where username=""or ""="" and realname=""or ""=""'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
特殊字符(;)注入

在sql语句执行环境中,每条sql都用分号来区分,大部分数据库都支持多条语句一起执行,只要用分号隔开即可;那么通过利用分号也可以做其他危险动作或执行其他查询。

查询两条数据
select from user where id=8; select from user where id=4;

执行危险语句(删除掉用户表)
select * from user where id=8; drop table user;

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8; drop table user;')

# sql语句拼接
# _sql相当于 'select * from user where id=8; drop table user;'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

执行完这块代码之后,虽然数据时正常显示了,但是表也被删除了。。。。。。(只能再次建表插入数据,才能往下走了)。

 

使用SQL参数(SQL Parameters)来规避注入

规避or关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8 or 1=1')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8 or 1=1'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避分号(;)关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8;drop table user;')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8;drop table user;'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避等号(=)特殊字符

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('" or "1"="1')
realname = get_argument('" or "1"="1')


# sql语句拼接
_sql = 'select * from user where username="%s" and realname="%s"'

# 执行查询并取得结果集
result = conn.query(_sql, *[username, realname])

# 打印结果
for i in result:
    print(i)

# 显示结果
没有任何结果

 

追溯源码

# torndb.py 
Class Connection:
    def query(self, query, *parameters, **kwparameters):
        self._execute(cursor, query, parameters, kwparameters)


    def _execute(self, cursor, query, parameters, kwparameters):
        cursor.execute(query, kwparameters or parameters)


# MySQLdb/cursors.py
class BaseCursor(object):
    def execute(self, query, args=None):
        # 将sql语句进行encode转码

        # 执行sql语句(虚执行)
        res = self._query(query)

    def _query(self, q):
        # 执行sql语句(虚执行)
        return self._do_query(q)

    def _do_query(self, q):
        # 执行sql语句(交给C语言接口去查询)
        db.query(q)

        # 异步返回结果
        self._do_get_result()

参考

本文转载自:http://www.jianshu.com/p/062b38e02cdb

共有 人打赏支持
上一篇: 【iOS】block小记
下一篇: redis05集合
AllenOR灵感
粉丝 11
博文 2635
码字总数 83001
作品 0
程序员
私信 提问

暂无文章

Android 通过DrawableInflater加载自定义Drawable

一、Drawable 在Android系统张,图形图像的绘制需要在画布上进行操作和处理,但是绘制需要了解很多细节以及可能要进行一些复杂的处理,因此系统提供了一个被称之为Drawable的类来进行绘制处理...

IamOkay
13分钟前
1
0
灵活无处安放,所以选择流浪....《漆黑的空间》& 《灰色轨迹》

灵活无处安放,所以选择流浪....《漆黑的空间》& 《灰色轨迹》

yizhichao
19分钟前
1
0
Kafka+Flink 实现准实时异常检测系统

1.背景介绍 异常检测可以定义为“基于行动者(人或机器)的行为是否正常作出决策”,这项技术可以应用于非常多的行业中,比如金融场景中做交易检测、贷款检测;工业场景中做生产线预警;安防...

架构师springboot
今天
7
0
DecimalFormat 类基本使用

/* * DecimalFormat 类主要靠 # 和 0 两种占位符号来指定数字长度 * 0 表示如果位数不足则以 0 填充 * # 表示只要有可能就把数字拉上这个位置 * */ public static void main(String[] args){...

嘴角轻扬30
今天
4
0
This APT has Super Cow Powers.

在Debian/Ubuntu上,apt包管理器内嵌着一个彩蛋. 如果你在命令行界面输入 apt help 在最后一行能找到This APT has Super Cow Powers. 说明该apt具有超级牛力 牛力是个什么梗? 则说明你的系统...

taadis
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部