本發明提供了一種繞過select關鍵字的sql注入的方法，屬于網絡安全領域。本發明提供了一種繞過select關鍵字的sql注入方法，在select關鍵字注入都無法使用時，可以實現sql注入。本發明利用mysql8.0中無需select關鍵字即可查詢數據庫的新特性，利用table和VALUES的特點，在需要進行sql注入的表中，使用union table進行sql注入，實現了繞過select關鍵字的sql注入。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種繞過select關鍵字的sql注入方法。

背景技術

隨著網絡安全的發展，紅藍軍(紅為攻擊者一方，藍為開發者一方)對抗演練也日益普遍，而SQL注入也是作為紅隊攻擊的常用手法之一，盡管現在框架大部分都使用的是預處理的方式使數據層與語句執行層分離方式來避免SQL注入。但難免有一小部分的接口數據調用被開發給忽略,從而使紅隊找到突破點，乘虛而入。SQL注入點無需多，只需一個點就能把整個數據庫的數據提取出來。所以相應的藍方也開始部署各種各樣的web應用防火墻。雖然這些應用防火墻各方面都做得盡善盡美，但難免會百密一疏，被攻擊者從一些小的口進行突破。因此，對于開發者來說，只有掌握了攻擊者的各種攻擊手段才能夠做到更好的防護。

在現有技術中，常見的sql注入以及它的防護與繞過方式如下。

1.在毫無防范的系統中利用select進行注入

在一個毫無防范的系統中，通常的sql注入流程是這樣的，比如對url地址進行篡改，正常情況下，在一個url地址中“id＝5”與“id＝6-1”，是完全不同的，不會進行6-1的算術運算得到5，但是被sql注入后，訪問這個url地址，其中區別在于“id＝5”和“id＝6-1”，會返回相同的網頁，說明該網頁存在sql注入。如圖1和2所示。

這樣，接下來就可以通過聯合查詢union select，獲取到網站管理員的賬號密碼，舉例說明，如圖3所示，為從一個普通的數據庫中獲取管理員賬號密碼的場景，其中第一行語句中user和pwd表示數據表的列名，wp_user表示數據表名。數據庫執行語句表示通過聯合查詢的方式來查詢wp_user數據表中user和pwd列名的數據，id＝-1。前半句“selecttitle,content from wp_news where id＝-1”，表示查詢一個id字段數據為“-1”的wp_news數據表的title、content列中的數據，此時，攻擊者故意讓id＝-1去查詢一個不存在的列數據，導致查詢失敗，從而能夠執行后半句查詢語句：“union select user,pwd fromwp_user”語句，至此攻擊者利用聯合查詢實現了sql注入。

但上面的方法有個問題，就是union select這個特征比較明顯，開發者的一個防護方法就是進行字符替換。

2.select注入的防護方法：字符替換

在一些小型的cms(建站系統)中，常看到如下的輸入防護代碼：

$str＝str_replace(select,,$str)；

$str＝str_replace(union,,$str)；

這樣使用union select進行注入的sql語句會產生語法錯誤，導致不能注入。繞過方式很簡單，比如雙寫”selectselect”，或者使用大小寫如”Select”，對于這種變形，開發者將字符替換也進行改變，如下：

$str＝str_ireplace(select,***,$str)；

$str＝str_ireplace(union,***,$str)；

這種字符替換雖然有效，能解決大部分的注入問題，但是會引發一個新的問題，因為替換往往是全局的，也就是說所有用戶的輸入都會被替換，會影響正常的業務運行。于是開發者們換了一種思路：正則匹配。