// Inside the MySQL container

# mysql -u root -pdees

可知此時(shí)我們開啟容器，并且進(jìn)入數(shù)據(jù)庫(kù)容器，運(yùn)行SQL命令后即可進(jìn)入數(shù)據(jù)庫(kù)。登錄后，我們可以創(chuàng)建新的數(shù)據(jù)庫(kù)或加載現(xiàn)有數(shù)據(jù)庫(kù)。由于我們已經(jīng)利用labsetup壓縮文件中創(chuàng)建的sqllab_users數(shù)據(jù)庫(kù)，因此只需要使用使用命令加載此現(xiàn)有數(shù)據(jù)庫(kù)。要顯示sqllab_users數(shù)據(jù)庫(kù)中存在哪些表，您可以使用顯示表命令打印出選定數(shù)據(jù)庫(kù)的所有表。后續(xù)的操作可以進(jìn)一步使我們熟悉SQL的相關(guān)語句。

mysql> use sqllab_users;?? //使用數(shù)據(jù)庫(kù)

Database changed

mysql> show tables;?????? //展示數(shù)據(jù)庫(kù)中的表信息

+------------------------+

| Tables_in_sqllab_users |

+------------------------+

| credential |

+------------------------+

??????? 運(yùn)行上述命令后，您需要使用 SQL 命令打印員工 Alice 的所有個(gè)人資料信息。截圖如下：

任務(wù) 2： 基于SELECT語句的SQL注入攻擊

??????? SQL 注入是一種基本攻擊技術(shù)，攻擊者可以通過該技術(shù)執(zhí)行自己的惡意 SQL 語句（通常稱為惡意payload有效載荷）。通過惡意 SQL 語句，攻擊者可以從受害者數(shù)據(jù)庫(kù)竊取信息：更糟的是，他們也許能夠?qū)?shù)據(jù)庫(kù)進(jìn)行更改。我們的員工管理 Web 應(yīng)用程序具有 SQL 注入漏洞，它模仿了開發(fā)人員經(jīng)常犯的錯(cuò)誤。

??????? 我們將使用?www.seed-server.com?的登錄頁面執(zhí)行此任務(wù)。登錄頁面顯示在圖 1 中。它要求用戶提供用戶名和密碼。Web 應(yīng)用程序根據(jù)這兩個(gè)數(shù)據(jù)對(duì)用戶進(jìn)行身份驗(yàn)證，因此只有知道密碼的員工才能登錄。作為攻擊者，我們的工作是在不知道任何員工憑據(jù)的情況下登錄 Web 應(yīng)用程序。登錄界面如下：

??????? 我們首先了解如何在 Web 應(yīng)用程序中實(shí)現(xiàn)身份驗(yàn)證。PHP 代碼unsafe home.php位于/var/www/SQL_Injection 目錄中，用于進(jìn)行用戶身份驗(yàn)證。以下代碼片段顯示用戶如何進(jìn)行身份驗(yàn)證。

$input_uname = $_GET[’username’];

$input_pwd = $_GET[’Password’];

$hashed_pwd = sha1($input_pwd);

...

$sql = "SELECT id, name, eid, salary, birth, ssn, address, email,nickname, Password FROM credential

WHERE name= ’$input_uname’ and Password=’$hashed_pwd’";

$result = $conn -> query($sql);

%%//%% The following is Pseudo Code

if(id != NULL) {

if(name==’admin’) {

return All employees information;

} else if (name !=NULL){

return employee information;

}

} else {

Authentication Fails;

}

??????? 上述 SQL 語句從credential表中選擇員工個(gè)人信息，如 ID、姓名、工資、ssn等。

SQL 語句使用兩個(gè)輸入變量input_uname和hashed_pwd，其中input_uname是在登錄頁面的用戶名字段中鍵入的字符串，而hashed_pwd則保存用戶鍵入的密碼的sha1哈希值。程序檢查任何記錄是否與所提供的用戶名和密碼匹配;如果匹配，用戶將成功進(jìn)行身份驗(yàn)證，并獲得相應(yīng)的員工信息。如果沒有匹配，則身份驗(yàn)證將失敗。

??????? 任務(wù) 2.1：來自網(wǎng)頁的 SQL 注入攻擊。

??????? 我們的任務(wù)是從登錄頁面以管理員的身份登錄 Web 應(yīng)用程序，以便可以查看所有員工的信息。我們假設(shè)確實(shí)知道管理員的帳戶名稱是admin，但不知道密碼。此時(shí)，我們需要決定在用戶名和密碼字段中鍵入什么才能在攻擊中取得成功。

??????? 我們通過分析登錄界面的相關(guān)代碼可以知道，其中的SQL語句存在登錄的漏洞，我們通過輸入一直的用戶名，構(gòu)造一個(gè)偽SQL語句即可登錄，展示如上。

??????? 任務(wù) 2.2：從命令行進(jìn)行 SQL 注入攻擊。

????? 此時(shí)的任務(wù)是重復(fù)任務(wù) 2.1，但需要在不使用網(wǎng)頁的情況下執(zhí)行此任務(wù)。我們可以使用命令行工具，如curl，它可以發(fā)送 HTTP 請(qǐng)求。值得一提的是，如果要在 HTTP 請(qǐng)求中包含多個(gè)參數(shù)，則需要將?URL?和參數(shù)放在一對(duì)單引號(hào)之間;否則，用于分離參數(shù)（& ）的特殊字符將由shell程序解釋，從而更改命令的含義。下列示例顯示了如何向我們的 Web 應(yīng)用程序發(fā)送 HTTP GET 請(qǐng)求，并附加了兩個(gè)參數(shù)（用戶名和密碼）：

$ curl ‘www.seed-server.com/unsafe_home.php?username=alice&Password=seedalice’

??????? 如果需要在用戶名或密碼字段中包含特殊字符，則需要正確編碼它們，或者它們可能更改請(qǐng)求的含義。如果想在這些字段包含單引號(hào)，我們應(yīng)該用%27代替：如果想包括空格，我們應(yīng)該使用%20。在這項(xiàng)任務(wù)中，當(dāng)使用curl發(fā)送請(qǐng)求時(shí)，我們確實(shí)需要處理 HTTP 編碼。

??????? 由上圖，我們可以看出，通過命令行的方式，我們也能夠訪問到我們的目標(biāo)網(wǎng)頁，通過對(duì)圖中標(biāo)記的代碼段進(jìn)行解析，我們可以得到相應(yīng)的數(shù)據(jù)信息。但是此時(shí)我們需要注意的是需要講1中的“’”“#”轉(zhuǎn)換成%27和%23以及將其中的空格轉(zhuǎn)換成“+”。

??????? 任務(wù) 2.3：附加新的 SQL 語句。

??????? 在上述兩次攻擊中，我們只能從數(shù)據(jù)庫(kù)中竊取信息;如果我們能夠使用登錄頁面中的相同漏洞修改數(shù)據(jù)庫(kù)，情況會(huì)更好。一種想法是使用 SQL 注入攻擊將一個(gè) SQL 語句變成兩個(gè)，第二個(gè)是更新或刪除語句。在 SQL 中，分號(hào)（;)用于分離兩個(gè) SQL 語句。請(qǐng)嘗試通過登錄頁面運(yùn)行兩個(gè) SQL 語句。

??????? 通過登錄界面實(shí)現(xiàn)兩個(gè)SQL語句登錄：由圖可知登錄失敗

通過curl的方式，我們?cè)诿钚羞M(jìn)行訪問時(shí)，得到的結(jié)果是一樣的，也就是說，在MySQL數(shù)據(jù)庫(kù)中是無法利用兩個(gè)SQL語句進(jìn)行對(duì)漏洞的攻擊和訪問的。

任務(wù) 3：基于UPDATE語句的 SQL 注入攻擊

??????? 如果 SQL 注入漏洞發(fā)生在 UPDATE 聲明中，則損壞將更為嚴(yán)重，因?yàn)楣粽呖梢允褂迷撀┒葱薷臄?shù)據(jù)庫(kù)。在我們的員工管理應(yīng)用程序中，有一個(gè)編輯配置文件頁面（圖 2），允許員工更新其個(gè)人資料信息，包括昵稱、電子郵件、地址、電話號(hào)碼和密碼。要訪問此頁面，員工需要首先登錄。

??????? 當(dāng)員工通過編輯配置文件頁面更新其信息時(shí)，將執(zhí)行以下SQL UPDATE查詢。Unsafe_edit_backend.php代碼文件用于更新員工的個(gè)人資料信息，該P(yáng)HP 文件位于 /var/www/SQLInjection目錄中。

$hashed_pwd = sha1($input_pwd);

$sql = "UPDATE credential SET

nickname=’$input_nickname’,

email=’$input_email’,

address=’$input_address’,

Password=’$hashed_pwd’,

PhoneNumber=’$input_phonenumber’

WHERE ID=$id;";

$conn->query($sql);

任務(wù)3.1：修改自己的工資。

??????? 如編輯配置文件頁面所示，員工只能更新昵稱、電子郵件、地址、電話號(hào)碼和密碼;他們無權(quán)更改工資。假設(shè)我們是員工Alice，而你的老板Boby今年沒有增加你的薪水。我們希望通過利用編輯配置文件頁面中的 SQL 注入漏洞來增加自己的工資。并且我們知道工資在SQL語句中存儲(chǔ)在字段名為salary中。

??????? 由上面所得到的代碼段落分析，我們通過下圖中的操作，即可利用該系統(tǒng)中的SQL漏洞進(jìn)行修改個(gè)人的工資。

工資修改之前的個(gè)人各項(xiàng)數(shù)據(jù)情況，分別是個(gè)人主頁面和Edit Profile頁面的情況：

由上文的代碼塊我們可知，最終提交的字段為Phone Number，所以我們?cè)谳斎霑r(shí)通過更改在Phone Number中的數(shù)據(jù)內(nèi)容，來完成我們對(duì)個(gè)人工資信息的更改，輸入語句如下：

??????? ???????????????? Phonenumber’,salary=’修改工資 ?(標(biāo)點(diǎn)均為英文)

通過上述操作后，我們?cè)诖瞬榭醋约簜€(gè)人的信息，可以看到已經(jīng)修改了個(gè)人的工資以及其他的各項(xiàng)信息：

???????

任務(wù)3.2：修改他人工資。

??????? 由上操作，我們可知曉，可以通過更改相關(guān)的字段來更改自己個(gè)人的工資，下面我們將利用相同的原理對(duì)Boby的工資進(jìn)行修改（目標(biāo)為將工資修改為1）。

??????? Password=’$hashed_pwd’,

??????? PhoneNumber=’$input_phonenumber’

??????? WHERE ID=$id;";

??????? 這幾行代碼我們可以知道，最終提交哦SQL語句時(shí)是通過ID進(jìn)行區(qū)別人員的，所以我們還是和任務(wù)3.1一樣，在Phone Number中進(jìn)行操作，入的代碼如下：

??????? Phonenumber’,salary=’1’ where name=’Boby’;#

截圖展示如下：

?????? 過此番操作后，我們可以通過登錄管理員的賬號(hào)進(jìn)行查詢，以驗(yàn)證我們的操作是否生效，查詢結(jié)果如下圖所展示：

?????? 過查詢，我們可以看到已經(jīng)將Boby的工資修改為“1”。

任務(wù)3.3：修改他人密碼。?

?????? 由3.2我們已經(jīng)對(duì)Boby的薪資進(jìn)行了修改，下一步我們希望能夠通過類似的方式，利用sql語句中的漏洞，將Boby 的賬戶密碼修改為我們知曉的，從而我們可以登錄其賬戶進(jìn)行進(jìn)一步的操作。此時(shí)，我們知道了上述的相應(yīng)代碼塊以及知曉數(shù)據(jù)庫(kù)存儲(chǔ)了密碼的哈希值，而不是簡(jiǎn)單的密碼字符串并且它使用了SHA1 哈希功能生成密碼的哈希值。下面我們將嘗試是否能夠更改Boby的賬戶密碼。

??????? 此過程中我們將通過修改Phone number中的語句來修改Boby的密碼，語句如下：

??????? 123456',Password=sha1('alice11') where name='Boby';#

??????? 通過上述的修改后，我們通過登錄Boby的賬戶進(jìn)行驗(yàn)證是否修改成功，我們將先輸入原始密碼：seedboby,通過登錄發(fā)現(xiàn)密碼錯(cuò)誤無法登錄。：

??????? 接下來我們將輸入自己修改后的密碼進(jìn)行登錄驗(yàn)證：

??????? 此時(shí)我們發(fā)現(xiàn)，登錄成功，證明我們對(duì)Boby的密碼修改成功。

五、實(shí)驗(yàn)結(jié)果及分析

??????? 此次實(shí)驗(yàn)，我們通過多項(xiàng)操作能夠?qū)崿F(xiàn)對(duì)一個(gè)簡(jiǎn)單編寫的前端頁面和數(shù)據(jù)庫(kù)的SQL注入攻擊，實(shí)驗(yàn)過程中我們通過不同的方法實(shí)現(xiàn)了對(duì)用戶信息以及用戶賬戶信息的更改和侵入。此外，我們通過對(duì)源代碼的分析，基本上實(shí)現(xiàn)了簡(jiǎn)單SQL注入攻擊的防御，但是相對(duì)而言還有更多的問題亟待解決，不過就整體而言，初步達(dá)到了實(shí)驗(yàn)的預(yù)期目標(biāo)。

六、總結(jié)

????????通過此次實(shí)驗(yàn)，我們利用SQL注入的方法實(shí)現(xiàn)了相關(guān)的簡(jiǎn)易攻擊，進(jìn)一步理解了數(shù)據(jù)庫(kù)漏洞的危害性，同時(shí)明白了web開發(fā)過程中嚴(yán)謹(jǐn)性的重要性，熟悉了web開發(fā)中開發(fā)人員常犯的常規(guī)錯(cuò)誤，使得我們更加清晰的認(rèn)識(shí)了SQL注入攻擊帶來的損害。文章來源地址http://www.zghlxwxcb.cn/news/detail-848415.html

到了這里，關(guān)于網(wǎng)絡(luò)安全---SQL注入攻擊的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！