准备
SQL注入是一个过气的话题(现在的项目大部分都已经使用ORM来对数据库进行查询了,所以SQL注入在大部分情况下都已经被框架给规避掉了);然而不管你在不在乎,它都在那里,它是WEB领域攻击的一种最常见的手段,它通过利用可视化界面的表单录入(例如: 登录界面的用户名输入框),输入一些乱七八糟的字符来影响你的SQL原声语句的拼接,从而影响整个查询结果来达到Hacker的目的。
先声明一下我的操作系统是Windows7,数据库采用的是MySQL,数据库连接工具用的是Navicat,编程语言采用的是Python 2.7,下面是记录一个完整的练习过程。
建表
创建一张用户表
CREATE TABLE `user` (
`id` int(10) NOT NULL AUTO_INCREMENT,
`username` varchar(255) DEFAULT NULL,
`realname` varchar(255) DEFAULT NULL,
PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;
插入数据
insert into user (`username`, `realname`) values ('zhangsan1', '张三1');
insert into user (`username`, `realname`) values ('zhangsan2', '张三2');
insert into user (`username`, `realname`) values ('zhangsan3', '张三3');
insert into user (`username`, `realname`) values ('zhangsan4', '张三4');
insert into user (`username`, `realname`) values ('zhangsan5', '张三5');
insert into user (`username`, `realname`) values ('zhangsan6', '张三6');
insert into user (`username`, `realname`) values ('zhangsan7', '张三7');
insert into user (`username`, `realname`) values ('zhangsan8', '张三8');
insert into user (`username`, `realname`) values ('zhangsan9', '张三9');
insert into user (`username`, `realname`) values ('zhangsan10', '张三10');
Navicat查看数据
# 查询语句
select * from user;
# 显示结果
1 zhangsan1 张三1
2 zhangsan2 张三2
3 zhangsan3 张三3
4 zhangsan4 张三4
5 zhangsan5 张三5
6 zhangsan6 张三6
7 zhangsan7 张三7
8 zhangsan8 张三8
9 zhangsan9 张三9
10 zhangsan10 张三10
Python查看数据
# 安装依赖库
pip install torndb mysqlclient==1.3.7
# 创建代码文件prepare.py
import torndb
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
result = conn.query('select * from user')
for i in result:
print(i)
# 运行代码
python prepare.py
# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
注入
常规查询
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
user_id = get_argument('10')
# sql语句拼接
# _sql相当于 'select * from user where id=10'
_sql = 'select * from user where id=' + user_id
# 执行查询并取得结果集
result = conn.query(_sql)
# 打印结果
for i in result:
print(i)
# 显示结果
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
关键字(or)注入
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
user_id = get_argument('10 or True')
# sql语句拼接
# _sql相当于 'select * from user where id=10 or True'
_sql = 'select * from user where id=' + user_id
# 执行查询并取得结果集
result = conn.query(_sql)
# 打印结果
for i in result:
print(i)
# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
SQL语句的where条件只要你的语法没问题,那么它背后的机制是支持三种东西:True、False、表达式。 or关键字跟编程语言中的机制是一样的,不管其他表达式是否成立,只要or关键字后面的表达式是True那么整个where条件都是成立的。
布尔(True)
select * from user where True; # 返回所有结果布尔(False)
select * from user where False; # 返回空结果表达式(1=1)
select * from user where 1=1; # 返回所有结果表达式(id=8)
select * from user where id=8; # 返回一条结果表达式(id=8 or True) / (id=8 or 1=1)
select * from user where id=8 or 1=1; # 返回所有结果
特殊字符(=)注入
正常查询
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
username = get_argument('zhangsan4')
realname = get_argument('张三4')
# sql语句拼接
# _sql相当于 'select * from user where username="zhangsan4" and realname="张三4"'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'
# 执行查询并取得结果集
result = conn.query(_sql)
# 打印结果
for i in result:
print(i)
# 显示结果
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
注入查询
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
username = get_argument('"or ""="')
realname = get_argument('"or ""="')
# sql语句拼接
# _sql相当于 'select * from user where username=""or ""="" and realname=""or ""=""'
_sql = 'select * from user where username="' + username + '" and realname="' + realname + '"'
# 执行查询并取得结果集
result = conn.query(_sql)
# 打印结果
for i in result:
print(i)
# 显示结果
{'username': u'zhangsan1', 'id': 1L, 'realname': u'\u5f20\u4e091'}
{'username': u'zhangsan2', 'id': 2L, 'realname': u'\u5f20\u4e092'}
{'username': u'zhangsan3', 'id': 3L, 'realname': u'\u5f20\u4e093'}
{'username': u'zhangsan4', 'id': 4L, 'realname': u'\u5f20\u4e094'}
{'username': u'zhangsan5', 'id': 5L, 'realname': u'\u5f20\u4e095'}
{'username': u'zhangsan6', 'id': 6L, 'realname': u'\u5f20\u4e096'}
{'username': u'zhangsan7', 'id': 7L, 'realname': u'\u5f20\u4e097'}
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
{'username': u'zhangsan9', 'id': 9L, 'realname': u'\u5f20\u4e099'}
{'username': u'zhangsan10', 'id': 10L, 'realname': u'\u5f20\u4e0910'}
特殊字符(;)注入
在sql语句执行环境中,每条sql都用分号来区分,大部分数据库都支持多条语句一起执行,只要用分号隔开即可;那么通过利用分号也可以做其他危险动作或执行其他查询。
查询两条数据
select * from user where id=8; select * from user where id=4;执行危险语句(删除掉用户表)
select * from user where id=8; drop table user;
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
user_id = get_argument('8; drop table user;')
# sql语句拼接
# _sql相当于 'select * from user where id=8; drop table user;'
_sql = 'select * from user where id=' + user_id
# 执行查询并取得结果集
result = conn.query(_sql)
# 打印结果
for i in result:
print(i)
# 显示结果
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
执行完这块代码之后,虽然数据时正常显示了,但是表也被删除了。。。。。。(只能再次建表插入数据,才能往下走了)。
使用SQL参数(SQL Parameters)来规避注入
规避or关键字
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
user_id = get_argument('8 or 1=1')
# sql语句拼接
_sql = 'select * from user where id=%s'
# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])
# 打印结果
for i in result:
print(i)
# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8 or 1=1'
return cursor.execute(query, kwparameters or parameters)
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
规避分号(;)关键字
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
user_id = get_argument('8;drop table user;')
# sql语句拼接
_sql = 'select * from user where id=%s'
# 执行查询并取得结果集
result = conn.query(_sql, *[user_id, ])
# 打印结果
for i in result:
print(i)
# 显示结果
C:\Python27\lib\site-packages\torndb.py:234: Warning: Truncated incorrect DOUBLE value: '8;drop table user;'
return cursor.execute(query, kwparameters or parameters)
{'username': u'zhangsan8', 'id': 8L, 'realname': u'\u5f20\u4e098'}
规避等号(=)特殊字符
# -.- coding:utf-8 -.-
import torndb
# 模拟框架中的获取字段参数的方法.
def get_argument(argument):
return str(argument)
# 连接数据库
conn = torndb.Connection('127.0.0.1', 'sql_injection', 'root', '123456')
# 获取参数
username = get_argument('" or "1"="1')
realname = get_argument('" or "1"="1')
# sql语句拼接
_sql = 'select * from user where username="%s" and realname="%s"'
# 执行查询并取得结果集
result = conn.query(_sql, *[username, realname])
# 打印结果
for i in result:
print(i)
# 显示结果
没有任何结果
追溯源码
# torndb.py
Class Connection:
def query(self, query, *parameters, **kwparameters):
self._execute(cursor, query, parameters, kwparameters)
def _execute(self, cursor, query, parameters, kwparameters):
cursor.execute(query, kwparameters or parameters)
# MySQLdb/cursors.py
class BaseCursor(object):
def execute(self, query, args=None):
# 将sql语句进行encode转码
# 执行sql语句(虚执行)
res = self._query(query)
def _query(self, q):
# 执行sql语句(虚执行)
return self._do_query(q)
def _do_query(self, q):
# 执行sql语句(交给C语言接口去查询)
db.query(q)
# 异步返回结果
self._do_get_result()
参考
- [x] SQL Injection