SQL注入与libinjection分析(3)源码分析之一些重要的结构体说明

最新推荐文章于 2023-03-24 14:12:11 发布
最新推荐文章于 2023-03-24 14:12:11 发布
阅读量829 收藏 1
点赞数 2
分类专栏: 开源 文章标签: libinjection sqli_state sqli_token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqy971966/article/details/106195224
版权

SQL注入与libinjection分析(3)源码分析之一些重要的结构体说明


SQL注入与libinjection分析系列:
MYSQL命令大全
https://blog.csdn.net/lqy971966/article/details/104922862
SQL注入与libinjection分析(1)SQL注入
https://blog.csdn.net/lqy971966/article/details/105269658
SQL注入与libinjection分析(2)Libinjection
https://blog.csdn.net/lqy971966/article/details/105273753
SQL注入与libinjection分析(3)源码分析之一些重要的结构体说明
https://blog.csdn.net/lqy971966/article/details/106195224
SQL注入与libinjection分析(4)源码分析之整体框架解读
https://blog.csdn.net/lqy971966/article/details/106857168
SQL注入与libinjection分析(5)源码分析之指纹函数fingerprint和查找函数lookup_word剖析
https://blog.csdn.net/lqy971966/article/details/106902216

1. libinjection_sqli_state

libinjection_sqli_state 这个结构体主要输入sql字符串及令牌化后的所有涉及的信息

	struct libinjection_sqli_state {
	const char *s;	/* 输入待检测的sql字符串 如 "1' OR 1=1" */
	size_t slen;	/* 输入待检测的sql字符串的长度 */
	
	/* 输入字符串令牌化(如 s&1)后 去特征库查找的函数指针 在init时候赋值的 这个后面讨论  
	lookup = 
	typedef char (*ptr_lookup_fn)(struct libinjection_sqli_state*, 
					int lookuptype, const char* word, size_t len);
	*/
	ptr_lookup_fn lookup;	
	void* userdata; /* 貌似没啥用 */
	
	/* flags 是每次检查的标志 它的结构体: sqli_flags 
	包括: 没有引号 , 单引号 , 双引号 ,标准sql , mysql */
	int flags;	
	
	/* 字符串在令牌化过程中的指针位置 如 "1' OR 1=1" 
	每次往后移动一位去检测 pos 从0 自加*/	
	size_t pos; 	
	
	/* 记录输入sql字符串对应的每个令牌结构 最大令牌是5个 这个8 为了字节对齐 */
	struct libinjection_sqli_token tokenvec[8]; 
	/* 用于代码中临时指向 tokenvec[i] 每一个令牌结构 用于判断处理 */
	struct libinjection_sqli_token *current; 	
	
	/* 存储输入sql字符串 令牌化后的 令牌 如 数字在令牌化后都变成 1(看 sqli_token_types ) , 
	同上 最大令牌5个+一个结束符 NULL */
	char fingerprint[8];	
	/* debug情况下记录 是否为sqli 的理由 即是在代码哪一行决定的 */
	int reason; 	
	
	/* mysql注释方式为 --加空格 模式  
	MYSQL和标准SQL的区别(注释)在上个博客中已经说明 */
	int stats_comment_ddw; 	
	int stats_comment_ddx;	/* mysql中 --后面没有空格和-一个破折号 的非注释情况处理 */
	int stats_comment_c;	/* c语言模式注释 /x . x/ 未涉及 */
	
	/* 处理# 其中,ANSI模式下#是个操作符, mysql模式下 #是个注释 后面跟注释 */
	int stats_comment_hash;	
	
	int stats_folds; 	/* 用来统计sql输入字符串令牌化后的个数 令牌化一个就+1 */
	
	/* 用于统计一共令牌化了几个字符串 如 "1' OR 1=1" 
	令牌化后就是 s&1 那么 stats_tokens = 3 */
	int stats_tokens; 	
};

2. libinjection_sqli_token

libinjection_sqli_token 记录令牌的信息

struct libinjection_sqli_token {
	size_t pos;	/* 记录sql输入字符串被令牌化的位置 如果转换了 pos+1 */
	size_t len;	/* 记录sql输入字符串被令牌化长度 */
	int  count;	/* 记录@符号开头的数量 */
	
	/* 
		记录每个字符令牌化后的类型 类型在 sqli_token_types 中 
		如 
			TYPE_NUMBER = (int)'1'   /*所有数字会被识别为1 
			TYPE_STRING = (int)'s'   /*单引号和双引号
			……等等
	*/
	char type;	
	
	/* 
		记录字符串开始字符是什么 
			如 CHAR_TICK '`' 
			CHAR_SINGLE  '\''
			或者其他具体字符等
		记录字符串结束字符是什么  
			如 CHAR_NULL  '\0'
			或者其他具体字符等
	*/
	char str_open;	
	char str_close;	
	
	/* 记录输入字符串的每个字符的令牌 一般结尾+结束符\0 */
	char val[32];	
};

3. sqli_flags

sqli_flags 其中的标志位记录 libinjection_sqli_fingerprint 进行令牌/指纹化过程中的参数类型
分四种情况:
1. FLAG_QUOTE_NONE + FLAG_SQL_ANSI 无引号,标准SQL语法
2. FLAG_QUOTE_NONE + FLAG_SQL_MYSQL 无引号,MYSQL语法
3. FLAG_QUOTE_SINGLE + FLAG_SQL_MYSQL 单引号,MYSQL语法
4. FLAG_QUOTE_DOUBLE + FLAG_SQL_MYSQL 单引号,MYSQL语法

enum sqli_flags {
	FLAG_NONE            = 0
	, FLAG_QUOTE_NONE    = 1   /* 1 << 0 */
	, FLAG_QUOTE_SINGLE  = 2   /* 1 << 1 */
	, FLAG_QUOTE_DOUBLE  = 4   /* 1 << 2 */

	, FLAG_SQL_ANSI      = 8   /* 1 << 3 */
	, FLAG_SQL_MYSQL     = 16  /* 1 << 4 */
};

4. lookup_type

  1. LOOKUP_WORD
    /* 查找字符串对应的令牌类型
    返回 sql_keywords 中字符对应的类型 对应的 sqli_token_types 表中的类型 */

  2. LOOKUP_TYPE /* 未涉及 */

  3. LOOKUP_OPERATOR
    /* 查找字符串的操作符对应的令牌类型
    返回 sql_keywords 中字符对应的类型 对应的 sqli_token_types 表中的类型 */

  4. LOOKUP_FINGERPRINT
    /* 输入sql字符串最终的令牌/指纹 进行特征库查找 */

     enum lookup_type {
 	LOOKUP_WORD        = 1
 	, LOOKUP_TYPE        = 2
 	, LOOKUP_OPERATOR    = 3
 	, LOOKUP_FINGERPRINT = 4	
 };

5. sqli_token_types

  1. sqli_token_types 是规定的字符串对应的令牌/指纹的转换表

  2. 其中,TYPE_XXX 类型在 sql_keywords (就叫它一个特征库表吧)中给出

  3. 这个 sql_keywords 表一共列出了 9352 种特征情况,并给出每种情况的特征结果,结果就是 sqli_token_types key值

     typedef enum {
 	TYPE_NONE        = 0
 	, TYPE_KEYWORD     = (int)'k' // 关键字 多 如 SELECT ALTER IN FROM
 	, TYPE_UNION       = (int)'U' // 就几个 如 EXCEPT/返回两个结果集的差 UNION/并集 INTERSECT/交集
 	, TYPE_GROUP       = (int)'B' // 分组 GROUP BY/进行分组 ORDER BY/对结果集进行排序 LIMIT/限制查询结果返回的数量
 	, TYPE_EXPRESSION  = (int)'E' // 表达式 如 CASE/判断 SELECT/选择 UPDATE/修改 
 	, TYPE_SQLTYPE     = (int)'t' // sql类型 很多 具体 TYPE_SQLTYPE 参见下面解释
 	, TYPE_FUNCTION    = (int)'f' // sql函数 很多 具体 TYPE_FUNCTION 参见下面解释 
 	, TYPE_BAREWORD    = (int)'n' // 裸词 如 BY DO DATABASE LOCK/LOCK IN FOR OUT WITH
 	, TYPE_NUMBER      = (int)'1' // Number 类型 FLOAT Double True/False也是的
 	, TYPE_VARIABLE    = (int)'v' // sql 变量 如 CURRENT DATE/PATH/TIME 等 及 NULL UNKNOWN
 	, TYPE_STRING      = (int)'s' // 字符串 一般以 ' 和 '' 开头
 	, TYPE_OPERATOR    = (int)'o' // 操作符 如 += >> 及 常用的BETWEEN IS NOT IS NULL等等
 	, TYPE_LOGIC_OPERATOR = (int)'&'  // 逻辑操作符 暂时未涉及
 	, TYPE_COMMENT     = (int)'c' // 注释处理 --空格 # /* */
 	, TYPE_COLLATE     = (int)'A' // 排序 就一个 COLLATE  collate在sql中是用来定义排序规则的
 	, TYPE_LEFTPARENS  = (int)'(' // 左括号
 	, TYPE_RIGHTPARENS = (int)')'  /* not used? */ // 右括号
 	, TYPE_LEFTBRACE   = (int)'{' // 左大括号
 	, TYPE_RIGHTBRACE  = (int)'}' // 右大括号
 	, TYPE_DOT         = (int)'.' // 点好 或者叫做 顿号 
 	, TYPE_COMMA       = (int)',' // 逗号
 	, TYPE_COLON       = (int)':' // 冒号 
 	, TYPE_SEMICOLON   = (int)';' // 分号
 	, TYPE_TSQL        = (int)'T'  /* TSQL start */ // Transact-SQL 是SQL的增强版常见 BEGIN GO GOTO CALL等
 	, TYPE_UNKNOWN     = (int)'?' // 未知符号
 	, TYPE_EVIL        = (int)'X'  /* unparsable, abort  */ // 不能解释的符号
 	, TYPE_FINGERPRINT = (int)'F'  /* not really a token */ // 指纹符号
 	, TYPE_BACKSLASH   = (int)'\\' // 反斜杠 \
 } sqli_token_types;

其中,常见数据类型如下所示:

  1. TYPE_SQLTYPE 常见的有:整形,单精度,双精度,可变长度字符,固定长度字符,长型,日期等等。
    Binary ·Varbinary ·Char·Varchar·Nchar·Nvarchar·Datetime ·Text ·Image ·Ntext
    ·Smalldatetime ·Decimal ·Numeric·Float·Real ·Int ·Smallint ·Tinyint
    ·Money ·Smallmoney ·Bit ·Cursor ·Sysname ·Timestamp ·Uniqueidentifier
  2. TYPE_FUNCTION SQL 拥有很多可用于计数和计算的内建函数
    函数的基本类型是:
    Aggregate 合计函数/Aggregate functions AVG/平均值 COUNT/行数 MAX MIN SUM FIRST LAST
    Scalar 函数 UCASE,LCASE/转大小写 LEN/长度 MOD/取余

6. char_parse_map

char_parse_map 列出了 ASCII表每个字符对于的解析函数

例如, ASCII前32个字符都通过 parse_white 函数处理,其不处理+1 往后进行
例如, ASCII 48到57 是数字 0-9 通过 parse_number 函数处理 
其中 129-255 这写字符通过 parse_word 函数处理 
 这里为什么是255 ? 没整明白 不应该只有128吗?

typedef struct libinjection_sqli_state sfilter;
typedef size_t (*pt2Function)(sfilter *sf);
static const pt2Function char_parse_map[] = {
	&parse_white, /* 0 */
	……
	&parse_white, /* 32 */
	&parse_operator2, /* 33 */
	&parse_string, /* 34 */
	&parse_hash, /* 35 */
	&parse_money, /* 36 */
	&parse_operator1, /* 37 */
	&parse_operator2, /* 38 */
	&parse_string, /* 39 */
	&parse_char, /* 40 */
	&parse_char, /* 41 */
	&parse_operator2, /* 42 */
	&parse_operator1, /* 43 */
	&parse_char, /* 44 */
	&parse_dash, /* 45 */
	&parse_number, /* 46 */
	&parse_slash, /* 47 */
	&parse_number, /* 48 */
		……
	&parse_operator2, /* 58 */
	&parse_char, /* 59 */
	&parse_operator2, /* 60 */
	……
	&parse_other, /* 63 */
	&parse_var, /* 64 */
	&parse_word, /* 65 */
	&parse_bstring, /* 66 */
	&parse_word, /* 67 */
	&parse_word, /* 68 */
	&parse_estring, /* 69 */
	&parse_word, /* 70 */
	……
	&parse_word, /* 77 */
	&parse_nqstring, /* 78 */
	&parse_word, /* 79 */
	&parse_word, /* 80 */
	&parse_qstring, /* 81 */
	&parse_word, /* 82 */
	&parse_word, /* 83 */
	&parse_word, /* 84 */
	&parse_ustring, /* 85 */
	&parse_word, /* 86 */
	&parse_word, /* 87 */
	&parse_xstring, /* 88 */
	&parse_word, /* 89 */
	&parse_word, /* 90 */
	&parse_bword, /* 91 */
	&parse_backslash, /* 92 */
	&parse_other, /* 93 */
	&parse_operator1, /* 94 */
	&parse_word, /* 95 */
	&parse_tick, /* 96 */
	&parse_word, /* 97 */
	&parse_bstring, /* 98 */
	&parse_word, /* 99 */
	&parse_word, /* 100 */
	&parse_estring, /* 101 */
	&parse_word, /* 102 */
	……
	&parse_word, /* 109 */
	&parse_nqstring, /* 110 */
	&parse_word, /* 111 */
	&parse_word, /* 112 */
	&parse_qstring, /* 113 */
	&parse_word, /* 114 */
	……
	&parse_ustring, /* 117 */
	&parse_word, /* 118 */
	&parse_word, /* 119 */
	&parse_xstring, /* 120 */
	&parse_word, /* 121 */
	&parse_word, /* 122 */
	&parse_char, /* 123 */
	&parse_operator2, /* 124 */
	&parse_char, /* 125 */
	&parse_operator1, /* 126 */
	&parse_white, /* 127 */
	&parse_word, /* 128 */
		……
	&parse_word, /* 255 */
};

7. sql_keywords

sql_keywords 列出了 9352 种特征对应的指纹/令牌字典表
由于篇幅,下表省略了许多。

static const keyword_t sql_keywords[] = {
	{"!!", 'o'},
	……
	{"0&(1)O", 'F'},
	……
	{"0VUVOS", 'F'},
	{"0X", 'F'},
	{"::", 'o'},
	……
	{"ABORT", 'k'},
	{"ABS", 'f'},
	{"ADDDATE", 'f'},
	{"ADDTIME", 'f'},
	{"AND", '&'},
	{"ANY", 'f'},
	{"EXIT", 'k'},
	……
	{"FOR", 'n'},
	{"TOP", 'k'},
	{"TOTAL", 'f'},
	{"UNION", 'U'},
	……
	{"WHEN", 'k'},
	{"WHERE", 'k'},
	……
	{"_UTF8", 't'},
	{"|/", 'o'},
	{"|=", 'o'},
	{"||", '&'},
	{"~*", 'o'},
};
static const size_t sql_keywords_sz = 9352;

参考

源码托管在在github上:
https://github.com/Audi-1/sqli-labs

https://zhuanlan.zhihu.com/p/44292411
https://zhuanlan.zhihu.com/p/44537204
https://www.anquanke.com/post/id/86097

Hani_97
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libinjection:SQL SQLI标记器解析器分析
05-10
射液 SQL / SQLI标记生成器解析器分析器。 为了 C和C ++ (外部端口) [LuaJIT / FFI]( )(外部端口) 有关详细信息和演示,请参见 。 简单的例子: # include < stdio> # include < strings> # include < errno> # include " libinjection.h " # include " libinjection_sqli.h " int main ( int argc, const char * argv[]) { struct libinjection_sqli_state state; int issqli; const char * input = argv[ 1 ]; size_t slen = strlen (input);
对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析
10-25
主要介绍了对于ThinkPHP框架早期版本的一个SQL注入漏洞详细分析,对于网站安全十分重要!需要的朋友可以参考下
SQL注入语义分析libinjection
西京刀客
03-24 1021
libinjection是一款用于防御SQL注入攻击的开软件库。它是由C语言编写的,可以嵌入到任何Web应用程序中,并可以较为准确地检测和防止恶意SQL注入语句。libinjection采用了基于正则表达式的技术来识别和拦截SQL注入攻击,同时其开放代码的特点也使得其具备了较高的可定制性和扩展性。
SQL注入libinjection分析(4)分析之整框架解读
哈尼的博客
06-19 734
SQL注入libinjection分析(4)分析重要函数分析参考 参考 码托管在在github上: https://github.com/Audi-1/sqli-labs https://zhuanlan.zhihu.com/p/44292411 https://zhuanlan.zhihu.com/p/44537204 https://www.anquanke.com/post/id/86097 ...
libinjection随笔(一):sql注入分析库,libinjection编译使用
小白的专栏
06-13 972
前言 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。当出现了相关注入的操作时,锅还是会降临的…… 那如何减少或者避免数据库注入的发生呢? =========》libinjection 作为一个开sql注入和xxs攻击的词法解析库,它比较独特的是没有使用正则表达式而是一个完善的特征库来匹配检查SQL注入。相比传统正则匹配识别SQL注入在于速度快以及低误报,低漏报 。 码网址如下: http://
SQL注入libinjection分析(2)Libinjection
哈尼的博客
04-02 2877
SQL注入libinjection分析(2)Libinjection1. 什么是Libinjection?2. 码3. Libinjection处理流程3.1 Libinjection总的框架3.2 libinjection_is_sqli() 处理3.3 libinjection对特征码的定义4. 举例子5. Libinjection总结5.1 Libinjection库的优点参考 1. 什...
基于Java的sql-analysis慢sql分析组件设计
最新发布
05-22
sql-analysis慢sql分析组件设计码:该项目基于Java开发,包含54个文件,主要使用Java语言。该设计码是一款针对大促和日常系统稳定性隐患的慢sql分析和排查工具,基于Mybatis插件设计。它不同于基于慢sql日志分析...
YXcms-含有SQL注入漏洞的码包 (3).zip
12-31
"YXcms-含有SQL注入漏洞的码包 (3).zip" 这个标题表明我们正在处理一个名为 "YXcms" 的内容管理系统(CMS)的代码包,这个版本(第3个)存在SQL注入漏洞。SQL注入是一种常见的网络安全问题,攻击者可以利用此...
YXcms-含有SQL注入漏洞的码包.zip
03-17
【标题】"YXcms-含有SQL注入漏洞的码包.zip" 提供了一个关键的安全问题,即SQL注入漏洞,这是许多网站和应用程序面临的一种常见威胁。SQL注入是指攻击者通过在输入字段中插入恶意SQL代码,以获取、修改、删除...
Discuz7.2版的faq.php SQL注入漏洞分析
10-25
主要介绍了Discuz7.2版的faq.php SQL注入漏洞分析,包含注入代码和分析,需要的朋友可以参考下
sql_lib.zip
05-03
Flink SQL Client操作kafka、es、mysql时所需的jar文件,下载后放在flink目录下,在启动Flink SQL Client时通过-l参数指定
grapeSQLI:grapeSQLI易于使用Sql Inject和XSS Parser。对于golang(如libinjection
05-04
____ ___ _ ____ __ _ _ __ __ _ _ __ ___/ ___| / _ \| | / ___| ___ / _` | '__/ _` | '_ \ / _ \___ \| | | | | | | _ / _ \ | (_| | | | (_| | |_) | __/___) | |_| | |__| |_| | (_) | \__, |_| \__,_| .__/ \___|____/ \__\_\_____\____|\___/ |___/ |_| grapeSQLI is easy to use Sql Inject & XSS Parser grapeSQLI grapeSQLI是一种简单易用的Sql inject & XS
SQL注入libinjection分析(5)分析之指纹函数fingerprint和查找函数lookup_word剖析
哈尼的博客
06-22 1041
SQL注入libinjection分析(5)分析之指纹函数fingerprint和查找函数lookup_word剖析1. libinjection_sqli_fingerprint2. libinjection_sqli_lookup_word 1. libinjection_sqli_fingerprint /* 重新置位 sql_state 因为,sql注入三种形式都调用此接口,每次调用都重新置位 */ libinjection_sqli_reset /* libinjection
宽字节注入-sql-lib
weixin_43803070的博客
05-07 473
** 宽字节注入原理: ** 一、 原理:mysql 在使用 GBK 编码的时候,会认为两个字符为一个汉字,例如%aa%5c 就是一个汉字(前一个 ascii 码大于 128 才能到汉字的范围)。我们在过滤 ’ 的时候,往往利用的思路是将 ‘ 转换为 \’ 。因此我们在此想办法将 ’ 前面添加的 \ 除掉,一般有两种思路: 1、%df 吃掉 \ 具的原因是 urlencode(’) = %5c%...
libinjection库的研究总结
zhangge3663的博客
08-08 3963
一、前言       在项目中的需要增加detectSQLi和detectXSS方法,故研究一下libinjection中的结构。       如下图所示,在规则引擎中调用了detectSQLi之后,会跑到libinjection中执行libinjection_sqli,然后执行libinjection_sqli_init()初始化libinjection_sqli_state结构,回调...
去除inline-block元素间间距的N种方法
weixin_30781433的博客
06-14 736
一、现象描述 真正意义上的inline-block水平呈现的元素间,换行显示或空格分隔的情况下会有间距,很简单的个例子: <input /> <input type="submit" /> 间距就来了~~ 我们使用CSS更改非inline-block水平元素为inline-block水平,也会有该问题: .space a { display:...
perl中-〉和=〉用法
weixiang33的专栏
08-27 564
-> 有两种用法,都和解引用有关。   第一种用法,就是解引用。   根据-> 后面跟的符号的不同,解不同类型的引用,   ->[] 表示解数组引用,->{}表示解散列引用,->() 表示解子程序引用。   例子:   $arr_ref = /@array;   $arr_ref->[0] 访问数组@array 的第一个元素。   $ha
简单分析SQL注入语义分析Libinjection
thlzjfefe的博客
01-18 664
一、前言 这次主要讲开SQL注入语义分析libinjection,如果有发现其他开SQL语义分析库的欢迎告知。libinjection的程序分析由Simon友情提供,需要看完整报告的可以加群看。 二、libinjection程序分析 从流程图上看,libinjection首先是初始化issqlii变量,接着设置数据结构并初始化变量state,libinjection_sqli_in...
SQL注入libinjection分析(1)SQL注入
哈尼的博客
04-02 1144
SQL注入libinjection分析(1)SQL注入1. SQL注入1.1 什么是SQL注入?1.2 为什么会有SQL注入?1.3 SQL注入举例1.4 SQL注入特点1.5 SQL注入攻击过程1.5.1 第一步:SQL注入点探测。1.5.2 第二步:收集后台数据库信息。1.5.3 第三步:猜解用户名和密码。1.5.4 第四步:查找Web后台管理入口。1.5.5 第五步:入侵和破坏。2. SQ...
突破WafBypass思维:SQL注入策略与云WAF分析
这篇“我的WafBypass之路”提供了关于WAF防护机制、工作原理以及SQL注入绕过策略的实用知识,对于网络安全专业人士和研究人员来说具有很高的参考价值。通过学习和实践,读者可以提升在对抗WAF时的应对能力,同时增强...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值