文档章节

sql注入

AllenOR灵感
 AllenOR灵感
发布于 2017/09/10 01:18
字数 2079
阅读 0
收藏 0
点赞 0
评论 0

准备

SQL注入是一个过气的话题(现在的项目大部分都已经使用ORM来对数据库进行查询了,所以SQL注入在大部分情况下都已经被框架给规避掉了);然而不管你在不在乎,它都在那里,它是WEB领域攻击的一种最常见的手段,它通过利用可视化界面的表单录入(例如: 登录界面的用户名输入框),输入一些乱七八糟的字符来影响你的SQL原声语句的拼接,从而影响整个查询结果来达到Hacker的目的。

先声明一下我的操作系统是Windows7,数据库采用的是MySQL,数据库连接工具用的是Navicat,编程语言采用的是Python 2.7,下面是记录一个完整的练习过程。

 

建表

创建一张用户表

CREATE TABLE `user` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `realname` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;
插入数据
insert into user (`username`, `realname`) values ('zhangsan1', '张三1');
insert into user (`username`, `realname`) values ('zhangsan2', '张三2');
insert into user (`username`, `realname`) values ('zhangsan3', '张三3');
insert into user (`username`, `realname`) values ('zhangsan4', '张三4');
insert into user (`username`, `realname`) values ('zhangsan5', '张三5');
insert into user (`username`, `realname`) values ('zhangsan6', '张三6');
insert into user (`username`, `realname`) values ('zhangsan7', '张三7');
insert into user (`username`, `realname`) values ('zhangsan8', '张三8');
insert into user (`username`, `realname`) values ('zhangsan9', '张三9');
insert into user (`username`, `realname`) values ('zhangsan10', '张三10');
Navicat查看数据
# 查询语句
select * from user;

# 显示结果
1    zhangsan1    张三1
2    zhangsan2    张三2
3    zhangsan3    张三3
4    zhangsan4    张三4
5    zhangsan5    张三5
6    zhangsan6    张三6
7    zhangsan7    张三7
8    zhangsan8    张三8
9    zhangsan9    张三9
10    zhangsan10    张三10
Python查看数据
# 安装依赖库
pip install torndb mysqlclient==1.3.7

# 创建代码文件prepare.py
import torndb

conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
result = conn.query('select * from user')

for i in result:
    print(i)


# 运行代码
python prepare.py

# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

注入

常规查询
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10')

# sql语句拼接
# _sql相当于 'select * from user where id=10'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)



# 显示结果
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

关键字(or)注入
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10 or True')

# sql语句拼接
# _sql相当于 'select * from user where id=10 or True'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

SQL语句的where条件只要你的语法没问题,那么它背后的机制是支持三种东西:True、False、表达式。 or关键字跟编程语言中的机制是一样的,不管其他表达式是否成立,只要or关键字后面的表达式是True那么整个where条件都是成立的。

布尔(True)
select * from user where True; # 返回所有结果

布尔(False)
select * from user where False; # 返回空结果

表达式(1=1)
select * from user where 1=1; # 返回所有结果

表达式(id=8)
select * from user where id=8; # 返回一条结果

表达式(id=8 or True) / (id=8 or 1=1)
select * from user where id=8 or 1=1; # 返回所有结果

 

特殊字符(=)注入

正常查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('zhangsan4')
realname = get_argument('张三4')

# sql语句拼接
# _sql相当于 'select * from user where username="zhangsan4" and realname="张三4"'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}

注入查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('"or ""="')
realname = get_argument('"or ""="')

# sql语句拼接
# _sql相当于 'select * from user where username=""or ""="" and realname=""or ""=""'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
特殊字符(;)注入

在sql语句执行环境中,每条sql都用分号来区分,大部分数据库都支持多条语句一起执行,只要用分号隔开即可;那么通过利用分号也可以做其他危险动作或执行其他查询。

查询两条数据
select from user where id=8; select from user where id=4;

执行危险语句(删除掉用户表)
select * from user where id=8; drop table user;

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8; drop table user;')

# sql语句拼接
# _sql相当于 'select * from user where id=8; drop table user;'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

执行完这块代码之后,虽然数据时正常显示了,但是表也被删除了。。。。。。(只能再次建表插入数据,才能往下走了)。

 

使用SQL参数(SQL Parameters)来规避注入

规避or关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8 or 1=1')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8 or 1=1'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避分号(;)关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8;drop table user;')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8;drop table user;'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避等号(=)特殊字符

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('" or "1"="1')
realname = get_argument('" or "1"="1')


# sql语句拼接
_sql = 'select * from user where username="%s" and realname="%s"'

# 执行查询并取得结果集
result = conn.query(_sql, *[username, realname])

# 打印结果
for i in result:
    print(i)

# 显示结果
没有任何结果

 

追溯源码

# torndb.py 
Class Connection:
    def query(self, query, *parameters, **kwparameters):
        self._execute(cursor, query, parameters, kwparameters)


    def _execute(self, cursor, query, parameters, kwparameters):
        cursor.execute(query, kwparameters or parameters)


# MySQLdb/cursors.py
class BaseCursor(object):
    def execute(self, query, args=None):
        # 将sql语句进行encode转码

        # 执行sql语句(虚执行)
        res = self._query(query)

    def _query(self, q):
        # 执行sql语句(虚执行)
        return self._do_query(q)

    def _do_query(self, q):
        # 执行sql语句(交给C语言接口去查询)
        db.query(q)

        # 异步返回结果
        self._do_get_result()

参考

本文转载自:http://www.jianshu.com/p/062b38e02cdb

共有 人打赏支持
AllenOR灵感
粉丝 10
博文 2634
码字总数 82983
作品 0
程序员

暂无文章

实现异步有哪些方法

有哪些方法可以实现异步呢? 方式一:java 线程池 示例: @Test public final void test_ThreadPool() throws InterruptedException { ScheduledThreadPoolExecutor scheduledThre......

黄威
今天
0
0
linux服务器修改mtu值优化cpu

一、jumbo frames 相关 1、什么是jumbo frames Jumbo frames 是指比标准Ethernet Frames长的frame,即比1518/1522 bit大的frames,Jumbo frame的大小是每个设备厂商规定的,不属于IEEE标准;...

六库科技
今天
0
0
牛客网刷题

1. 二维数组中的查找(难度:易) 题目描述 在一个二维数组中(每个一维数组的长度相同),每一行都按照从左到右递增的顺序排序,每一列都按照从上到下递增的顺序排序。请完成一个函数,输入...

大不了敲一辈子代码
今天
0
0
linux系统的任务计划、服务管理

linux任务计划cron 在linux下,有时候要在我们不在的时候执行一项命令,或启动一个脚本,可以使用任务计划cron功能。 任务计划要用crontab命令完成 选项: -u 指定某个用户,不加-u表示当前用...

黄昏残影
昨天
0
0
设计模式:单例模式

单例模式的定义是确保某个类在任何情况下都只有一个实例,并且需要提供一个全局的访问点供调用者访问该实例的一种模式。 实现以上模式基于以下必须遵守的两点: 1.构造方法私有化 2.提供一个...

人觉非常君
昨天
0
0
《Linux Perf Master》Edition 0.4 发布

在线阅读:https://riboseyim.gitbook.io/perf 在线阅读:https://www.gitbook.com/book/riboseyim/linux-perf-master/details 百度网盘【pdf、mobi、ePub】:https://pan.baidu.com/s/1C20T......

RiboseYim
昨天
1
0
conda 换源

https://mirrors.tuna.tsinghua.edu.cn/help/anaconda/ conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free/conda config --add channels https://mir......

阿豪boy
昨天
1
0
Confluence 6 安装补丁类文件

Atlassian 支持或者 Atlassian 缺陷修复小组可能针对有一些关键问题会提供补丁来解决这些问题,但是这些问题还没有放到下一个更新版本中。这些问题将会使用 Class 类文件同时在官方 Jira bug...

honeymose
昨天
0
0
非常实用的IDEA插件之总结

1、Alibaba Java Coding Guidelines 经过247天的持续研发,阿里巴巴于10月14日在杭州云栖大会上,正式发布众所期待的《阿里巴巴Java开发规约》扫描插件!该插件由阿里巴巴P3C项目组研发。P3C...

Gibbons
昨天
1
0
Tomcat介绍,安装jdk,安装tomcat,配置Tomcat监听80端口

Tomcat介绍 Tomcat是Apache软件基金会(Apache Software Foundation)的Jakarta项目中的一个核心项目,由Apache、Sun和其他一些公司及个人共同开发而成。 java程序写的网站用tomcat+jdk来运行...

TaoXu
昨天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部