隔壁村翠花都这么学会了SQL注入!屠龙宝刀,点击就送
利用"OR 1=1 "找到注入点
最好的黑客用他们的创造力寻找注入漏洞,他们不受漏洞类型的束缚,山人自有妙计。这也就是说黑客把一些看似无关紧要的漏洞串联到一起组合使用可能就创造了一个威力巨大的漏洞。这篇文章将教给大家更多的注入姿势,以及如何使用这些姿势来打开新世界的大门。
注入漏洞来自于程序制作者在写程序过程中对于用户输入的内容过滤不当或者没有采取任何过滤措施。为了证明这些类型的漏洞,本文将主要介绍一种非常著名的漏洞类型:SQL注入漏洞。
当一个黑客想要利用这些SQL注入漏洞的话,他就可以注入任意SQL命令来提取数据,读取文件,甚至把它升级成为一个远程执行代码(也就是俗称的REC)。
当你正在对一个项目进行注入测试时,你应该对你的输入内容十分上心,集中精力了解它是怎样使用的,以及你所做的一切在响应过程中结果是如何被返回的。
可能这样你还是不能够很好的理解,没关系我们现在来看一个例子。现在,在你的脑海中想象出一个网页,在用户交互操作过程中你需要在某一参数中给定一个数字标识。但是输入时程序并没有对输入内容采取限制措施,用户可以随意输入一些数字以外的字符,也就是说你可以用它来提交非数字类型的值,提交后开始密切关注目标服务器的反应。它有没有报错?如果有的话,报错信息会是什么?是否能从中看出架构中的错误,或者它是否显示了对输入参数严格的验证规则,有没有一些比较明显的错误信息可以表明它可能存在注入点,注意检测异常,并且找出它的利用点,尽可能多的收集信息,并且尽可能多的进行不同方法的尝试(梦想还是要有的,万一实现了呢?),以获取藏在页面代码背后真正有价值的东西,如果没办法马上成功利用,没关系,不要着急。挖洞不是打炮,不是一分钟可以解决的事情,记下来,以后再来临幸它。
让我们来对SQL注入深~入~了解下,来帮助你理解注入漏洞都有什么卵用。为了更好更形象的说明这一概念,现在我们假设我们创建了一个项目,并把它命名为“NAME API”,我们需要一个MYSQ服务器,还有一些主要的PHP脚本文件,这里我们在数据库中只创建一个表,表名为“Names”,因为一些复杂的原因,它追踪了某一个人的名字和IP地址。IP地址是保密的,不应该被公布到互联网。应用程序被部署到互联网上,可以访问https://names-api/。表的内容和结构是这样的:
我们项目中的index.php这个文件的主要代码为:
[PHP]
纯文本查看
复制代码
|
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
|
[align=center][align=left]
// connect to localhost as root without a password, luckily 3306 is firewalled…[/align][/align]
[align=center][align=left]
$connection
= mysql_connect(
"localhost"
,
"root"
,
""
);[/align][/align]
[align=center][align=left]mysql_select_db(
$connection
,
"names_api"
);[/align][/align]
[align=center][align=left]
// fetch the record from the table, but since the user’s IP address is secret,[/align][/align]
[align=center][align=left]
// lets only select the name - hackers will now never be able to see this![/align][/align]
[align=center][align=left]
$query
= mysql_query(
"select name from names where id = $_GET['id']"
);[/align][/align]
[align=center][align=left]
// make sure the record was found[/align][/align]
[align=center][align=left]
if
(mysql_num_rows(
$query
) == 1) {[/align][/align]
[align=center][align=left]
$object
= mysql_fetch_assoc(
$query
);[/align][/align]
[align=center][align=left]
// return the name to the user[/align][/align]
[align=center][align=left]
echo
$object
[
'name'
];[/align][/align]
[align=center][align=left]}
|
如果一个用户将要访问https://names-api/?id=1这个地址,这个服务器将会响应'meals'.
发现了吗?如果你看到代码你会觉得很简单的。当用户正确的对这个程序进行操作的时候,它会通过id向页面传参。它会查找数据库中的记录,并返回属于这个记录的名字。但如果你想要把id的值作为'and'访问,比如https://site.com/?id =,它将执行的查询语句看起来像这样:
[SQL]
纯文本查看
复制代码
|
1
|
select
name
from
names
where
id =
and
|
如果您MySQL玩的6的话,你可以猜猜发生了什么:这不是一个正确的SQL查询语句,因为“AND“在SQL中是一个保留关键字。来看一下我们应该如何验证这里有SQL注入。大家懂得,如果我们访问https://names-api/?id = 1,返回“meals”这个值。现在,如果你想访问https://names-api/?id = 1 = 1,页面仍然会返回“meals”。执行查询的SQL语句是这样的:
[SQL]
纯文本查看
复制代码
|
1
|
select
name
from
names
where
id = 1
and
1=1
|
这个查询语句大概可以这样理解:给我从name列的所有行中找出id=1,且1 = 1的值。这意味着id为1的行返回自1总是等于1,因此可以忽略,这将导致返回的meals”记录。现在,如果你想访问https://names-api/?id = 1 = 0,将执行以下查询:
[SQL]
纯文本查看
复制代码
|
1
|
select
name
from
names
where
id = 1
and
1=0
|
你大概可以猜出这是怎么样一个套路。这个查询大致理解:给我从name列的所有行中找出id=1,且1=0的值。让我们看看最后一部分:1 = 0。这个永远不成立,这意味着永远不会有任何行返回。这就证明了我们可以改变查询的行为语句。这是个好的发现,但这是异常。让我们再深入一点,看看我们可以从表中提取到保密的IP地址:欢迎了解 UNION !UNION是SQL中的联合查询语句,给你看这个实例,这是SQL中UNION SELECT查询语句和其结果:
[SQL]
纯文本查看
复制代码
|
1
|
select
id,
name
from
names
where
id = 1
union
select
id,
name
from
names
where
id = 2
|
第一个SQL语句,select id, name from names where id = 1,第一行查询的结果:meals。
第二个查询语句,select id, name from names where id = 2, ,第二行的查询结果:fransrosen。
看看我们从:https://names-api/?id=1+union+select+name+from+names+where+id=2 这个链接中怎样利用这个UNION SELECT来注入。在上面所示的SQL语句请求这个页面结果这段和结果在2行。然而,由于代码只取第一行,返回“meals”。让我们做一个小变动 : 不让他第一个查询id = 1的结果,二是让它查询一个并不存在的数据。请求
https://named-api/?id=-1+union+select+name+from_names+where+id=2将会返回"
fransrosen",因为查询的第一部分不会产生任何结果,现在还不算太糟,因为我们可以在表中选择其他可以访问的记录。
然而,这里有一个有趣的部分:您可以使用子查询语句来从表中提取加密数据,假设我们构造这个链接
https://named-api/?id=-1+union+select+0,(select+ip_address+from+names+where+id=1),
它将会执行的SQL语句像这样:
[SQL]
纯文本查看
复制代码
|
1
|
select
id,
name
from
names
where
id = -1
union
select
0,(
select
ip_address
from
names
where
id=1)
|
子查询语句将返回一个ID设置为0的non-persisting记录,和这个列名设置为子查询的结果(从name选择ip_address ID = 1)——将包含储存在数据库中的隐藏IP地址。抓取的URL返回的结果在“1.3.3.7”服务器。
在互联网上有一些很棒的资源进一步解释如何利用SQL注入。看看这篇文章https://www.exploit-db.com/papers/14635/,
来学习如何编写文件到磁盘,这可能导致一个远程代码执行。需要一个备忘单吗?
看看这篇文章
http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet。有很多的技巧,您可以使用它们来利用SQL注入。例如,一个不错的小技巧将SQL注入到一个跨站点脚本(XSS):看看这个
https://named-site/?id=-1+union+select+0,0x3c7363726970743e616c657274282748656c6c6f20776f726c642127293b3c2f7363726970743e。它是由你来发现这段代码执行的JavaScript警告函数与一个消息。需要一个提示吗?读这篇文章https://en.wikipedia.org/wiki/Hexadecimal
。好运!去跑,去跳,去做一个漂亮的倒挂金钩!
有关于注入类的漏洞,是在这个非常厉害的Javascript通用注入的例子中Slack Mac OS X protocol handler
发现的
。当用户点击一个特别的链接的时候,这个漏洞允许攻击者执行任意Javascript。这是个什么概念呢,
攻击者可以代替用户执行Javascript和操作一系列行为。这是一个很好的例子,因为注入是很常见的,但他们都是在某个地方,等待人们去发现它们。
下次,也许就是今天晚点时候,当你进行黑客入侵活动时,记得一定要有创意,并且在了解应用程序的时候尝试寻找注入漏洞。集中精神关注和预测服务器将如何响应。啥时候你感觉“就是这个feel,有戏!”的时候记得在漏洞报告之前验证利用点。如果你不能证明漏洞存在的话,回过头来看看。如果你正在如饥似渴的寻找各种优秀的教程及文章的话,来这里看看
https://hackerone.com/blog/how-bug-bounty-reports-work
本文来源;http://bbs.ichunqiu.com/thread-9912-1-1.html?from=csdn-shan