Web安全-Sql注入

0x01 简介

Sql注入的大名在今天IT界可谓如雷贯耳,距离1998年第一次为公众所知以来已经过去20年,但是依然有一些网站、系统存在这样的问题,看看近期的数据泄露就知道了。

作为注入(Injection)的一种,常年占据Owasp Top 10 榜首。

 

Web安全-Sql注入_第1张图片

1.1 原理

漏洞本身的原理其实很简单:

  • 用户可控制输入
  • sql语句拼接用户输入进行执行
// sql语句
Select [列名/ *] from [表名]
       Where [条件]
       Group by[列名| 表达式]
       Order by [列名| 表名| 位置] ASC/DEC

// sql查询语句,拼接用户输入(userName),正常/小白用户输入用户名(abc)当然没有任何问题
select * from users where name = '" + userName + "'

// 恶意用户输入 abc' or '1'='1 , 单引号阻断原有语句,增加永真条件,查询结果就完全不一样了。
select * from users where name = 'abc' or '1'='1' 

上面代码简单说明了其原理,当然真实环境下语句可能千差万别,参数也可能是数字型,语句可能是插入、更新或者存储过程。

  • 有回显的注入

注入代码执行后,在前端有回显,比如错误信息、查询结果等,可以方便的进行注入是否存在的判断以及利用。如下图

输入一个单引号提示错误信息与单引号+注释符的提示信息是不同的。实际中,会有sql报错信息直接返回。

Web安全-Sql注入_第2张图片

  • 没有回显(盲注)

当Web服务器关闭错误回显,对于攻击者来说就缺少重要的“调试信息”,这时候就需要盲注的方法验证注入的Sql语句是否得到执行。盲注分为布尔型、时间型盲注,分别通过布尔值及时间函数导致的响应时间进行判断。

看下webgoat例子,注册用户,提交信息后先查询用户是否存在,然后进行返回。

先注册一个test01用户。

Web安全-Sql注入_第3张图片

使用test01' and '1'='2 进行注册,test01已存在,正常逻辑下提示用户已存在,如果语句注入并执行,提示创建成功。

Web安全-Sql注入_第4张图片

使用test02' or '1'='1进行注册,test02用户是不存在的,应该是提示创建成功,如果语句注入并执行,应该提示用户存在。

Web安全-Sql注入_第5张图片

从结果看,可以验证我们的猜想,这里属于布尔型盲注。基于时间的盲注类似,只是验证是通过响应时间长短(时间型函数或复杂计算)。

1.2 危害

  • 绕过验证

比如在登录时,注入使得查询恒真,绕过登录验证。前文中注册的例子,也是绕过已有用户查询的验证。

这种情况比较基础,不过也比较少见了。出了在靶机、漏洞演练环境,基本没见过。

  • 拖库

由于可注入并执行sql语句,通过sql数据库一些内置表,逐步进行表、字段、记录的猜解,完成数据库拖库。

手工的相对比较耗时,通过工具(sqlmap)会简单很多。不多说,谁用谁知道。

  • 写入后门

通过 into out_file写入恶意代码,前端访问文件并通过预留参数执行命令(cd工具),实现webshell后门。

前提:

数据库运行账号有写入文件权限;

文件写入路径,web应用可读取并解析;

select “”,2,3 INTO OUTFILE ‘/var/www/test/index1.php’

 

0x02 Sql注入检测

2.1 白盒

  • 代码扫描工具

白盒进行代码扫描,比较知名的工具HP Fortify、Synopsys Coverity、Checkmarx,当然还有360等国内厂商出的工具,详细可以自行一下。

静态代码扫描,主要是通过模式匹配、控制流规则、数据流规则、语义规则在编译阶段通过词法语法分析进行问题识别。Fortify用的比较多,它是通过识别数据进入点、跟踪数据处理、最终在sql执行时进行sink规则匹配,从而判定是否存在sql注入。检查Sql注入误报较多,尤其mybatis、ibatis框架$符问题。

当然,这部分误报可通过分析进行屏蔽,也可以自定义规则实现误报消除。

工具在效率方面有很大的优势,并能够结合IED插件、Jenkins插件等实现快速扫描,提早发现并解决问题,适配敏捷&Devops快速交付、快速迭代需求。

Web安全-Sql注入_第6张图片

 

 

  • 代码审计(手工)

手工代码审计,可以自上而下逐一定位分析,也可以自下而上搜索、分析。

自上而下,从前端功能开始,抓包获取请求地址、参数,分析web.xml中全局处理(查看是否有全局校验、过滤),然后通过path定位到具体的处理代码,跟踪参数传递过程及处理,最终到sql执行,通过分析参数是否来源于不可信外部输入、参数是否经过有效的过滤、校验,确认是否存在sql注入问题。

自下而上,搜索源码中sql执行的点,逐步向上跟踪参数处理及传递(代码调用)过程,分析参数是否来源于不可信外部输入、参数是否进行了有效的过滤、校验处理,确认是否存在sql注入风险。

可能还有其他方式,不过笔者仅试过这两种。两种方式各有优缺,自上而下可明确分析某个请求是否存在sql注入,目的性较为明确;自下而上方式没有明确的目标,但可以直击要害,不容易遗漏。当然,两种方式都有很大的工作量,并需要对主流框架、开发语言、校验处理较为熟悉。

实际工作中,会结合工具、两种方式一起进行审计,提高效率。

下面是常见的sql执行关键字。

// Mybatis $ 字符拼接
${var}

//iBatis $$字符拼接
$var$

// Java
java.sql.Statement.executeQuery,
java.sql.Statement.executeUpdate
java.sql.preparedStatement
PreparedStatement .executeQuery()

//Hibernate 
createSQLQuery/createQuery
select update insert delete

//.NET
System.Date.SqlClient
ExecuteNonQuery, ExcuteReader, ExecuteScalar

//PHP
mysql_query($sql, $con)

2.2 黑盒

  • web漏扫

和白盒类似,黑盒也有很多web漏扫扫描器,比如Webinspect、AppScan、AWVS、Burpsuite,都支持sql注入扫描。当然还有针对Sql注入的工具Sqlmap、Havij、Pangolin等。原理都类似,抓取正常请求后,对参数进行修改(注入预定义payload)后请求并对比响应结果,判定是否存在sql注入问题。当然,工具扫描逃不开误报、漏报的问题,视情况取舍。

看下Burp截图。

 

 

 

关于商用工具扫描,需要注意几点:

1. 使用会话扫描,避免遗漏url

2. 对系统进行全量探测(手工),提供完整的url及参数给工具进行分析,避免遗漏;webinspect、appscan 都支持手工探测方式录制请求。

Web安全-Sql注入_第7张图片

  • 手工测试

手工挖掘sql注入,依赖渗透人员的经验、思路、漏洞敏感度,但是同样也有一些技巧可循。

理论上来说,所有和后端有交互的地方,都有可能存在sql注入。

常见的场景,部分笔者遇到过,部分从遇到过:

1. http 头部,x-forward-for,cookie信息,user-agent,referer

2. http get请求,url参数

3. 注册、登录、查询等输入框

4. 列表排序功能

5. 下拉输入框(选择预定的值)

6. Portal页面feedback功能,可能会先查询是否重复在进行插入,类似webgoat 盲注(注册)案例

 

一些绕过技巧,可能对于现在waf都已无效,做个思路扩展还是可以。

// 1. 大小写绕过
http://example/index.php?id=1 uNIoN sELecT 1 from user --

// 2. 注释绕过
Sel/*abc*/ect * from table where xxx
/!*select*/ * from table where

// 3. 编码绕过 url编码、base64、hex转码等
/*!u%6eion*/ /*!se%6cect*/ 
select * from users where username = 0x7465737431;

// 4. 重复关键字绕过,针对关键字过滤的情况
SELselectECT  * from table xxxxxx

// 5. 空格绕过
mysql 可使用+,其他比如
两个空格、()、回车(url %0a)、tap

// 6. 宽字符绕过,针对GBK编码,通过\进行转义的情况
%5C%27=\'
%bf%27 %df%27 %aa%27 
%df\’ = %df%5c%27=縗’

// 7. 过滤逗号 
select substr("string" from 1 for 3)

详细可以参考连接,总结了很多
https://blog.csdn.net/huanghelouzi/article/details/82995313

下面是多年前总结的特殊字符和关键字,见笑了。

字符

说明

Mysql

Oralce

字符注入,参数使用引号闭合;

Select * from table where a=’a’;

‘’

第一个单引号作为转义,达到单引号效果;

 

,

SQL语句字段分隔,函数参数分隔;

Select a,b from table where a=’a’;

=<>

 

Select * from table where a<>1;

()

闭合语句,函数,构造表达式

Select * from table where a=(ASCII(‘A’)) and

 length(subtr(‘abc’,1,1))>1

Insert into table(a,b,c,d) values(1,1,1,1)

注释

注释语句,使注入后方SQL不执行,避免SQL报错

-- 双减号后面有空格

Select * from a; insert xxx xx --

# 注释到行结束

Select * from a; insert xxx xx #

/**/ 多行注释,用于关键字被过滤时绕过

Sel/*abc*/ect * from table where xxx

--

Select * from a; insert xxx xx --

/**/ 多行注释,用于关键字被过滤时绕过

 

+

 

Mysql用户空格占位

Select+a+from+table

 

 

关键字

说明

Mysql

Oralce

布尔运算

条件表达式构造

Where 1=1

Where 1=2

Order by

排序,结构性注入;

猜查询列数,使用数字1,2,3表示第一列,第二列,,,

Select * from table where a=’a’ or 1=1 order by 1

Union

行合并,联合查询,猜查询列数,字段类型,信息显示

Select * from table where a=’a’ union select 1,1,1,null

Mysql 可不带from

Select * from table where a=’a’ union selct 1,1,1,1 from dual

Oracle可使用全局访问表dual

休眠/等待

基于时间的盲注

Benchmark(count exp)

Sleep()

Waitfor()

 

字符操作

Length

Substr

ASCII

长度判断

字符串截取,配合ASCII进行逐字符猜解

拖库

通过注入payload,获取整个数据库中数据,sqlmap谁用谁知道

User, version, database, show databases

元数据表:

Information_schema.columns,

Inforamtion_shcema.tables

Select user from dual;

Sys_context(‘USERENV’,’SESSION_US’)

Select banner from v$version

Select table_name, column_name from all_table_columns

元数据表:dual

All_tab_columns

User_object

All_tables

 

  • 灰盒

实际上,除了黑盒或白盒的方法,还有灰盒测试,结合代码、应用、工具扫描等手段进行漏洞检测。

在企业安全团队,可能蓝军团队会纯黑盒进行检测,模拟外部黑客、白帽的攻击场景;红军团队一般会结合白盒、黑盒进行检测(灰盒),保证发现所有问题,避免漏洞同时兼顾效率。

 

0x03 防御

  • 使用预编译,参数绑定
 PreparedStatement statement = connection.prepareStatement("select password from " + USERS_TABLE_NAME + " where userid = ? and password = ?");
    statement.setString(1, username_login);
    statement.setString(2, password_login);
    ResultSet resultSet = statement.executeQuery();
  • 外部不可信参数校验

包括数据类型、特殊字符等;由于过滤不全可能导致绕过,所以才有五花八门的绕过技巧。

推荐使用安全的过滤函数,如OWASP ESAPI

ESAPI.encoder().encodeForSQL(new OracleCodec(),queryparam);
  • 限制数据库账号权限

数据库运行账号取消文件读写权限,避免存在注入导致webshell。

同时,对web应用运行账号权限进行限制,读写目录等。

  • 存储过程

类似预编译,不过需要预先编写procedure,发布、维护上相对麻烦。目前没遇到过使用存储过程来做sql注入防护,大多是通过存储过程进行复杂的查询、 运算、数据操作等。

  • 数据库敏感信息加密存储

严格来说,这一条不算直接防御sql注入。数据加密后存储,发生泄露时可在一定程度减小影响,增加数据破解成本,算是对其他失效控制措施的补充。目前大多数站点、系统对用户密码进行单向hash后存储。

 

 

0x04 sqlmap

简介就不用了,总之很强大。

资源如下:

// git 库,clone本地使用
https://github.com/sqlmapproject/sqlmap

// python2环境,pip安装
pip install sqlmap

// gui 工具 可参考
https://www.freebuf.com/sectool/260.html 

常用语句、参数。其他介绍,看帮助文档(-h),一个h不行,那就两个(-hh)

// 指定db类型,指定参数注入
sqlmap -u xxx.com/index.html?id=1  --dbms mysql -p id 

// level默认1, 2以上会查看cookie、user-agent
// risk, 默认1, 2、3可能对 数据库造成影响
sqlmap -u xxx.com/index.htmlid=1 --level=1 --risk=1

// -r 指定文件 --table枚举表
sqlmap -r changesql.txt --tables  --no-cast --threads 5 

// 枚举列,-T 指定表名
sqlmap -r changesql.txt --columns  -T employee --threads 5 

// --dump 导出表内容 
sqlmap -r changesql.txt --dump -T employee --threads 5 

 

注:本文仅作为个人总结,重在思路及工作经验记录。转载请注明。

参考:

《白帽子web安全》

https://cloud.tencent.com/developer/news/257713

http://www.xianxianlabs.com/2018/06/03/webgoat1/#Stage5 

https://blog.csdn.net/huanghelouzi/article/details/82995313

你可能感兴趣的:(web安全,安全测试)