通??醋⑷雰?nèi)容就可以知道是從哪個功能點(diǎn)注入的了,
專注于為中小企業(yè)提供網(wǎng)站設(shè)計、成都網(wǎng)站設(shè)計服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)寶山免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動了超過千家企業(yè)的穩(wěn)健成長,幫助中小企業(yè)通過網(wǎng)站建設(shè)實現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。
實在不行看看有用戶輸入的地方,自己沒做過濾的地方吧
本人ctf選手一名,在最近做練習(xí)時遇到了一些sql注入的題目,但是sql注入一直是我的弱項之一,所以寫一篇總結(jié)記錄一下最近學(xué)到的一些sql注入漏洞的利用。
在可以聯(lián)合查詢的題目中,一般會將數(shù)據(jù)庫查詢的數(shù)據(jù)回顯到首頁面中,這是聯(lián)合注入的前提。
適用于有回顯同時數(shù)據(jù)庫軟件版本是5.0以上的MYSQL數(shù)據(jù)庫,因為MYSQL會有一個系統(tǒng)數(shù)據(jù)庫information_schema, information_schema 用于存儲數(shù)據(jù)庫元數(shù)據(jù)(關(guān)于數(shù)據(jù)的數(shù)據(jù)),例如數(shù)據(jù)庫名、表名、列的數(shù)據(jù)類型、訪問權(quán)限等
聯(lián)合注入的過程:
判斷注入點(diǎn)可以用and 1=1/and 1=2用于判斷注入點(diǎn)
當(dāng)注入類型為數(shù)字型時返回頁面會不同,但都能正常執(zhí)行。
sql注入通常為數(shù)字型注入和字符型注入:
1、數(shù)字型注入
數(shù)字型語句:
在這種情況下直接使用and 1=1/and 1=2是都可以正常執(zhí)行的但是返回的界面是不一樣的
2、字符型注入
字符型語句:
字符型語句輸入我們的輸入會被一對單引號或這雙引號閉合起來。
所以如果我們同樣輸入and 1=1/and 1=2會發(fā)現(xiàn)回顯畫面是并無不同的。
在我們傳入and 1=1/and 1=2時語句變?yōu)?/p>
傳入的東西變成了字符串并不會被當(dāng)做命令。
所以字符型的測試方法最簡單的就是加上單引號 ' ,出現(xiàn)報錯。
加上注釋符--后正?;仫@界面。
這里還有的點(diǎn)就是sql語句的閉合也是有時候不同的,下面是一些常見的
這一步可以用到order by函數(shù),order by 函數(shù)是對MySQL中查詢結(jié)果按照指定字段名進(jìn)行排序,除了指定字 段名還可以指定字段的欄位進(jìn)行排序,第一個查詢字段為1,第二個為2,依次類推,所以可以利用order by就可以判斷列數(shù)。
以字符型注入為例:
在列數(shù)存在時會正?;仫@
但是列數(shù)不存在時就會報錯
這步就說明了為什么是聯(lián)合注入了,用到了UNION,UNION的作用是將兩個select查詢結(jié)果合并
但是程序在展示數(shù)據(jù)的時候通常只會取結(jié)果集的第一行數(shù)據(jù),這就讓聯(lián)合注入有了利用的點(diǎn)。
當(dāng)我們查詢的第一行是不存在的時候就會回顯第二行給我們。
講查詢的數(shù)據(jù)置為-1,那第一行的數(shù)據(jù)為空,第二行自然就變?yōu)榱说谝恍?/p>
在這個基礎(chǔ)上進(jìn)行注入
可以發(fā)現(xiàn)2,3都為可以利用的顯示點(diǎn)。
和前面一樣利用union select,加上group_concat()一次性顯示。
現(xiàn)在非常多的Web程序沒有正常的錯誤回顯,這樣就需要我們利用報錯注入的方式來進(jìn)行SQL注入了
報錯注入的利用步驟和聯(lián)合注入一致,只是利用函數(shù)不同。
以updatexml為例。
UpdateXML(xml_target, xpath_expr, new_xml)
xml_target: 需要操作的xml片段
xpath_expr: 需要更新的xml路徑(Xpath格式)
new_xml: 更新后的內(nèi)容
此函數(shù)用來更新選定XML片段的內(nèi)容,將XML標(biāo)記的給定片段的單個部分替換為 xml_target 新的XML片段 new_xml ,然后返回更改的XML。xml_target替換的部分 與xpath_expr 用戶提供的XPath表達(dá)式匹配。
這個函數(shù)當(dāng)xpath路徑錯誤時就會報錯,而且會將路徑內(nèi)容返回,這就能在報錯內(nèi)容中看到我們想要的內(nèi)容。
而且以~開頭的內(nèi)容不是xml格式的語法,那就可以用concat函數(shù)拼接~使其報錯,當(dāng)然只要是不符合格式的都可以使其報錯。
[極客大挑戰(zhàn) 2019]HardSQL
登錄界面嘗試注入,測試后發(fā)現(xiàn)是單引號字符型注入,且對union和空格進(jìn)行了過濾,不能用到聯(lián)合注入,但是有錯誤信息回顯,說明可以使用報錯注入。
利用updatexml函數(shù)的報錯原理進(jìn)行注入在路徑處利用concat函數(shù)拼接~和我們的注入語句
發(fā)現(xiàn)xpath錯誤并執(zhí)行sql語句將錯誤返回。
在進(jìn)行爆表這一步發(fā)現(xiàn)了等號也被過濾,但是可以用到like代替等號。
爆字段
爆數(shù)據(jù)
這里就出現(xiàn)了問題flag是不完整的,因為updatexml能查詢字符串的最大長度為32,所以這里要用到left函數(shù)和right函數(shù)進(jìn)行讀取
報錯注入有很多函數(shù)可以用不止updatexml一種,以下三種也是常用函數(shù):
堆疊注入就是多條語句一同執(zhí)行。
原理就是mysql_multi_query() 支持多條sql語句同時執(zhí)行,用;分隔,成堆的執(zhí)行sql語句。
比如
在權(quán)限足夠的情況下甚至可以對數(shù)據(jù)庫進(jìn)行增刪改查。但是堆疊注入的限制是很大的。但是與union聯(lián)合執(zhí)行不同的是它可以同時執(zhí)行無數(shù)條語句而且是任何sql語句。而union執(zhí)行的語句是有限的。
[強(qiáng)網(wǎng)杯 2019]隨便注
判斷完注入類型后嘗試聯(lián)合注入,發(fā)現(xiàn)select被過濾,且正則不區(qū)分大小寫過濾。
那么就用堆疊注入,使用show就可以不用select了。
接下去獲取表信息和字段信息
那一串?dāng)?shù)字十分可疑大概率flag就在里面,查看一下
這里的表名要加上反單引號,是數(shù)據(jù)庫的引用符。
發(fā)現(xiàn)flag,但是沒辦法直接讀取。再讀取words,發(fā)現(xiàn)里面有個id字段,猜測數(shù)據(jù)庫語句為
結(jié)合1'or 1=1#可以讀取全部數(shù)據(jù)可以利用改名的方法把修改1919810931114514為words,flag修改為id,就可以把flag讀取了。
最終payload:
盲注需要掌握的幾個函數(shù)
在網(wǎng)頁屏蔽了錯誤信息時就只能通過網(wǎng)頁返回True或者False判斷,本質(zhì)上是一種暴力破解,這就是布爾盲注的利用點(diǎn)。
首先,判斷注入點(diǎn)和注入類型是一樣的。
但是盲注沒有判斷列數(shù)這一步和判斷顯示位這兩步,這是和可回顯注入的不同。
判斷完注入類型后就要判斷數(shù)據(jù)庫的長度,這里就用到了length函數(shù)。
以[WUSTCTF2020]顏值成績查詢?yōu)槔?/p>
輸入?yún)?shù)后,發(fā)現(xiàn)url處有個get傳入的stunum
然后用到length函數(shù)測試是否有注入點(diǎn)。
發(fā)現(xiàn)頁面有明顯變化
將傳入變?yōu)?/p>
頁面回顯此學(xué)生不存在
那么就可以得出數(shù)據(jù)庫名長度為3
測試發(fā)現(xiàn)過濾了空格
然后就是要查數(shù)據(jù)庫名了,這里有兩種方法
一、只用substr函數(shù),直接對比
這種方法在寫腳本時可以用于直接遍歷。
二、加上ascii函數(shù)
這個payload在寫腳本時直接遍歷同樣可以,也可用于二分法查找,二分法速度更快。
接下來的步驟就和聯(lián)合注入一樣,只不過使用substr函數(shù)一個一個截取字符逐個判斷。但是這種盲注手工一個一個注十分麻煩所以要用到腳本。
直接遍歷腳本
二分法腳本
時間盲注用于代碼存在sql注入漏洞,然而頁面既不會回顯數(shù)據(jù),也不會回顯錯誤信息
語句執(zhí)行后也不提示真假,我們不能通過頁面的內(nèi)容來判斷
所以有布爾盲注就必有時間盲注,但有時間盲注不一定有布爾盲注
時間盲注主要是利用sleep函數(shù)讓網(wǎng)頁的響應(yīng)時間不同從而實現(xiàn)注入。
sql-lab-less8:
無論輸入什么都只會回顯一個you are in...,這就是時間盲注的特點(diǎn)。
當(dāng)正常輸入?id=1時時間為11毫秒
判斷為單引號字符型注入后,插入sleep語句
明顯發(fā)現(xiàn)響應(yīng)時間為3053毫秒。
利用時間的不同就可以利用腳本跑出數(shù)據(jù)庫,后續(xù)步驟和布爾盲注一致。
爆庫
爆表
爆字段
腳本
在進(jìn)行SQL注入時,發(fā)現(xiàn)union,and,or被完全過濾掉了,就可以考慮使用異或注入
什么是異或呢
異或是一種邏輯運(yùn)算,運(yùn)算法則簡言之就是:兩個條件相同(同真或同假)即為假(0),兩個條件不同即為真(1),null與任何條件做異或運(yùn)算都為null,如果從數(shù)學(xué)的角度理解就是,空集與任何集合的交集都為空
即 1^1=0,0^0=0,1^0=1
利用這個原理可以在union,and,or都被過濾的情況下實現(xiàn)注入
[極客大挑戰(zhàn) 2019]FinalSQL
給了五個選項但是都沒什么用,在點(diǎn)擊后都會在url處出現(xiàn)?id。
而且union,and,or都被過濾
測試發(fā)現(xiàn)?id=1^1會報錯
但是?id=1^0會返回?id=1的頁面,這就是前面說的原理,當(dāng)1^0時是等于1的所以返回?id=1的頁面。
根據(jù)原理寫出payload,進(jìn)而寫出腳本。
爆庫
爆表
爆字段
據(jù)此可以寫出基于異或的布爾盲注腳本
實驗推薦:課程:SQL注入初級(合天網(wǎng)安實驗室)
條件:1、知道站點(diǎn)物理路徑
2、有足夠大的權(quán)限(可以用select …. from mysql.user測試)
3、magic_quotes_gpc()=OFF
MySQL SQL 注入
SQL注入可能是目前互聯(lián)網(wǎng)上存在的最豐富的編程缺陷。 這是未經(jīng)授權(quán)的人可以訪問各種關(guān)鍵和私人數(shù)據(jù)的漏洞。 SQL注入不是Web或數(shù)據(jù)庫服務(wù)器中的缺陷,而是由于編程實踐較差且缺乏經(jīng)驗而導(dǎo)致的。 它是從遠(yuǎn)程位置執(zhí)行的最致命和最容易的攻擊之一。
我們永遠(yuǎn)不要信任用戶的輸入,我們必須認(rèn)定用戶輸入的數(shù)據(jù)都是不安全的,我們都需要對用戶輸入的數(shù)據(jù)進(jìn)行過濾處理。
以下實例中,輸入的用戶名必須為字母、數(shù)字及下劃線的組合,且用戶名長度為 8 到 20 個字符之間:
讓我們看下在沒有過濾特殊字符時,出現(xiàn)的SQL情況:
以上的注入語句中,我們沒有對 $name 的變量進(jìn)行過濾,$name 中插入了我們不需要的SQL語句,將刪除 users 表中的所有數(shù)據(jù)。
在PHP中的 mysqli_query() 是不允許執(zhí)行多個 SQL 語句的,但是在 SQLite 和 PostgreSQL 是可以同時執(zhí)行多條SQL語句的,所以我們對這些用戶的數(shù)據(jù)需要進(jìn)行嚴(yán)格的驗證。
防止SQL注入,我們需要注意以下幾個要點(diǎn):
永遠(yuǎn)不要信任用戶的輸入。對用戶的輸入進(jìn)行校驗,可以通過正則表達(dá)式,或限制長度;對單引號和 雙”-“進(jìn)行轉(zhuǎn)換等。
永遠(yuǎn)不要使用動態(tài)拼裝sql,可以使用參數(shù)化的sql或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取。
.永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫連接,為每個應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫連接。
不要把機(jī)密信息直接存放,加密或者h(yuǎn)ash掉密碼和敏感的信息。
應(yīng)用的異常信息應(yīng)該給出盡可能少的提示,最好使用自定義的錯誤信息對原始錯誤信息進(jìn)行包裝
sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測,軟件一般采用sql注入檢測工具jsky,網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻擊等。
教程來源:樹懶學(xué)堂_一站式數(shù)據(jù)知識學(xué)習(xí)平臺_MySQK 防止SQL注入
mysql 可以使用更安全的pdo_mysql接口來處理
所有的查詢參數(shù)話綁定
$sql = 'select * from table where id=:id';
$pdo-prepare($sql)-bindValue(':id', $id, PDO::PARAM_INT)-excute();
$pdo-fetch(); 來獲取數(shù)據(jù) 這樣可以很有效的避免被注入
它是一個自動化的SQL注入工具,其主要功能是掃描,發(fā)現(xiàn)并利用給定的URL的SQL注入漏洞,目前支持的數(shù)據(jù)庫是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。
SQLMAP采用四種獨(dú)特的SQL注入技術(shù),分別是盲推理SQL注入,UNION查詢SQL注入,堆查詢和基于時間的SQL盲注入。其廣泛的功能和選項包括數(shù)據(jù)庫指紋,枚舉,數(shù)據(jù)庫提取,訪問目標(biāo)文件系統(tǒng),并在獲取完全操作權(quán)限時實行任意命令。