CTF实战8 SQL注入漏洞

是我们的第二个实战课程

我们还是那句话先 重要声明 该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

SQL注入漏洞产生的原因

SQL注入(SQL Injection)

是程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患

用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作

那什么是SQL

SQL语句

SQL(Structured Query Language)

结构化的查询语言,是关系型数据库通讯的标准语言。

查询:SELECT statement FROM table WHERE condition

删除记录:DELETE FROM table WHERE condition

更新记录:UPDATE table SET field=value WHERE condtion

添加记录:INSERT INTO table field VALUES(values)

SQL注入攻击流程

一般可以分为这么几个步骤:

  1. 判断注入点
  2. 判断注入点类型
  3. 判断数据库类型
  4. 获取数据库数据库,提权
那么第一问题来了

那如何判断一个SQL注入点呢

判断注入点

最简单的方法,引入单引号

http://host/test.php?id=100’ 返回错误说明有可能注入

http://host/test.php?id=100 and 1=1 返回正常

http://host/test.php?id=100 and 1=2 返回错误

如果满足上面三点,是注入点的可能性就很高了

找到注入点之后就是判断注入类型

数字型注入点

测试方法:

http://host/test.php?id=100 and 1=1 返回成功

http://host/test.php?id=100 and 1=2 返回失败

为什么第一个会返回成功,而第二个是返回失败呢?

原因如下:

假设我们网站的SQL查询的语句是这样的

SELECT * FROM news WHERE id=$id

这里的$id是用户提交的

当我们输入的是

100 and 1=1

语句就变成了这样

SELECT * FROM news WHERE id=100 and 1=1

这个SQL语句and左边是返回成功的,因为我们是在有这个id的情况下后面加上我们的注入语句,如果这个id不存在,那就没法测试了

而在and右边,1=1也是恒成立的,所以整个语句返回的是成功

当然,如果后面改成了1=2的话,因为1=2是不成立的,and语句的判断逻辑是只要有一个不成立,就返回失败,所以1=2最后会返回的是失败

字符型注入点

测试方法:

http://host/test.php?name=man' and '1'='1 返回成功

http://host/test.php?name=man' and '1'='2 返回失败

这里看上去就和上面的数字型就多了个单引号,其实不仅仅如此

原因如下:

还是假设我们网站的SQL语句是这样的

SELECT * FROM news WHERE name='$name'

当我们构造输入为下面这个的时候

man' and '1'='1

语句就变成了

SELECT * FROM news WHERE name='man' and '1'='1'

发现什么了没?这个SQL已经闭合了

还是一样的,这里and的左边是一定成立的,而and右边也是一样的成立,所以and逻辑之后,整个语句返回成功

同理可知如果后面是1'='2就会返回失败,当然,这里不一定非要是1或者2,因为是字符型,所以我们可以输入任何字符

比如这样

http://host/test.php?name=man' and 'a'='a 返回成功

http://host/test.php?name=man' and 'a'='b 返回失败

索型注入点

测试方法

http://host//test.php?keyword=python%' and 1=1 and '%'='

http://host//test.php?keyword=python%' and 1=2 and '%'='

假设我们的SQL查询语句是这样的

SELECT * FROM news WHERE keyword like '%$keyword%'

这里的$keyword是用户的输入

当我们输入以下语句的时候

python%' and 1=1 and '%'='

最终我们得到的语句是这样的

SELECT * FROM news WHERE keyword like '%python%' and 1=1 and '%'='%'

发现了什么没有?

这个语句又一次的闭合了

这里我们再分析以下,因为是and逻辑,只要有一个错误,就返回错误

我们可以把这个语句分为三段

SELECT * FROM news WHERE keyword like '%python%'

and 1=1

and '%'='%'

第一行的语句肯定是成功(再强调一遍,我们要在存在的查询上构造SQL注入)

第二句也是,第三句也是,因为自己肯定等于自己啊

但是如果我们把第二句换成1=2,那么这个语句肯定就会返回失败了,就是这个原理

内联式SQL注入

内联注入是指查询注入SQL代码后,原来的查询仍然全部执行

假设我们的网站SQL查询语句是这样的

SELECT * FROM admin WHER username='$name' AND password ='$passwd'

这一看就是个登录页面的代码

假如我们构造如下语句提交到登录框中的username

' or ''='

或者提交到password框里面,这两种提交方法是不一样的,我们下面就来分析一下这两个提交方法

提交到username我们的语句就会成为这样

SELECT * FROM admin WHER username='' or ''='' AND password ='fuzz'

fuzz是我们随便输入的字符串

而提交到password则会是这样的

SELECT * FROM admin WHER username='fuzz' AND password ='' or ''=''

这里我们要知道一点,就是在SQL语句中,AND的优先级是大于OR的,于是会先计算AND,然后之后才会计算OR,所以这里我们的语句会被OR分为两段SQL语句

这是username框的

SELECT * FROM admin WHER username=''

or

''='' AND password ='fuzz'

或者password框的是这样

SELECT * FROM admin WHER username='fuzz' AND password =''

or

''=''

我们首先用第一个来分析

首先计算AND之后

SELECT * FROM admin WHER username='' 返回失败

or

''='' AND password ='fuzz' 返回失败

数据库是不会存在usernameNULL的字段的,所以第一句返回的是失败,第三句中,因为password是我们随便输入的,99.99%是不会存在这个密码的,于是AND之后,我们的第三句也是失败的,所以整个语句返回失败的

但是我们的password情况就不一样了

SELECT * FROM admin WHER username='fuzz' AND password =''

or

''=''

这里我们第一句是返回失败的,但是我们的第二句''=''是返回成功的,OR逻辑是有一个是成功就返回成功,于是我们的整个语句就会返回成功

返回成功之后我们就会绕过登录表单直接登录系统了

终止式SQL注入

终止式SQL语句注入是指攻击者在注入SQL代码时,通过注释剩下的查询来成功结束该语句

于是被注释的查询不会被执行,我们还是拿上面那个例子举例

我们上面已经知道,在username框内填入

' or ''='

程序是不会返回成功的,我们就没有办法在username做文章了吗?

错了,我们还有终止式

还是上面那个SQL查询语句

SELECT * FROM admin WHER username='$name' AND password ='$passwd'

这里我们构造如下username输入

' or ''='' --

之后我们就可以得到如下的查询语句

SELECT * FROM admin WHER username='' or ''='' --' AND password ='fuzz'

这里的fuzz是我们随便输入的,-是注释符

这样,我们的语句就可以分为三个部分了

SELECT * FROM admin WHER username=''

or ''='' 返回成功

--' AND password ='fuzz'

第一句肯定是返回失败的,但是我们第二句会返回成功,那你可能会问,那后面的语句了?

已经被我们注释掉了,是不会执行的,所以我们还是可以通过在username做这个手脚来绕过登录

下面是我们常见的一些终止方式

终止字符串:

-- , #, %23, %00, /*

终止方法:

-- , ‘-- , ‘)-- , ) -- , ‘)) --, ))--

注入点可能在哪里?

所有的输入只要和数据库进行交互的,都有可能触发SQL注入

常见的包括

Get参数触发SQL注入

POST参数触发SQL注入

Cookie触发SQL注入

没错,Cookie也是可以的

参与SQL执行的输入都有可能进行SQL注入

下面我们来了解一下一般网站的常用架构是什么样的

常见网站架构

我们可以通过常见构架来判断数据库的类型

asp + access

asp + mssql

asp.net + mssql

php + mysql

Jsp + oracle

Jsp + mysql

如果你发现了一个网站是用php的,那这个网站的数据库很有可能就是MySQL

当然我们也可以在单引号报错里面知道是什么数据库

识别数据库我们就简单的介绍到这里,下面我们来了解一下常用的注入方法

UNION注入

UNION是数据库管理员经常使用且可以掌控的运算符之一

可以使用它连接两条或多条SELECT语句的查询结果

其基本语法如下:

SELECT colum1,colum2,colum3,…,columN FROM table1

UNION

SELECT colum1,colum2,colum3,…,columN FROM table2

如果应用返回第一个(原始)查询得到的数据,那么通过在第一个查询后注入一个UNION运算符,并添加另一个任意查询,便可读取到数据库用户有权限访问的任何一张表

当然这么好用的语句是有限制的

使用UNION获取数据规则:

  1. 两个查询返回的列数必须相同
  2. 两个SELECT语句返回的数据库对应的列必须类型相同或兼容
  3. 通常只有终止式注入时,可较快猜解并利用,否则要知道原始的SQL语句才能比较方便的利用

UNION语句的构建

确定列数量

UNION SELECT null,null,null,…,null FROM dual

使用逐步增加null数量,直到匹配原语句的列数量,成功匹配后返回正常页面

这是利用了<两个查询返回的列数必须相同>这个原理

使用ORDER BY确定原语句列数量, 可使用折半查找法提高猜测效率

当我们确定了表中列的数量之后,怎么确定类型?

确定列类型

UNION SELECT 1,’2’,null,…,null FROM dual

我们这里先猜测第一列为数字,如果返回结果不正确,则判断为字符

如果还是不正确则保持null不变(可能为二进制类型),之后依次完成部分或全部类型的判断

当然,每种方式都有不适用的情况

Union不适用的地方

注入语句无法截断,且不清楚完整的SQL查询语句

Web页面中有两个SQL查询语句,查询语句的列数不同

枚举数据库

最后我们来讲一下枚举数据库

SQL Server

获取当前用户名

id=12 UNION SELECT null, null, user, null FROM master..sysdatabases

获取数据库列表

id=12 UNION SELECT null, null, name,null FROM master..sysdatabases

获取当前数据库名

id =12 UNION SELECT null,null,db_name(),null FROM master..sysdatabases

获取表名

id=12 UNION SELECT null,null,name,null FROM sysobjects where xtype=‘u’

获取字段名

id =12 UNION SELECT null,null,col_name(object_id(‘table_name’), 1), null FROM sysobjects

MySQL

获取当前用户

SELECT user()
获取数据库列表
SELECT schema_name FROM information_schema.schemata
获取当前数据库

SELECT database()

获取表名

SELECT table_name FROM information_schema.tables WHERE table_schema='some_db'

获取字段名

SELECT some_columns FROM information_schema.columns WHERE table_name='some_name'

Oracle

Oracle只能访问一个数据库,所以无法枚举数据库

获取当前用户表名

SELECT table_name FROM user_tables
获取所有表名及拥有者
获取字段名
SELECT column_name FROM user_tab_columns WHERE table_name='table'

今天我们的课程就上到这里,靶机中会用到我们上面几种注入方法的其中一种~

建议大家不要sqlmap还是自己手动注入看看~

原文发布于微信公众号 - 玄魂工作室(xuanhun521)

原文发表时间:2018-05-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏MYSQL轻松学

explicit_defaults_for_timestamp参数导致复制中断

explicit_defaults_for_timestamp是从5.6.6引入的一个新参数,默认是off。 作用:对TIMESTAMP类型列的默认值和NULL...

50550
来自专栏Java帮帮-微信公众号-技术文章全总结

Web-第二十四天 Oracle学习【悟空教程】

ORACLE数据库系统是美国ORACLE公司(甲骨文)提供的以分布式数据库为核心的一组软件产品,是目前最流行的客户/服务器(CLIENT/SERVER)或B/S...

31820
来自专栏PHP在线

MySQL SQL语句优化的10条建议

1、将经常要用到的字段(比如经常要用这些字段来排序,或者用来做搜索),则最好将这些字段设为索引 2、字段的种类尽可能用int或者tinyint类型。另外字段尽可...

34350
来自专栏黑泽君的专栏

day37_Spring学习笔记_05_CRM_01

CRM : custom releation manager 客户关系管理系统,用于维护客户和公司之间关系。 我们要做的是:学校 和 大家 之间关系。

8720
来自专栏菜鸟致敬

MySQL 查询数据

MySQL 数据库使用SQL SELECT语句来查询数据。 你可以通过 mysql> 命令提示窗口中在数据库中查询数据,或者通过 Python来查询数据。 语法...

31960
来自专栏Venyo 的专栏

使用 Elasticsearch 的 NGram 分词器处理模糊匹配

接到一个任务:用 Elasticsearch 实现搜索银行支行名称的功能。大概就是用户输入一截支行名称或拼音首字母,返回相应的支行名称。比如,用户输入"工行"或...

51260
来自专栏C#

Oracle常用的SQL方法总结

 在项目中一般需要对一些数据进行处理,以下提供一些基本的SQL语句:    1.基于条件的插入和修改:需要在表中插入一条记录,插入前根据key标识判断。如果标识...

22090
来自专栏Java呓语

第23章、存储程序和视图

本章讨论存储的程序和视图,这些数据库对象是根据存储在服务器上供以后执行的SQL代码定义的数据库对象。

8130
来自专栏Android相关

SQLite---使用约束

在使用SQLite建表的时候,通常会使用_id作为唯一标示,使用PRIMARY KEY与AUTOCREMENT进行修饰,而主键是不可以重复的。但是在这张表中还有...

18330
来自专栏Java后端技术栈

MySQL开发规范与使用技巧总结

1.库名、表名、字段名必须使用小写字母,并采用下划线分割。 a)MySQL有配置参数lower_case_table_names,不可动态更改,Linux系统...

12230

扫码关注云+社区

领取腾讯云代金券