SQL注入基础
数字型注入和UNION注入
http://192.168.20.133/sql1.php?id=-1 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()
table_name字段是information_schema库的tables表的表名字段,表中还有数据库名字段table_schema。
database()函数返回的内容是当前数据库的名称。
group_concat是用“,”联合多行记录的函数。也就是说,该语句可以联合查询当前库的所有(事实上有一定的长度限制)表名并显示在一个字段中。
字符型注入和布尔盲注
在GET参数输入的地方包裹了单引号,让其变成字符串。
http://192.168.20.133/sql2.php?id=1'and (select mid((select concat(user,0x7e,pwd) from wp_user),2,1))='d'%23
说明第2位是'd'。以此类推,即可得到相应的数据。
时间盲注
由于某些情况下,页面回显的内容完全一致,故需要借助其他手段对SQL注入的执行结果进行判断,如通过服务器执行SQL语句所需要的时间。
在执行的语句中,由于sleep(1)的存在,使整个语句在执行时需要等待1秒,导致执行该查询需要至少1秒的时间。通过修改sleep()函数中的参数,我们可以延时更长,来保证是注入导致的延时,而不是业务正常处理导致的延时。
与回显的盲注的直观结果不同,通过sleep()函数,利用IF条件函数或AND、OR函数的短路特性和SQL执行的时间判断SQL攻击的结果,这种注入的方式被称为时间盲注。
报错注入
只要触发SQL语句的错误,即可在页面上看到错误信息。这种攻击方式则是因为MySQL会将语句执行后的报错信息输出,故称为报错注入。
updatexml在执行时,第二个参数应该为合法的XPATH路径,否则会在引发报错的同时将传入的参数进行输出。
利用这个特征,针对存在报错显示的例子,将我们想得到的信息传入updatexml函数的第二个参数,在浏览器中尝试访问链接http://192.168.20.133/sql3.php?id=1' or updatexml(1,concat(0x7e,(select pwd from wp_user)),1)%23
堆叠注入
当目标开启多语句执行的时候,可以采用多语句执行的方式修改数据库的任意结构和数据,这种特殊的注入情况被称为堆叠注入。
注入点位置
注入点在select_expr
注入点在table_reference
注入点在WHERE或HAVING后
注入点在GROUP BY或ORDER BY后
注入点在LIMIT后
注入点位于tbl_name
注入点位于VALUES
INSERT注入
UPDATE注入
DELETE注入
注入和防御
1.只过滤了空格
除了空格,在代码中可以代替的空白符还有%0a、%0b、%0c、%0d、%09、%a0(均为URL编码,%a0在特定字符集才能利用)和/**/组合、括号等。
2.将SELECT替换成空
遇到将SELECT替换为空的情况,可以用嵌套的方式,如SESELECTLECT形式,在经过过滤后又变回了SELECT。
3.大小写匹配
在MySQL中,关键字是不区分大小写的,如果只匹配了"SELECT",便能用大小写混写的方式轻易绕过,如"sEleCT"。
4.正则匹配
正则匹配关键字"\bselect\b"可以用形如/*!50000select*/的方式绕过,
5.替换了单引号或双引号,忘记了反斜杠
第1个可控点的反斜杠转义了可控点1预置的单引号,导致可控点2逃逸出单引号。
逃逸引号注入的重点在于逃逸引号,而开发者常会将用户的输入全局地做一次addslashes,也就是转义如单引号、反斜杠等字符,如“'”变为“'”。在这种情况下,看似不存在SQL注入,但在某些条件下仍然能够被突破。
逃逸引号
1.编码解码
开发者常常会用到形如urldecode、base64_decode的解码函数或者自定义的加解密函数。当用户输入addslashes函数时,数据处于编码状态,引号无法被转义,解码后如果直接进入SQL语句即可造成注入,同样的情况也发生在加密/解密、字符集转换的情况。宽字节注入就是由字符集转换而发生注入的经典案例。
2.意料之外的输入点
开发者在转义用户输入时遗漏了一些可控点,以PHP为例,形如上传的文件名、http header、$_SERVER['PHP_SELF']这些变量通常被开发者遗忘,导致被注入。
3.二次注入
二次注入的根源在于,开发者信任数据库中取出的数据是无害的。假设用户输入的用户名admin'or'1经过转义为了admin'or'1,于是SQL语句为:
INSERT INTO wp_user VALUES(2,'admin'or'1','some_pass');
此时,由于引号被转义,并没有注入产生,数据正常入库,但是,当这个用户名再次被使用时(通常为session信息),注入就发生了。
注入的功效
前面讲述了SQL注入的基础和绕过的方法,那么,注入到底有什么用呢?结合作者的实战经验,总结如下。
❖ 在有写文件权限的情况下,直接用INTO OUTFILE或者DUMPFILE向Web目录写文件,或者写文件后结合文件包含漏洞达到代码执行的效果、。
❖ 在有读文件权限的情况下,用load_file()函数读取网站源码和配置信息,获取敏感数据。
❖ 提升权限,获得更高的用户权限或者管理员权限,绕过登录,添加用户,调整用户权限等,从而拥有更多的网站功能。
❖ 通过注入控制数据库查询出来的数据,控制如模板、缓存等文件的内容来获取权限,或者删除、读取某些关键文件。
❖ 在可以执行多语句的情况下,控制整个数据库,包括控制任意数据、任意字段长度等。
❖ 在SQL Server这类数据库中可以直接执行系统命令。
SQL注入小结
❖根据不同的SQL服务器类型,查找相关资料,通过fuzz得出被过滤掉的字符、函数、关键词等,在文档中查找功能相同但不包含过滤特征的替代品,最终完成对相关防御功能的绕过。
❖sqli-labs(https://github.com/Audi-1/sqli-labs)提供不同过滤等级下的注入题目,其中涵盖了大多数出题点。