文档章节

sql注入

AllenOR灵感
 AllenOR灵感
发布于 2017/09/10 01:18
字数 2079
阅读 1
收藏 0

准备

SQL注入是一个过气的话题(现在的项目大部分都已经使用ORM来对数据库进行查询了,所以SQL注入在大部分情况下都已经被框架给规避掉了);然而不管你在不在乎,它都在那里,它是WEB领域攻击的一种最常见的手段,它通过利用可视化界面的表单录入(例如: 登录界面的用户名输入框),输入一些乱七八糟的字符来影响你的SQL原声语句的拼接,从而影响整个查询结果来达到Hacker的目的。

先声明一下我的操作系统是Windows7,数据库采用的是MySQL,数据库连接工具用的是Navicat,编程语言采用的是Python 2.7,下面是记录一个完整的练习过程。

 

建表

创建一张用户表

CREATE TABLE `user` (
  `id` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `realname` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;
插入数据
insert into user (`username`, `realname`) values ('zhangsan1', '张三1');
insert into user (`username`, `realname`) values ('zhangsan2', '张三2');
insert into user (`username`, `realname`) values ('zhangsan3', '张三3');
insert into user (`username`, `realname`) values ('zhangsan4', '张三4');
insert into user (`username`, `realname`) values ('zhangsan5', '张三5');
insert into user (`username`, `realname`) values ('zhangsan6', '张三6');
insert into user (`username`, `realname`) values ('zhangsan7', '张三7');
insert into user (`username`, `realname`) values ('zhangsan8', '张三8');
insert into user (`username`, `realname`) values ('zhangsan9', '张三9');
insert into user (`username`, `realname`) values ('zhangsan10', '张三10');
Navicat查看数据
# 查询语句
select * from user;

# 显示结果
1    zhangsan1    张三1
2    zhangsan2    张三2
3    zhangsan3    张三3
4    zhangsan4    张三4
5    zhangsan5    张三5
6    zhangsan6    张三6
7    zhangsan7    张三7
8    zhangsan8    张三8
9    zhangsan9    张三9
10    zhangsan10    张三10
Python查看数据
# 安装依赖库
pip install torndb mysqlclient==1.3.7

# 创建代码文件prepare.py
import torndb

conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
result = conn.query('select * from user')

for i in result:
    print(i)


# 运行代码
python prepare.py

# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

注入

常规查询
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10')

# sql语句拼接
# _sql相当于 'select * from user where id=10'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)



# 显示结果
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

 

关键字(or)注入
# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('10 or True')

# sql语句拼接
# _sql相当于 'select * from user where id=10 or True'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}

SQL语句的where条件只要你的语法没问题,那么它背后的机制是支持三种东西:True、False、表达式。 or关键字跟编程语言中的机制是一样的,不管其他表达式是否成立,只要or关键字后面的表达式是True那么整个where条件都是成立的。

布尔(True)
select * from user where True; # 返回所有结果

布尔(False)
select * from user where False; # 返回空结果

表达式(1=1)
select * from user where 1=1; # 返回所有结果

表达式(id=8)
select * from user where id=8; # 返回一条结果

表达式(id=8 or True) / (id=8 or 1=1)
select * from user where id=8 or 1=1; # 返回所有结果

 

特殊字符(=)注入

正常查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('zhangsan4')
realname = get_argument('张三4')

# sql语句拼接
# _sql相当于 'select * from user where username="zhangsan4" and realname="张三4"'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}

注入查询

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('"or ""="')
realname = get_argument('"or ""="')

# sql语句拼接
# _sql相当于 'select * from user where username=""or ""="" and realname=""or ""=""'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)


# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
特殊字符(;)注入

在sql语句执行环境中,每条sql都用分号来区分,大部分数据库都支持多条语句一起执行,只要用分号隔开即可;那么通过利用分号也可以做其他危险动作或执行其他查询。

查询两条数据
select from user where id=8; select from user where id=4;

执行危险语句(删除掉用户表)
select * from user where id=8; drop table user;

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8; drop table user;')

# sql语句拼接
# _sql相当于 'select * from user where id=8; drop table user;'
_sql = 'select * from user where id=' + user_id

# 执行查询并取得结果集
result = conn.query(_sql)

# 打印结果
for i in result:
    print(i)

# 显示结果
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

执行完这块代码之后,虽然数据时正常显示了,但是表也被删除了。。。。。。(只能再次建表插入数据,才能往下走了)。

 

使用SQL参数(SQL Parameters)来规避注入

规避or关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8 or 1=1')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8 or 1=1'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避分号(;)关键字

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
user_id = get_argument('8;drop table user;')

# sql语句拼接
_sql = 'select * from user where id=%s'

# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])

# 打印结果
for i in result:
    print(i)

# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8;drop table user;'
  return cursor.execute(query, kwparameters or parameters)

{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}

 

规避等号(=)特殊字符

# -.- coding:utf-8 -.-
import torndb


# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
    return str(argument)

# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')

# 获取参数
username = get_argument('" or "1"="1')
realname = get_argument('" or "1"="1')


# sql语句拼接
_sql = 'select * from user where username="%s" and realname="%s"'

# 执行查询并取得结果集
result = conn.query(_sql, *[username, realname])

# 打印结果
for i in result:
    print(i)

# 显示结果
没有任何结果

 

追溯源码

# torndb.py 
Class Connection:
    def query(self, query, *parameters, **kwparameters):
        self._execute(cursor, query, parameters, kwparameters)


    def _execute(self, cursor, query, parameters, kwparameters):
        cursor.execute(query, kwparameters or parameters)


# MySQLdb/cursors.py
class BaseCursor(object):
    def execute(self, query, args=None):
        # 将sql语句进行encode转码

        # 执行sql语句(虚执行)
        res = self._query(query)

    def _query(self, q):
        # 执行sql语句(虚执行)
        return self._do_query(q)

    def _do_query(self, q):
        # 执行sql语句(交给C语言接口去查询)
        db.query(q)

        # 异步返回结果
        self._do_get_result()

参考

本文转载自:http://www.jianshu.com/p/062b38e02cdb

共有 人打赏支持
AllenOR灵感
粉丝 10
博文 2634
码字总数 82983
作品 0
程序员

暂无文章

React 服务器渲染原理解析与实践

网盘下载地址 React 服务器渲染原理解析与实践 本套课程,讲解了React中SSR技术的整个搭建思路及流程,完整的从原理上讲清楚了SSR的概念,重点在于讲解编写SSR框架遇到的各种知识点,以及细节...

qq__2304636824
18分钟前
0
0
sourcetree 离线免注册登录安装教程

Sourcetree是一个优秀的git可视化管理工具,深受开发者喜爱Sourcetree官网,但是在安装时需要谷歌账户登录,需要翻qiang才可以,此一点一直被人们所诟病。今天本教程就为大家提供离线免登陆安...

QQZZFT
47分钟前
1
0
使用 PostgreSQL 解决一个实际的统计分析问题

使用 PostgreSQL 解决一个实际的统计分析问题作者:老农民(刘启华)Email: 46715422@qq.com 之前有个朋友扔给我一个奇葩需求,他们公司之前做了一批问卷调查,全部都是统一格式的excel...

新疆老农民
50分钟前
5
0
TypeScript基础入门之高级类型的映射类型

转发 TypeScript基础入门之高级类型的映射类型 高级类型 映射类型 一个常见的任务是将一个已知的类型每个属性都变为可选的: interface PersonPartial {    name?: string;    age?...

durban
今天
1
0
Dubbo源码分析(6):Dubbo内核实现之基于SPI思想Dubbo内核实现

SPI接口定义 定义了@SPI注解 package com.alibaba.dubbo.common.extension; import java.lang.annotation.Documented;import java.lang.annotation.ElementType;import java.lang.an......

郑加威
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部