sql注入
先看几个已经发生的sql注入
漏洞原理
web应用程序对用户输入数据的合法性没有判断或者过滤不严格,攻击者在程序事先定义好的sql语句结尾添加额外的sql语句,欺骗sql服务器执行非授权的任意查询,得到一些数据。
漏洞危害
1. 脱库,通过批量查询的方式获取数据库中有用的信息。
2. 查询管理员的账号、密码,从而利用管理员账号密码做更多的操作。
3. 对数据增删改查,达到非法的目的。
4. 如果有读写权限,也可以直接向服务器写木马文件,读取服务器中敏感文件,进一步进行提权,从而控制整个服务器。
漏洞利用
1. union联合查询
union用于合并两个或者多个select语句的结果集。通过将原有查询语句结果置为空,页面上就会回显union后的select语句的结果。
联合查询中需要得到原有查询语句的列数,最常用的两种方式
1. 使用order by
?id=1' order by 3 --+
2. 使用union语句判断列数
?id=1' union select NULL,NULL,NULL --+
在Oracle中,每个查询语句都必须使用FROM关键字并指定一个有效的表,有一个DUAL表
?id=1' union select NULL,NULL from DUAL --
使用union查询可利用的sql函数有:
mysql中
@@version #查询数据库版本
database() #查当前数据库
user() #用户
有3个常用的连接字符串函数:
concat(1,2) #将两个字符串连接在一起
concat_ws(#,1,2) #不同的字符串用#隔开
group_concat(1,2,3) #显示在同一行
数据库中的默认库或者表
mysql中有一个information_schema库,该库中有3张默认表:分别为:
SCHEMATA、TABLES、COLUMNS
2. 报错注入
当页面没有回显信息,但是存在sql的报错语句时,我们就可以尝试使用报错注入,通过一些函数的使用,导致数据库执行出错,返回我们构造的查询语句的结果。
常见的报错注入函数:
floor():
floor:这个函数需要结合count(),rand(),group by()一起 来利用。?name=luy' or (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand(0)*2))) --+
extractvalue()与updatexml:
这两个称为xpath报错,都是对xml文档进行查询,updatexml可以进行查询替换。
extractvalue(xml文档,xml路径)?name=jjh' or extractvalue(1,concat(0x7e,(select database()),0x7e))--+ ?name=jjh' or updatexml(1,concat(0x3a,(select database()),0x7e),1)--+
updataxml(xml文档,xml路径,更新的xml内容)
都是在xml路径中植入我们的查询语句。其他参数的值可以随便写,执行报错会回显我们的查询语句结果。
3. 盲注
当页面不回显数据,也没有报错语句,只能通过页面返回的正常与否来判断我们的注入语句是否正确。就需要进行盲注。
(1). 时间盲注
当我们构造的正确sql语句和错误sql语句,回显都一样时,就考虑用时间盲注,通过页面的返回时间来判断我们构造sql语句的正确与否。
mysql中的延迟时间函数有:sleep(3)
?id=1' and if(left(database(),1)='s',sleep(3),0)PostgreSQL的时间函数:pg_sleep(3)
sql server的时间函数:WAITFOR DELAY '0:0:3'
Oracle 的时间函数:dbms_pipe.receive_message('RDS', 10)
?id=-1 or 1= dbms_pipe.receive_message('RDS', 10)--
(2). 布尔盲注
利用一些截取字符串的函数来截取我们查询结果的字符串,从而确定我们查询结果的值是什么。因为我们查询的结果不回显,只能通过猜测来判断返回的值是什么。
left(string,n) #n为截取的长度?id=1' and 1=if(left(database(),1)='d',1,0)
?id=1' and left(database(),1)='p'
substr(string,start,length) #start为开始截取的位置,length为截取的长度
?id=1' and ascii(substr(database(),1,1)=112
regexp正则表达式
?id=1' and database() regexp '^p' #第一个字符是p
like
?id=1' and database() like 'p%' #第一个字符是p
if(判断条件,正确返回的值,错误返回的值)
4. 宽字节注入
后端使用了GBK编码,并且会对单引号,双引号进行转义,我们在构造exp时,需要在闭合字符(单双引号)的前面加上%df ,这样后端对闭合的单双引号转义时,转义的反斜杠会被编码为%5c,%5c与我们写入的%df会组成一个汉字,这样就绕过了对特殊字符的转义,从而正确闭合,执行我们的sql语句。
5. 堆叠注入
mysql中,通过分号来结束sql语句,这样就可以多条sql语句一起使用,攻击者就可以利用分号来结束原有sql语句,后面构造自己的sql语句,从而造成sql注入。
6. Base64注入
就是将提交的参数进行了base64编码,攻击者也可以将sql语句构造好之后进行编码,传入参数也能进行sql注入。
7. 二次注入
第一次往数据库中插入恶意数据,第二次查询插入的恶意数据,就会造成攻击。
漏洞存在位置
1. cookie位置
web应用程序可能会利用cookie来确定是否是已知用户,
http请求包中含有cookie字段
Cookie: TrackingId=u5YD3PapBcR4lN3e7Tj4
应用程序可能会利用sql查询来确定是否是正常用户。
SELECT TrackingId FROM TrackedUsers WHERE TrackingId = 'u5YD3PapBcR4lN3e7Tj4'
这时就有可能存在sql注入
exp: ' and '1'='1
2. 提交的参数位置
参数位置的sql注入比较常见,只要提交的参数拼接到sql语句中执行了,就有可能存在sql注入。
绕过方式
1. 编码绕过:
waf对单引号,双引号进行了过滤,我们可以将单双引号进行编码,再进行闭合,一次编码不行,也可以考虑二次编码进行绕过。常用的有url编码,unicode编码,base64,hex等。
2. 大小写双写关键字绕过:
部分waf值过滤全大写或者小写的关键字,我们可以大小写一起使用来绕过。
3. 过滤了空格:
可以使用+ 、注释符/**/ 、空白符来绕过。
4. and和or进行了过滤:
可以使用&& 、 || 代替 and 和 or
5. 内联注释绕过:
将关键字包裹在多行注释里面,/*!50002sleep(3)*/
6. 异常method绕过:
有些waf只检测GET、POST方法,我们可以修改请求方式为DigApis,有可能会绕过waf的检测。
7. 复参数绕过:
在提交的参数中给同一个参数多次赋值,部分waf只会检测第一个参数的值,而后端程序处理时可能取后面参数的值,从而进行绕过。
8. 在关键字中添加%绕过:
如果对关键字进行检测,我们可以在关键字中添加多个%,绕过waf的检测。
漏洞防御
1. 对关键字和特殊符号进行过滤。
2. 对sql语句进行预编译,使用户输入的值只当做参数来传入,不会作为sql命令来执行。
3. 将用户的输入转义后再组成sql语句。
4. 统一错误信息,关闭错误提示。
5. 限制用户输入的长度。