一、概念
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
形成SQL注入漏洞的原因:
1.用户输入不可控
2.输入内容被带入SQL语句执行。
通过SQL注入可以对程序对应的数据存储区进行对应的探测。
二、Low级别
1.代码审计
Low级别的代码,我们可以看出,该段代码将用户输入的数据之间带入SQL查询语句中,中间未做任何处理。
2.尝试测试
我们通过正常输入1、2,查看反馈
SELECT first_name, last_name FROM users WHERE user_id = ‘$id’;
这句我们改造一下,将id= 1’ and ‘1=1’;#参数带入语句中:
SELECT first_name, last_name FROM users WHERE user_id = ‘1’ and ‘1=1’;#;
发现语句正常执行。
因而,我们可以通过构造闭合语句,来进行更多的数据库操作。
下面我们用sqlmap测试一下:
首先使用Burpsuite抓包
将数据报文写入到一个txt文件中。这里我们使用的是kali系统。
输入gedit sql_low.txt 创建一个文本文件
将报文复制到文件中,保存。
输入sqlmap -r sql_low.txt --level=5 --risk=3 --dbs
开始扫描
我们成功将数据库名爆了出来。
三、medium级别
1.代码审计
我们可以看见,这里使用的POST请求。同时,在执行之前使用mysql_real_escape_string() 函数进行了过滤。
我们搜索一下这个函数的功能。
他简单的过滤了一些字符。这里我们依然可以使用sqlmap轻松跑出来。
2.尝试测试
使用burpsuite抓取提交的数据包
将数据内容保存在sql_medium.txt 文件中
输入sqlmap -r sql_medium.txt --level=5 --risk=3 -p id --dbs
等待结果,成功找到数据库名称
四、high级别
1.代码审计
这里使用的session传递的id,然后直接将id带入了sql语句中,虽然后面使用了LIMIT 1来限制只允许提交一个字符。但我们可以使用#将后面的语句注释掉。
2.尝试测试
我们重复Low级别的操作,使用Burpsuite抓包,然后放到sqlmap中跑。
抓包
创建txt文件
将数据保存
sqlmap -r sql_high.txt --level=5 --risk=3 -p id --dbs
这样,high级别的sql注入就成功了!
五、impossible级别
1.代码审计
这里我们看见,使用了token,防止csrf。
同时使用了PDO技术,将i用户传送的id值作为参数带入,不直接插入查询语句。达到规避sql注入的目的。这样,sql注入就不能轻松完成了。
六、防御
1.过滤用户输入
2.使用预编译处理SQL语句(PDO、SQLparameter)
3.使用owasp等安全的API