sql注入
是指 web 应用程序对用户输入数据的合法性没有判断。
前端传入后端的参数是攻击者可控的,并且参数会带入数据库查询,攻击者可以通过构造不同的 sql 语句实现对数据库的操作。
sql注入漏洞的两个条件
- 参数用户可控:前端传给后端的参数内容是用户可以控制的。
- 参数带入数据库查询:传入的参数拼接到 sql 语句,并带入数据库查询。
sql 注入的分类
- 基于联合查询
- 基于错误回显
- 基于盲注,分时间盲注和布尔型盲注
- 基于cookie 基于user-agent
- 基于Referer
- 二次注入
- 宽字节注入
- ……
MySQL注入的相关知识点
在MySQL 5.0版本之后,MySQL默认在数据库存放一个 “information_schema”的数据库。
而在该“information_schema”数据库中,需记住三个表名:
schemata
tables
columns
schemata表
存储该用户创建的所有数据库的库名。
该表中记录数据库库名的字段名为schema_name。
比如我这里的 schemata 表中显示我的MySQL中有这些数据库。
tables 表
存储该用户创建的所有数据库的库名和表名。
该表中记录数据库名的字段名为 table_schema 。
该表中记录表名的字段名为 table_name 。
比如我这里的的 tables 表中显示了这些数据库名和表名。(有很多相同的数据库名是因为一个数据库里有很多表)
columns 表
存储该用户创建的所有数据库的库名、表名和字段名。
该表中记录数据库库名的字段名为 table_schema 。
该表中记录表名的字段名为 table_name 。
该表中记录字段名的字段名为 column_name 。
如下图是这里的一些库名、表名、字段名。
MySQL查询语句:
不知道任何条件:
select 要查询的字段名 from 库名.表名
知道一条条件时
select 要查询的字段名 from 库名.表名 where 已知条件的字段名=‘已知条件的值’
知道两条条件时
select 要查询的字段名 from 库名.表名 where 已知条件1的字段名=‘已知条件1的值’ and
已知条件2的字段名=‘已知条件2的值’
——
——
limit的用法
格式为limit m,n ,其中m指记录开始的位置,从0开始,表示第一条记录;n指取n条记录。
例如limit 1,1 表示从第二条记录开始,取一条记录。
不使用 limit 就会把数据全部显现出来,比较繁杂。
需了解的几个函数
database():当前网站使用的数据库。
version():当前MySQL的版本。
user():当前MySQL的用户。
注释符
在MySQL中,常见注释符有:
‘#’
–空格(–+)
/**/
其中/**/属于内联注释,可以用于整个SQL语句中。
如:
?id=-1 /!union/ /!select/ 1,2,3
——
——
union联合注入
在数据库中查询参数id对应的内容,然后将数据库内容输出到页面,就可以使用union注入。
并且可以通过 order by 的查询结果,可以得到字段数。
比如 访问order by 3 回显正常,而访问 order by 4 回显错误,则字段数为3 。
如果查询结果字段数为3,union注入语句为:
union select 1,2,3
如果访问:
?id=1 union select 1,2,3
只返回id=1的结果,union select 获取的结果没有输出在页面,这是因为代码只返回第一条结果。
可以通过设置参数id的值,让服务器返回union select 的结果。
如把id的值设为-1,数据库中没有id=-1的数据,就会返回 union select 的结果。
之后可以根据返回的信息确定 1,2,3 哪些位置是可以输入MySQL语句的。
比如在 2 的位置可以输入,尝试在 2 的位置查询当前数据库名(使用database()函数)
访问
?id=-1 union select 1,database(),3
页面就能返回数据库的库名。
在得知数据库名后,可以查询此数据库的表名。
比如查询到的数据库为“sql”:
?id=-1 union select 1,(select table_name from
information_schema.tables where table_schema=‘sql’ limit 0,1;),3
这里指查询数据库名 table_schema 为 sql 的第一个表名 table_name 。
如果要查第二个表名,修改 limit 的数字即可。
当通过查询得到所有的库名和表名(假设前面查询到的表名为email),就可以开始查询字段名:
?id=-1 union select 1,(select column_name from
information_schema.columns where table_schema=‘sql’ and
table_name=‘email’ limit 0,1;),3
假如前面查询的字段名为 email_id
当获取了库名、表名和字段名时,就可以构造sql语句查询数据库的数据:
?id=-1 union select 1,(select email_id from sql.email limit 0,1;),3
——
——
报错注入
访问?username=1’ 时,会因为多了一个单引号报错,输出类似于以下内容:
You have an error in your SQL synatx; check the manual that
corresponds to your Mysql server version for the right syntax to use
near ‘‘1’’’ at line 1
程序直接将错误信息输出在了页面上,所以可以利用报错注入获取数据。
报错注入有很多种格式,这里演示用函数updatexml() 获取信息。
获取user() 的值:
1’ and updatexml(1,concat(0x7e,(select user()),0x7e,1)–+
(0x7e为’~'的ASCII编码)
获取当前数据库名:
1’ and updatexml(1,concat(0x7e,(select database()),0x7e,1)–+
接着可以用select语句获取数据库中的库名、表名和字段名,语句使用与union注入相同。
——
——
Boolean注入(布尔型盲注)
访问网站时,页面只返回 yes 或 no
比如访问 id=1’ and 1=1 返回 yes ,访问 id=1’ and 1=2 返回no 。
只返回 yes 或 no,而不是数据库中的数据,所以不能使用union 注入。
Boolen 注入是指构造sql 判断语句,通过页面返回结果推测哪些 sql 判断条件是成立的。
判断数据库名的长度:
?id=1’ and length(database())>=1 --+
通过改变 1 位置的数字,增大数字知道页面返回no的时候就得出了数据库名的长度。
假如增大到4时返回结果为no ,则数据库名长度为3 。
然后通过逐字符判断的方式获取数据库名。数据库名范围一般在az、09之内,可能还有一些特殊字符(数据库中字母不分大小写)。
逐字符判断的sql语句:
?id=1’ and substr(database(),1,1)=‘t’–+
也可以把’t’的位置换成ASCII码,比如 t 的ASCII码为116 。
substr是截取的意思,这里截取database()的值,从第一个字符开始,每次返回一个。
substr与limit的用法相比,limit是从0开始,而substr是从1开始。
就这样一个字符一个字符地去试,手工的话还是很麻烦的。
查询表名、字段名的语句也是放在前面database() 的位置。
如查数据库 sql 中的第一个表名 email :
id=1’ and substr((select table_name from information_schema.tables
where table_schema=‘sql’ limit 0,1),1,1)=‘e’–+
——
——
时间型盲注
和布尔型盲注返回信息相同,只有 yes 和 no ,不同之处在于时间型盲注利用 sleep() 或 benchmark() 等函数让MySQL的执行时间变长。
时间盲注多结合 if(expr1,expr2,expr3) 使用,含义:如果expr1为true,if()返回值为expr2,否则返回expr3 。
所以判断数据库名长度语句:
?id=1’ and if(length(database())>1,sleep(5),1)
意为如果数据库名长度大于1,则MySQL查询休眠5秒,否则查询1 。
我们根据页面回显的时间,可以判断执行的是哪一条语句。多次测试就可以得到数据库名的长度。
得出数据库名长度后,就可以慢慢查出数据库名。
和布尔型盲注类似,使用substr()函数:
?id=1’ and if(substr(database(),1,1)=‘s’,sleep(5),1
以此类推,即可得出数据库名、表名、字段名和具体数据。
——
——
cookie注入
访问时 url 中没有 get 参数,但是页面返回正常。
用burp抓包,可以看到数据包中的cookie存在参数,先假设为id=1。
把包发到repeater模块进行测试,通过修改id的值来进行sql注入。
和前面一样使用order by ,union 等方法完成注入。
依此类推,可以联系到 XFF(X-Forward-For)、Referer、user-agent等注入方式就是在数据包中找到这些参数进行修改测试。
——
——
二次注入
注入过程分为两个部分,语句插入和语句执行。
常规的注入中是将sql语句插入后即可显示效果,出错或者得出注入结果。
而二次注入的第一步不会产生任何反应,因为它只是一个语句的插入,并没有执行,在第二步运行时才能执行第一步插入的语句并显示结果。
并且这两个点可能不在同一位置。
——
——
sql注入绕过方法
大小写绕过
双写绕过:哪个关键字被过滤了,就进行双写。
编码绕过