前言
我們都知道,學安全,懂SQL隱碼攻擊是重中之重,因為即使是現在SQL隱碼攻擊漏洞依然存在,只是相對於之前現在挖SQL隱碼攻擊變的困難了。而且知識點比較多,所以在這裡總結一下。通過構造有缺陷的程式碼,來理解常見的幾種SQL隱碼攻擊。本文只是講解幾種注入原理,沒有詳細的利用過程。
如果想要了解Access的詳細手工注入過程,可以看我的這篇文章https://www.cnblogs.com/lxfweb/p/12643011.html
如果想要了解MySQL的詳細手工注入過程,可以看我的這篇文章https://www.cnblogs.com/lxfweb/p/12655316.html
如果想要了解SQL server的詳細手工注入過程,可以看我的這篇文章https://www.cnblogs.com/lxfweb/p/12675023.html
SQL隱碼攻擊原理
SQL隱碼攻擊漏洞的產生需要滿足兩個條件
- 引數使用者可控:前端傳給後端的引數內容是使用者可以控制的。
- 引數帶入資料庫查詢:傳入的引數拼接到SQL語句並帶入資料庫查詢。
所以在實際環境中開發者要秉持“外部引數皆不可信原則”進行開發。
幾種常見的SQL隱碼攻擊
union注入攻擊
先看程式碼
<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa"); #連線資料庫,我這裡直接連線了dvwa的資料庫
if(mysqli_connect_error())
{
echo "連線失敗:" .mysqli_connect_error();
}
$id=$_GET['id'];
$result=mysqli_query($con,"select * from users where `user_id`=".$id);
$row=mysqli_fetch_array($result);
echo $row['user'] . ":" . $row['password'];
echo "<br>";
?>
在union注入頁面中,程式獲取GET引數id,對使用者傳過來的id值沒有進行過濾,直接拼接到SQL語句中,在資料庫中查詢id對應的內容,並將這一條查詢結果中的user和password 輸出到頁面。進行union注入攻擊前提是頁面有回顯。
然後就是注入的常規思路,判斷型別,判斷欄位數,使用union查詢相關資料。
布林盲注攻擊
先看程式碼
<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa");
if(mysqli_connect_error())
{
echo "連線失敗:" .mysqli_connect_error();
}
$id=$_GET['id'];
if(preg_match("/union|sleep|benchmark/i",$id)){
exit("on");
}
$result=mysqli_query($con,"select * from users where `user_id`=".$id);
$row=mysqli_fetch_array($result);
if ($row) {
exit("yes");
}
else{
exit("no");
}
?>
在布林盲注頁面中,程式先獲取GET引數id,通過preg_match()函式判斷其中是否存在union sleep benchmark等危險字元。然後將引數id拼接到SQL語句,從資料庫查詢,如果有結果,返回yes,否則返回no。所以訪問這個頁面,程式碼根據查詢結果返回只返回yes和no,不返回資料庫中的任何結果,所以上一種的union注入在這裡行不通。嘗試利用布林盲注。
布林盲注是指構造SQL判斷語句,通過檢視頁面的返回結果來推測哪些SQL判斷是成立的。例如,我們可以判斷資料庫名的長度構造語句如下。
and length(database())>=1 #依次增加,檢視返回結果
通過上面的語句我們可以猜到資料庫名長度為4。
接著使用逐字元判斷的方式獲取資料庫庫名,資料庫庫名範圍一般都是az,字母09。構造語句如下。
and substr(database(),1,1)=要猜解的字母(轉換成16進位制)
substr是擷取的意思,構造語句的含義是,擷取database()的值,從第一個開始,每次返回一個。這裡要注意,要和limit語句區分開,limit從0開始排序,substr從1開始排序。因為我知道資料庫的第一個字母是d,所以直接換成d,轉換成16進位制就是0x64。結果如下。
在真實環境中,自己手工的話,工作量有點大,可以藉助burp的爆破功能爆破要猜解的字母。
同樣,也可以利用substr()來猜解表名和欄位。構造語句
and substr((select table_name from information_schema.tables where table_schema=庫名 limit 0,1),1,1)=要猜解的字母(這裡指表名)
用這樣的方法,可以猜解出所有的表名和欄位,手工會累死,可以藉助burp或者sqlmap。
爆錯注入攻擊
先看程式碼
<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa");
if (mysqli_connect_error())
{
echo "連線失敗:".mysqli_connect_error();
}
$id=$_GET['id'];
if($result=mysqli_query($con,"select *from users where `user_id`=".$id))
{
echo "ok";
}else{
echo mysqli_error($con);
}
?>
檢視程式碼,在報錯注入頁面中,程式獲取GET引數id後,將id拼接到SQL語句中查詢,如果執行成功,就輸出ok,如果出錯,就通過echo mysqli_error($con)將錯誤資訊輸出到頁面。我們可以利用這種錯誤回顯,通過updatexml()、floor()等函式將我們要查詢的內容顯示到頁面上。
例如,我們通過updatexml()獲取user()的值,構造如下語句。
and updatexml(1,concat(0x7e,(select user()),0x7e),1) #0x7e是~16進位制編碼
發現查詢出了user()的值
同樣,我們也可以查詢出database()的值
and updatexml(1,concat(0x7e,(select database()),0x7e),1) #0x7e是~16進位制編碼
查詢出了資料庫名
我們可以用這種方法查詢出剩下的所有表名和欄位,只需要構造相關的SQL語句就可以了。
時間盲注攻擊
先看程式碼
<?php
$con=mysqli_connect("localhost","root","XFAICL1314","dvwa");
if (mysqli_connect_error())
{
echo "連線失敗:".mysqli_error();
}
$id=$_GET['id'];
if (preg_match("/union/i",$id)){
exit("<html><body>no</body></html>");
}
$result=mysqli_query($con,"select * from users where `user_id`=".$id);
$row=mysqli_fetch_array($result);
if ($row){
exit("<html><body>yes</body></html>");
}
else{
exit("<html><body>no</body></html>");
}
?>
檢視程式碼,在時間盲注頁面中,程式獲取GET引數id,通過preg_match()函式判斷是否存在union危險字元,然後將id拼接到SQL語句中,並帶入資料庫查詢。如果有結果返回yes,沒有結果返回no。不返回資料庫中的任何資料。
它與布林盲注的不同在於,時間盲注是利用sleep()或benchmark()等函式讓執行時間變長。一般和if(expr1,expr2,expr3)結合使用,這裡的if語句的含義為如果expr1為真,則if()返回expr2,否則返回expr3。所以判斷資料庫的長度,我們們構造的語句如下
if (length(database())>3,sleep(5),1) #判斷資料庫長度,如果大於3,休眠5秒,否則查詢1
由上面圖片,我們通過時間可以判斷出,資料庫的長度為4。
得到長度後,通過substr()來查詢資料庫的第一個字母,這裡和布林盲注很類似,構造如下語句。
and if (substr(database(),1,1)=庫的第一個字母,sleep(5),1)
依次進行猜解。依次類推,可以猜解出資料庫完整的庫名,表名,欄位名和具體資料。手工的話依舊是一個浩大的工程,一般藉助工具。
小結
今天對union注入、布林盲注、報錯注入、時間盲注的原理和程式碼進行了簡單的分析。在第二篇文章中,會對堆疊注入、二次注入、寬位元組注入、cookie注入等進行簡單的分析。
參考文獻:Web安全攻防