SQL注入读书笔记

以下内容来自《白帽子讲web安全》一书

Step

  1. 查找注入点

  2. 输入单引号',如果Web服务器开启了错误回显,那定是极好的,可以给我们提供很多有用的信息,如果没有错误回显,我们可以通过盲注来判断是否可以注入。

    • 比如数字型注入http://newspaper.com/items.php?id=2我们构造http://newspaper.com/items.php?id=2 and 1=2,这里后面永远是假,所以我们会看到页面是空或者是出错的页面。

    • 接下来,再来验证这一点,构造http://newspaper.com/items.php?id=2 and 1=1,如果此时页面正常返回了,那么就可以判断id参数存在SQL注入了。

    • 盲注中一个非常隐蔽的技巧:TimingAttack

      • 在MySQL中有一个BENCHMARK(count,expr)函数,它是用于测试函数性能的。它将表达式expr执行count次。我们可以利用这个函数,让它执行若干次,使得结果返回的时间比平时要长;通过时间长短的变化,来判断注入语句是否执行成功。

      • 在不同的数据库中都有着类似BENCHMARK()的函数。

      • MySQL BENCHMARK(10000000,md5(1)) or SLEEP(5)
        PostgreSQL PG_SLEEP(5) or GENERATE_SERIES(1,1000000)
        MS SQL Server WAITFOR DELAY '0:0:5'
  1. 常见的注入攻击技巧
    • 判断数据库对应版本、表的结构、username、password等一系列信息,虽然可以通过手工一次次判断,但是使用工具是更明智的选择,比如sqlmap.py
    • 读写文件的技巧,比如在MySQL中,可以通过LOAD_FILE()读取系统文件,并通过INTO DUMPFILE写入本地文件。当然这要求当前数据库用户有读写系统相应文件或目录的权限。
      • .....union select 1,1, LOAD_FILE('/etc/passwd'),1,1;
      • 如果要将文件读出后,再返回给攻击者,则可以将系统文件读出、写入系统、然后通过LOAD DATA INFILE将文件导入常见的表中,最后就可以通过一般的注入攻击技巧直接操作表数据了。
      • CREATE TABLE protatoes(lline BLOB);
      • UNION SELECT 1,1,HEX(LOAD_FILE('/etc/passwd')),1,1 INTO DUMPFILE '/tmp/potatoes';
      • LOAD DATA INFILE '/tmp/potatoes' INTO TABLE potatoes;
      • 除了INTO DUMPFILE,还有INTO OUTFILE,两者区别是前者是用于二进制文件,它会将目标文件写入同一行内;二后者更适用于文本文件。
    • 命令执行:在MySQL中,除了可以通过导出webshell间接地执行命令,还可以利用“用户自定义函数”技巧,及UDF(User-Defined Functions)来执行命令。原理是在流行的数据库中,一般都支持从本地文件系统中导入一个共享库文件作为自定义函数,使用如下语法可以常见UDF
      • CREATE FUNCTION f_name RETURNS INTEGER SONAME shared_library
      • 有研究者给出了代码可以通过UDF执行系统命令,但是这段代码在MySQL 5及后版本中受到限制。但是我们也可以用另一种方法——通过lib_mysqludf_sys提供的几个函数执行系统命名,其中最主要的是sys_eval()sys_exec()
        • sys_eval ,执行任意命令,并将输出返回。
        • sys_exec ,执行任意命令,并将退出码返回。
        • sys_get ,获取一个环境变量。
        • sys_set ,创建或修改一个环境变量。
      • 自动化注入工具已经集成了此功能。
        • python sqlmap.py -u "http://192.168.136.131/sqlmap/pgsql/get_init.php?id=1" --os-cmd id -v 1
    • 攻击存储过程:存储过程位数据库提供了强大的功能,它与UDF很像,但存储过程必须使用CALL或者EXECUTE来执行。在MS SQL Server和Oracle数据库中,都有大量内置的存储过程。
      • 比较"臭名昭著"的有“xp_cmdshell”、“xp_regread”等。还有很多有帮助的存储过程,详细的在书中P164。
    • 编码问题:当MySQL使用GBK编码是,0xbf27和0xbf5c都会被认为是一个字符(双字节字符)。而在进入数据库之前,在Web语言中则没有考虑到双字节字符问题,双字节字符会被认为是两个字节。比如php中 addslashes() 函数,或者当 magic_quotes_gpc 开启时,会在特殊字符前增加一个转义字符 “\”。因此,当攻击者输入:0xbf27 or 1=1,经转义后会变成 0xbf5c27(\ 的ASCII码为0x57),但0xbf57又是另一个字符。因此原本会存在的转义符号“\”,在数据库中就被吃掉了。
    • SQL Column Truncation:MySQL中有一个sql-mode,当其被设置为 default 时,即没有开启 STRICt_ALL_TABLES 选项时,MySQL对于用户插入的超长值只会提示warning,而不是error(如果error,则插入不成功),这可能会导致发生一些“截断”问题。

你可能感兴趣的:(SQL注入读书笔记)