利用SQL注入漏洞拖库,从而导致数据泄漏。一般的排查方式,我们可以使用关键字进行搜索,找到可疑的url尝试进行漏洞复现,通过Web访问日志来还原攻击路径,从而确定问题的根源。
但是,有一个问题却一直困扰着我,攻击者通过SQL注入漏洞到底获取了什么数据?是所有的数据,还只是访问了其中的一张表?
理论上,假设所有的url参数请求日志都记录完整的话,只需要重放每一个请求,然后根据请求响应的情况,就可以一步步还原出被攻击者拖走的数据。为此,我们来搭建一个场景来做攻击数据还原,验证一下这个挺有意思的猜想。
01、构建SQL注入场景
通过PHP+MySql构建了一个GET请求的sql注入点,使用SQL注入自动化工具脱库,在access.log产生访问日志,我们以此作为分析源。
Union联合注入日志记录:
127.0.0.1 - - [04/Apr/2021:19:55:14 +0800] "GET /test.php?id=1+and+1%3D2+union+select+1%2C2%2Ccon