IT评测·应用市场-qidao123.com

标题: 渗透攻防Web篇-深入浅出SQL注入 [打印本页]
作者: 来自云龙湖轮廓分明的月亮    时间: 2022-9-16 17:24
标题: 渗透攻防Web篇-深入浅出SQL注入
1 背景

京东SRC(Security Response Center)收录大量外部白帽子提交的sql注入漏洞,漏洞发生的原因多为sql语句拼接和Mybatis使用不当导致。

2 手工检测

2.1 前置知识

mysql5.0以上版本中存在一个重要的系统数据库information_schema,通过此数据库可访问mysql中存在的数据库名、表名、字段名等元数据。information_schema中有三个表成为了sql注入构造的关键。
1)infromation_schema.columns:

2)information_schema.tables

3)information_schema.schemata

SQL注入常用SQL函数
2.2 注入类型

2.2.1 参数类型分类

2.2.2 注入方式分类

2.3 手动检测步骤(字符型注入为例)
  1. // sqli vuln code
  2. Statement statement = con.createStatement();
  3. String sql = "select * from users where username = '" + username + "'";
  4. logger.info(sql);
  5. ResultSet rs = statement.executeQuery(sql);
  6. // fix code 如果要使用原始jdbc,请采用预编译执行
  7. String sql = "select * from users where username = ?";
  8. PreparedStatement st = con.prepareStatement(sql);
复制代码
 
使用未预编译原始jdbc作为demo,注意此demo中sql语句参数采用单引号闭合。
2.3.1 确定注入点

对于字符类型注入,通常先尝试单引号,判断单引号是否被拼接到SQL语句中。推荐使用浏览器扩展harkbar作为手工测试工具。https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc
正常页面应该显示如下:

admin后加单引号导致无信息回显,原因是后端sql执行报错,说明引号被拼接至SQL语句中


2.3.2 判断字段数

mysql中使用order by 进行排序,不仅可以是字段名也可以是字段序号。所以可以用来判断表中字段数,order by 超过字段个数的数字就会报错。

判断字段数
当order by 超过4时会报错,所以此表共四个字段。

后端所执行的sql语句
  1. select * from users where username = 'admin' order by 1-- '
复制代码
 
此处我们将原本username的值admin替换为admin’ order by 1 —+,其中admin后的单引号用于闭合原本sql语句中的前引号,—+用于注释sql语句中的后引号。—后的+号主要作用是提供一个空格,sql语句单行注释后需有空格,+会被解码为空格。
2.3.3 确定回显位置

主要用于定位后端sql字段在前端显示的位置,采用联合查询的方式确定。注意联合查询前后字段需一致,这也就是我们为什么做第二步的原因。
通过下图可知,后端查询并回显的字段位置为2,3位。

联合查询后的字段可以随意,本次采用的是数字1到4直观方便。

2.3.4 利用information_schema库实现注入

group_concat()函数用于将查询结果拼接为字符串。




3 自动化检测

3.1 sqlmap 使用

sqlmap兼容python2和python3,可以自动化检测各类注入和几乎所有数据库类型。
3.1.1 常用命令
  1. -u 可能存在注入的url链接
  2. -r读取http数据包
  3. --data 指定post数据
  4. --cookie 指定cookie
  5. --headers 指定http头 如采用token认证的情况下
  6. --threads 指定线程数
  7. --dbms 指定后端的数据库
  8. --os 指定后端的操作系统类型
  9. --current-user 当前用户
  10. --users 所有用户
  11. --is-dba 是否是dba
  12. --sql-shell 交互式的sqlshell
  13. -p指定可能存在注入点的参数
  14. --dbs 穷举系统存在的数据库
  15. -D指定数据库
  16. --tables 穷举存在的表
  17. -T指定表
  18. --column 穷举字段
  19. -C指定字段
  20. --dump dump数据
复制代码
 
直接检测
其中—cookie用于指定cookie,—batch 自动化执行,—dbms指定数据库类型

检测结果

读取系统中存在数据库
—dbs读取当前用户下的数据库

读取指定库下的表
-D java_sec_code —tables

dump users表数据
-D java_sec_code -T users —dump

4 进阶

4.1 Mybatis注入

1)$错误使用导致注入
  1. //采用#不会导致sql注入,mybatis会使用预编译执行
  2. @Select("select * from users where username = #{username}")
  3. User findByUserName(@Param("username") String username);
  4. //采用$作为入参可导致sql注入
  5. @Select("select * from users where username = '${username}'")
  6. List<User> findByUserNameVuln01(@Param("username") String username);
复制代码
 
2)模糊查询拼接
  1. //错误写法
  2. <select id="findByUserNameVuln02" parameterType="String" resultMap="User">
  3. select * from users where username like '%${_parameter}%'
  4. </select>
  5. //正确写法
  6. <select id="findByUserNameVuln02" parameterType="String" resultMap="User">
  7. select * from users where username like concat(‘%’,#{_parameter}, ‘%’)
  8. </select>
复制代码
 
3)order by 注入

order by 后若使用#{}会导致报错,因为#{}默认添加引号会导致找不到字段从而报错。
  1. //错误写法
  2. <select id="findByUserNameVuln03" parameterType="String" resultMap="User">
  3. select * from users
  4. <if test="order != null">
  5. order by ${order} asc
  6. </if>
  7. </select>
  8. //正确写法 id指字段id 此表字段共四个 所以id为1-4
  9. <select id="OrderByUsername" resultMap="User">
  10. select * from users order by id asc limit 1
  11. </select>
复制代码
 


以上测试均在本地进行,请勿未授权进行渗透测试5 文章及资料推荐

slqmap手册:https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/Users-manual/Introduction.html
sql注入详解:http://sqlwiki.radare.cn/#/
 

作者:罗宇(物流安全小分队)


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!



欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/) Powered by Discuz! X3.4