linux系统sql语句报错_SQL注入之我见

妖狐艹你老母 2023-01-02 01:15 206阅读 0赞

![5d6461dab9c50c93cb5529bb0e97c3f1.png][]

在OwaspTop10里面，Injection类型是常见的高危类型漏洞，二十多年来一直稳居世界互联网高危漏洞前三。Injection类型分Sql注入、Xml注入、Json注入、动态代码注入，本篇主要围绕Sql注入展开讲解。

SQL即结构化查询语言（Structure Query Language）的缩写，音译“细口”。注入点分布在URL、表单域和数据包这三个地方。

## SQL注入的分类 ##

1.按照变量类型来划分，主要分为数字型注入和字符串型注入。

数字型（int）：系统业务中有使用id、age、pagenum等纯数字查询的功能模块，便可以只用数字型注入，举例http://xxx.com/xx.php?id=xx，可以在后面添加一个单引号，如果有返回查询报错信息，便可以断定该系统很可能存在SQL数字型注入漏洞（原因：int型查询语句不能用单引号来闭合，否则会报错）；此类漏洞主要存在于asp、php等弱类型语言中，极少出现在java、C\#等强类型语言中。

字符串型（string）：顾名思义，直接举例http://xxx.com/xx.php?id=xx and 1=2，后面拼接and不等式，如果有返回查询报错信息，便可以断定该系统存在SQL字符串型注入漏洞（原因：原始部分一定为true，拼接不等式后变成了false）；这类注入点判断方式通常还需要再换一句and等式进一步确认结论，例如and 1=1来进一步判断系统是否针对关键词“and”做了过滤。

2.按照攻击手法来划分，主要分为布尔注入、联合查询注入、报错注入、延时注入。

**布尔注入：**像上面SQL字符串型注入所举的例子便是。

**联查注入：**即联合查询注入，举例order by = 8' ，如果执行语句后返回错误页面，则说明没有8列，以此类推。

**报错注入：**通过floor ( ) 、 extractValue ( ) 、updateXml ( ) 等函数显示报错信息来实现注入，举例：and select 1 from ( select count ( ) , concat ( version( ) , floor ( rand ( 0 ) 2 ) ) x from information\_schema.tables group by x ) a ) 。

**延时注入：**当布尔注入和报错注入均失效（即返回页面无变化）的时候，便可以考虑使用延时注入来判断是否存在注入点了，所以延时注入又称盲注。

先了解这几个函数

sleep ( ) 延时

acsii ( ) 转换成acsii码

if ( condition, true, false ) 条件语句

substring ("string", n, m) 从第n位取m个

例如：

if (acsii (substring ("brave",1,1) = 62，sleep (8), 1) 意思是从“brave”的第1位里面取出1个字符并将它转换为acsii码，若acsii码等于62，则延时8秒，否则不延时。通过这类方法我们可以将库名、表名、字段逐步猜解出来。

※除了sleep（）函数以外，还有4种函数是可以实现延时注入的：↓

Benchmark（ count，expr ）：BENCHMARK()函数重复 count次执行表达式expr。它可以被用于计算 MYSQL处理表达式的速度。结果值通常为0。

select benchmark ( 10000 , sha ( 1 ) ) ;

select \* from table where id = 1 and ( if ( ascii ( substr ( database ( ) , 1 , 1 ) )=100 , benchmark ( 10000 , sha ( 1 ) ) , null ) ) ;

笛卡尔积：

select count ( \* ) from user A , user B ;

select count ( \*) from information\_schema.columns A , information\_schema.columns B , information\_schema.tables C ;

get\_Lock（ str，timeout ）：设法使用字符串str给定的名字得到一个锁，超时为timeout秒。

select get\_lock( 'a' , 10 )

rlike（）：通过rpad或 repeat构造长字符串，加以计算量大的 pattern，通过repeats的参数可以控制延时长短。

select concat ( rpad ( 1 , 999999 , a ) , rpad (1,999999,a) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 ,999999 , a ) , rpad ( 1 , 999999 , a ) ,rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) , rpad ( 1 , 999999 , a ) ) rlike ' ( a . \* ) + ( a . \* ) + ( a . \* ) + ( a . \* ) + ( a . \* ) + ( a . \* ) + ( a . \* ) + b ' ;

PS：有时候一句恶意命令语句是结合了多种注入方式的，可以同时属于N个类型。

[5d6461dab9c50c93cb5529bb0e97c3f1.png]: /images/20221120/2199049b6e1e45e2b7b2c0ae9913cbbb.png