如何判断sql注入流量特征

以dvwa的sql注入为例

首先构造一个完整的sql注入请求包

GET /dvwa_2.0.1/vulnerabilities/sqli/?id=1&Submit=Submit HTTP/1.1
Host: 10.9.47.41
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Referer: http://10.9.47.41/dvwa_2.0.1/vulnerabilities/sqli/
Cookie: security=low; PHPSESSID=fn83sjiabpfqv6lv885ftmlfg0
Upgrade-Insecure-Requests: 1

将其保存成一个文件

开启wireshark监听后，然后使用sqlmap测试

监听到的http包

可见其长度都比较长，因为需要使用较长的语句来查询，并且会出现url以及特殊字符抑或是特殊字符的编码格式

可以总结为

1. 参数长度较长，可以在流量数据中寻找长度较长的包
2. 非法字符及其编码，可以看到‘ “等字符的或者其编码格式
3. 异常请求，http请求中会包含一或多个查询语句，或者包含某些参数
4. 错误响应，如果注入语句不合规，可能会出现报错的响应包
5. 非常规流量，可能在同一时间段出现大量的请求，或是相同的请求。

1.出现一些特殊字符{eg：单引号–‘、双引号–“”、括号–()、单引号括号–’(、双引号括号–"(等一些常见的特殊的字符}；

  eg：http://localhost/index.php/?id=1'and+1=1--+

  eg：http://localhost/index.php/?id=1 and 1=1 -- -和1 and 1=2 --+

2.出现SQL命令/语句（增加、删除、修改、查询语句或者各语句之间的串接）

eg：url/?id=1" union select updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1) – -

eg：url/?id=-1’ union select 1,group_concat(schema_name),3 from information_schemaschemata --+

3.出现注释符号（在语句的最后出现连续2个减号字元 – 后的 文字为注解，或“/”与“/”所包起来的文字为注解）

4.在url上出现万能密码字段 ‘or’1’='1

5.出现常见的特殊函数

database()、updatexml()、extractvalue()、group_concat()、concat()、limit()、order by()、unsion()、system_user()、version()、load_file()、seelp()、length()、exp()、group by()、substr()、and、or等函数。

eg：?id=1” and updatexml(1,concat(0x7e,database()),3) --+

eg：?id=-1’ union select 1,2,seelp(5)–+

eg：1” union select updatexml(1,concat(0x7e,(select group_concat(username) from users)),1) #

6.出现各种编码（eg：url编码，base64编码等）可利用Burp或 者在线解/编码器进行操作查看是否有特殊字段。
7.user-agent字段出现sqlmap/1...#dev (http://sqlmap.org)
操作查看是否有特殊字段。
7.user-agent字段出现sqlmap/1...#dev (http://sqlmap.org)