以下内容来自《白帽子讲web安全》一书

Step

1. 查找注入点

2. 输入单引号',如果Web服务器开启了错误回显，那定是极好的，可以给我们提供很多有用的信息，如果没有错误回显，我们可以通过盲注来判断是否可以注入。

   • 比如数字型注入http://newspaper.com/items.php?id=2我们构造http://newspaper.com/items.php?id=2 and 1=2，这里后面永远是假，所以我们会看到页面是空或者是出错的页面。

   • 接下来，再来验证这一点，构造http://newspaper.com/items.php?id=2 and 1=1，如果此时页面正常返回了，那么就可以判断id参数存在SQL注入了。

   • 盲注中一个非常隐蔽的技巧：TimingAttack。

     • 在MySQL中有一个BENCHMARK(count,expr)函数，它是用于测试函数性能的。它将表达式expr执行count次。我们可以利用这个函数，让它执行若干次，使得结果返回的时间比平时要长；通过时间长短的变化，来判断注入语句是否执行成功。

     • 在不同的数据库中都有着类似BENCHMARK()的函数。

     • MySQL	BENCHMARK(10000000,md5(1)) or SLEEP(5)
       PostgreSQL	PG_SLEEP(5) or GENERATE_SERIES(1,1000000)
       MS SQL Server	WAITFOR DELAY '0:0:5'

3. 常见的注入攻击技巧
   • 判断数据库对应版本、表的结构、username、password等一系列信息，虽然可以通过手工一次次判断，但是使用工具是更明智的选择，比如sqlmap.py
   • 读写文件的技巧，比如在MySQL中，可以通过LOAD_FILE()读取系统文件，并通过INTO DUMPFILE写入本地文件。当然这要求当前数据库用户有读写系统相应文件或目录的权限。
     • .....union select 1,1, LOAD_FILE('/etc/passwd'),1,1;
     • 如果要将文件读出后，再返回给攻击者，则可以将系统文件读出、写入系统、然后通过LOAD DATA INFILE将文件导入常见的表中，最后就可以通过一般的注入攻击技巧直接操作表数据了。
     • CREATE TABLE protatoes(lline BLOB);
     • UNION SELECT 1,1,HEX(LOAD_FILE('/etc/passwd')),1,1 INTO DUMPFILE '/tmp/potatoes';
     • LOAD DATA INFILE '/tmp/potatoes' INTO TABLE potatoes;
     • 除了INTO DUMPFILE，还有INTO OUTFILE，两者区别是前者是用于二进制文件，它会将目标文件写入同一行内；二后者更适用于文本文件。
   • 命令执行：在MySQL中，除了可以通过导出webshell间接地执行命令，还可以利用“用户自定义函数”技巧，及UDF(User-Defined Functions)来执行命令。原理是在流行的数据库中，一般都支持从本地文件系统中导入一个共享库文件作为自定义函数，使用如下语法可以常见UDF
     • CREATE FUNCTION f_name RETURNS INTEGER SONAME shared_library
     • 有研究者给出了代码可以通过UDF执行系统命令，但是这段代码在MySQL 5及后版本中受到限制。但是我们也可以用另一种方法——通过lib_mysqludf_sys提供的几个函数执行系统命名，其中最主要的是sys_eval()和sys_exec()。
       • sys_eval ，执行任意命令，并将输出返回。
       • sys_exec ，执行任意命令，并将退出码返回。
       • sys_get ，获取一个环境变量。
       • sys_set ，创建或修改一个环境变量。
     • 自动化注入工具已经集成了此功能。
       • python sqlmap.py -u "http://192.168.136.131/sqlmap/pgsql/get_init.php?id=1" --os-cmd id -v 1
   • 攻击存储过程：存储过程位数据库提供了强大的功能，它与UDF很像，但存储过程必须使用CALL或者EXECUTE来执行。在MS SQL Server和Oracle数据库中，都有大量内置的存储过程。
     • 比较"臭名昭著"的有“xp_cmdshell”、“xp_regread”等。还有很多有帮助的存储过程，详细的在书中P164。
   • 编码问题：当MySQL使用GBK编码是，0xbf27和0xbf5c都会被认为是一个字符（双字节字符）。而在进入数据库之前，在Web语言中则没有考虑到双字节字符问题，双字节字符会被认为是两个字节。比如php中 addslashes() 函数，或者当 magic_quotes_gpc 开启时，会在特殊字符前增加一个转义字符 “\”。因此，当攻击者输入：0xbf27 or 1=1，经转义后会变成 0xbf5c27(\ 的ASCII码为0x57)，但0xbf57又是另一个字符。因此原本会存在的转义符号“\”，在数据库中就被吃掉了。
   • SQL Column Truncation:MySQL中有一个sql-mode，当其被设置为 default 时，即没有开启 STRICt_ALL_TABLES 选项时，MySQL对于用户插入的超长值只会提示warning，而不是error（如果error，则插入不成功），这可能会导致发生一些“截断”问题。