簡介:在漏洞盒子挖洞已經有一段時間了,雖說還不是大佬,但技術也有所進步,安全行業就是這樣,只有自己動手去做,才能將理論的知識變為個人的經驗。本篇文章打算分享一下我在挖顯錯型SQL隱碼攻擊漏洞過程中的一些個人理解,如有不足也請大佬不吝指教。
0x00:什麼是SQL隱碼攻擊
SQL隱碼攻擊,相信大多數人一開始接觸安全,聽說的第一種漏洞型別就會是SQL隱碼攻擊,眾所周知,其本質就是將使用者輸入的資料當成了SQL語句來執行。
開發過網站的朋友應該都清楚,大多數的小型企業或個人的站點大都採用了LAMP結構,即Linux + Apache + MySQL + PHP,當然還有一些其它常見的技術如下表:
| 作業系統 | Web伺服器 | 資料庫 | 程式語言 |
|---|---|---|---|
| Linux | Apache | MySQL | PHP |
| Windows Server | Nginx | Oracle | JSP |
| Tomcat | SQL Server | ASP | |
| Python |
總的來說,絕大多數網站都採用了動態Web開發技術,而動態Web開發離不開資料庫,如果沒有處理好這兩者之間的關係,那麼SQL隱碼攻擊就會隨之而來了。
舉例來說,當我們想要通過引數id來獲取相對應的新聞時,整個過程簡單來說就是使用者通過URL請求新聞-->後臺通過使用者請求去資料庫查詢相對應的新聞-->將查詢到的新聞回傳給使用者。在第二步查詢相對應的新聞時,後臺會執行SQL語句來查詢,就像SELECT * FROM news WHERE id='',id的值是使用者來控制的,當id=1時,就會返回id=1的新聞,id=2時返回id=2的新聞,以此類推,就可以動態的控制web介面了。
這時,當使用者輸入的id值不正確時,後臺就無法獲取相對應的新聞,前端就會沒有資料顯示,可當使用者輸入的資料為1'; DROP TABLE news-- a時,恐怖的事情就發生了,資料庫中的news表被刪除了,這就說明這個引數存在SQL隱碼攻擊。
回到剛才使用者輸入的資料,拼接到後臺查詢資料時,整個SQL語句就變成了SELECT * FROM news WHERE id='1'; DROP TABLE news-- a',分析這條語句可知,使用者輸入的單引號閉合了id的值,分號閉合了SELECT語句,然後又新建了一條DROP語句刪除了表news,最後的-- a註釋掉了id值後的那個單引號,SQL隱碼攻擊就這麼產生了。
當一個站點存在SQL隱碼攻擊時,使用者的輸入就可以傳入資料庫執行,理論上這樣可以獲得資料庫的全部資料,也就是常說的脫庫了。獲得資料的方法也多種多樣,可以通過頁面直接返回想要查詢的資料,也可以通過sleep延時函式猜測資料,都不行的話我們還可以使用DNS解析日誌來獲得資料。其中,最簡單的一種方法就是顯錯型的SQL隱碼攻擊了。
顯錯型SQL隱碼攻擊只是SQL隱碼攻擊的其中一種,也是最簡單的一種,對於這種漏洞的防範也特別簡單,可這種漏洞在網際網路中仍不計其數...這也可見全國乃至全球對於網路安全知識普及的不足,接下來,我會從三個方面來講講這種漏洞,分別是為什麼會產生、怎麼利用以及怎麼防範。
0x01:為什麼會產生顯錯型SQL隱碼攻擊
顯錯型SQL隱碼攻擊,看名字就能知道,使用這種方法可以直接在頁面中返回我們要查詢的資料,方法也很簡單,即使用UNION聯合查詢即可。
但使用UNION聯合查詢時還要滿足一個條件,那就是我們構造的SELECT語句的欄位數要和當前表的欄位數相同才能聯合查詢,即首先我們要確定當前表的欄位數。order by x是資料庫中的一個排序語句,order by 1即通過第一個欄位進行排序。這時我們就可以構造SELECT * FROM news WHERE id='1' order by x-- a'來猜測當前表的欄位數,x值遞增,當頁面返回資料異常時,即無當前欄位時,用當前的x值減一即可得到當前表的欄位數了。
知道了當前表的欄位數,就可以進行UNION聯合查詢了。但聯合查詢時,頁面只會顯示查詢到資料的第一條,也就是UNION前的SELECT語句的結果,想要顯示我們自己聯合查詢的結果時,還必須使前一條語句失效,這裡我們構造and 1=2使前一句SELECT語句失效。回到剛才的案例,假設當前表的欄位數為3,我們就可以構造SELECT * FROM news WHERE id='1' and 1=2 UNION SELECT 1,2,3-- a'來查詢當前頁面的顯錯點了,通過下圖的案例可知,當前的顯錯點為第一欄位和第三欄位。
這個顯錯點又是什麼意思呢?比如當前表中共有三個欄位,一個是標題(title)、一個是時間(time)、一個是內容(data),而我們前端不需要顯示時間,只需要展示標題和內容即可。那麼從資料庫獲得的資料中,也只有標題欄位和內容欄位會展示在頁面上,這兩個點就是顯錯點。
通過這裡的顯錯點,使用者就可以獲得資料庫中的所有資料了。當使用者輸入的資料為1' and 1=2 UNION SELECT 1,2,database()-- a時,即SQL語句為SELECT * FROM news WHERE id='1' and 1=2 UNION SELECT 1,2,database()-- a'時,就可以直接得到資料庫的庫名。
0x02:怎麼利用顯錯型SQL隱碼攻擊
1.判斷是否存在注入
構造and 1=1/and 1=2檢視頁面是否有異常,若有異常,即有可能存在注入,另外還可通過該語句判斷該站點是否有WAF,若有WAF的話會有攔截警告,當然,WAF也是可以繞過的。。。
2.查詢當前表的欄位數
構造order by x,當頁面返回異常時,利用x減一即可得到當前表的欄位數。
3.查詢顯錯點
構造and 1=2 union select 1,2,3,若頁面顯示了我們構造的1,2,3,則對應的欄位即為顯錯點。
4.查詢資料庫庫名
構造and 1=2 union select 1,2,database(),即可在顯錯點顯示當前資料庫庫名。
一般挖漏洞的話到此步驟就可以提交了,切記千萬不可非法獲得資料,挖洞有風險,同志需謹慎!
5.查詢資料庫中的表名
構造and 1=2 union select 1,2,table_name from information_schema.tables where table_schema=database() limit 0,1,即可在顯錯點顯示當前庫中的表名,因為顯錯點一次只能顯示一條資料,這時可以通過limit語句選擇不同的表名進行檢視。
6.查詢選擇表中的欄位名
構造and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name='XXX' limit 0,1,即可在顯錯點顯示欄位名,這裡也是通過limit語句選擇不同的欄位名進行檢視。
7.查詢資料庫中的資料
構造and 1=2 union select 1,2,XXX from XXX limit 0,1,即可獲得資料庫中的資料了。
0x03:怎麼防範顯錯型SQL隱碼攻擊
針對顯錯型SQL隱碼攻擊,我們可以對使用者輸入的資料進行一次篩查,設定黑名單,攔截注入常用的一些關鍵詞,比如and、order by、union、select、from等。
除了設定黑名單外,還有一種比較靠譜的方法,即使用預編譯語句,而不是動態的生成SQL語句,這樣可以有效的避免使用者輸入的資料連線到資料庫執行,就是實現起來比較複雜,需要設定大量的預編譯語句。
另外還有一種目前最靠譜的方法,實現起來還簡單,就是上硬體防火牆。。。就是有點小貴。
0x04:網際網路中的一些案例
依據網路安全法,本文旨在分享個人學習經驗,內容禁止用於違法犯罪行為!