基于时间的 SQL注入研究

SQL注入攻击是业界一种非常流行的攻击方式，是由rfp在1998年《Phrack》杂志第54期上的“NT Web Technology Vulnerabilities”文章中首次提出的。时过境迁，相关SQL注入的技术和工具都进行了不断的发展和演化。目前 SQL注入漏洞已经是信息安全的一大领域，无论是小到个人网站，还是大到电子商务网站，都或多或少的存在SQL注入漏洞。为什么SQL注入漏洞会屡禁不止，原因就在于要想防御SQL注入漏洞，需要对SQL语句、业务流程行为、各种主流数据库相关机制都有较为深入的认识和理解，才能真正做好SQL注入的攻击和防范。

SQL注入和盲注

对于SQL注入的定义和一般的判断方法，无非就是著名的三段式。普通SQL注入是通过构造SQL语句，将敏感信息直接暴露在网页上，有两种方式，一种是通过报错方式，一种是通过union select联合查询方式。普通的SQL注入并不是完美的，一旦开发人员将错误页面进行处理，将unionselect关键字进行过滤，注入将不再有效。其实这种修复方式存在较大的问题。如果是在不采取其他措施的情况下，仅仅更换成统一的错误页面是不能避免SQL注入的，这将会产生一种更高级的SQL注入方式盲注。盲注是通过构造SQL判断语句，通过返回页面的不同将信息判断出来。返回页面有三种：有结果页面、0结果页面和错误过滤页面。只要有其中的两个页面，无论哪两个页面都可以，就可以判断存在注入漏洞。当然，这中间还有一个前提，就是这些不同的页面是由输入到URL中的SQL语句执行的不同造成的。但是普通的盲注也不是绝对有效的，一旦没有两个以上的差异页面，或者不能通过页面的不同来来判断 URL中SQL语句的有效性，此时就要使用基于时间的SQL盲注。基于时间的SQL盲注的特点和使用假设有这么一个文件，无论怎么注入，页面内容都一样，但此文件确实存在注入点。最关键的是通过普通盲注不能得到差异页面，没有差异也就没法进行盲注。为什么没有差异，有这么几种情况：

第一种情况：无论输入什么都只显示无信息页面，例如登陆页面。这种情况下可能只有登录失败页面，错误页面被屏蔽了，并且在没有密码的情况下，登录成功的页面一般情况下也不知道。在这种情况下，有可能基于时间的SQL注入会有效。

第二种情况：无论输入什么都只显示正常信息页面。例如，采集登录用户信息的模块页面。采集用户的 IP、浏览器类型、refer字段、session字段，无论用户输入什么，都显示正常页面。

第三种情况：差异页面不是由输入URL中的SQL语句来决定的。这种情况下，也只能使用基于时间的盲注。

总之，情况有很多种，只要无法通过差异页面来进行一般SQL盲注，基于时间的SQL盲注就都有存在的可能。

Oracle数据库盲注

Oracle中基于时间的盲注主要是使用了DBMS_PIPE.RECEIVE_MESSAGE()函数和CASEWHEN„THEN„语句。下面是一个示例：

5593=(CASE
WHEN
(ASCII(SUBSTRC((SELECT
NVL(CAST([ColumnName]
AS
VARCHAR(4000)),CHR(32))  FROM  (SELECT   [ColumnName],ROWNUM  AS  LIMIT  FROM  (SELECT
DISTINCT([ColumnName])  FROM   [TableName]))  WHERE  LIMIT=[StringIndex]),[CharIndex],1))
[GuessChar])
THENDBMS_PIPE.RECEIVE_MESSAGE(CHR(90)||CHR(80)||CHR(71)||CHR(74),5)
ELSE 5593 END)

将[TableName]中的[ColumnName]字段下的所有数据选出，逐一选择每条数据，并且逐一选择每条数据中的每个字符，判断该字符的 ASCII码值是不是大于[GuessChar]，如果大于，将等待 5秒，如果不大于将返回 5593，当为 5593时，整个判断条件为真。上面的语句是用来获取指定表指定列中的数据。我们还可以通过使用 user_tab_columns、all_tab_columns、

all_tables和user_tables等表或视图来获取想要的表名和列名。如果是过滤了“”、“”，可以使用 like来进行等价变化.MSSQL数据库盲注

1）普通注入方法

MSSQL中基于时间的盲注主要使用了waitfor delay和if语句。下面是一个示例：

;if(ascii(substring((SELECT top 1 name FROM [DatabaseName]..sysobjects where xtype=Uand name not in(SELECTtop [StringIndex] name FROM [DatabaseName]..sysobjects wherextype=U)),[CharIndex],1))%3E[GuessChar]) waitfor delay 0:0:4--选出[DatabaseName]数据库 sysobjects表中 name字段下的所有数据，并且逐一选择条目，每个条目中的字符逐一进行 ASCII码值的判断，如果大于[GuessChar]中指定的码值，将延迟 4秒钟响应。

2）高级注入方法

除了直接使用延迟函数的方法，MSSQL中还有另外一种方法，简单说就是MSSQL数据库中where子句的执行顺序问题。因为MSSQL数据库使用了CBR技术进行优化，因此where后的子句不一定按照子句的书写顺序来执行，是按照各个子句的复杂度来进行，数据库将先执行复杂度较小的子句，如果各个子句使用and来进行连接，那么较小子句的返回结果为false，导致整体的返回结果为 false，其它高复杂度的语句的结果将无关紧要，导致其它高复杂度的语句免于执行，又因为高复杂的子句消耗时间和系统资源较大，从而缩短系统执行时间。如果 where后面的各个子句不是并列关系，而是依赖关系或递进关系的话，则必须进行特殊处理，如 case when或子查询。

总之，复杂度较小的子句的返回结果的真假，将决定复杂度较大的子句是否执行，也就决定了整个 SQL语句执行下来的返回时间的长短。通过这样一个时间差，即可判断之前复杂度较小的子句是否执行成功。

3）使用示例

如果判断网站是否存在基于时间的盲注，那么可以使用下面的语句：

http://xxx/index.asp?id=1 and (SELECTcount(*) FROM syscolumns AS sys1,syscolumns assys2,syscolumns AS sys3,syscolumns AS sys4,syscolumns AS sys5,syscolumns AS sys6)0 and 1=1

其中(SELECT count(*) FROM syscolumns AS sys1, syscolumns as sys2,syscolumns AS

sys3,syscolumns AS sys4,syscolumns AS sys5,syscolumns AS sys6)0是复杂度较大的子句，1=1

是复杂度较小的语句。1=1返回为真，那么前面复杂度较大的子句将免于执行。整个查询结果将立即返回。如果为 1=2，那数据库将执行复杂度较大的子句，整个查询结果将会有很大的延迟。例如下面的语句可以用来判断当前用户权限是否够用。

http://xxx/index.asp?id=1 and (SELECT count(*) FROM syscolumns AS sys1, syscolumns assys2,syscolumns AS sys3,syscolumns AS sys4,syscolumns AS sys5,syscolumns AS sys6)0 and1=(SELECT IS_MEMBER(sysadmin))

MySQL数据库盲注

MySQL数据库基于时间的盲注在使用延迟函数上可以有两个选择，一个是BENCHMARK(count,expr)函数，一个是 sleep(time)函数。前者通过将 expr语句执行 count次来达到延迟的目的，后者是直接延迟 time时间。例如 benchmark函数的使用，可以写成：

id=1  union  select 1,benchmark(1000000,md5(test)),1 from use where  userid=1 and
ord(substring(username,1,1))=97 /*

也可以写成：

id=1
union
select
if(substring(password,1,1)=A,benchmark(10000000,sha(1)),0)
username,password from cms_users where username = admin/*

使用 sleep函数的示例如下：

8468=IF((ORD(MID((SELECT%20IFNULL(CAST([ColumnName]%20AS%20CHAR),0x20)%20FRO
M%20[DatabaseName].[TableName]%20LIMIT%20[StringIndex],1),[CharIndex],1))%20%3E%20[G
uessChar]),SLEEP([DelayTime]),8468)

其中，为了对付部分 waf防火墙，可以去掉 if关键字，也可以去掉“”、“”等符号，使用 like或 in来进行代替。

防御方法

对付基于时间的 SQL盲注和对付其它类型盲注的方法是一样的，无非是做好三个方面的工作：输入数据的过滤、输出数据的处理、SQL语句访问权限的设置。

返回信息是否进行过滤：仅仅控制返回信息不能完全避免注入漏洞的存在，仅仅是让利用难度大增，可能会相继存在明注、盲注、基于时间的盲注。即使将错误页面重定向，也不一定不能明注，比如说利用 union select走正规输入页面来输出。做好返回信息的过滤只是必要条件而不是充分条件。

连接权限是否为 sa：如果连接权限设置非常严密，那么利用系统表的注入就很难成功，只能通过暴力猜表名猜数据的方式，运气成分很大，但是如果有更新当前数据表的权限，就可以向普通业务表中插入或删除数据。输入数据是否进行过滤：输入数据过滤这部分说起来比较复杂，需要结合 waf、中间件、应用程序三者配合进行过滤，如果过滤严密，SQL注入将非常困难。但在某些特殊业务和某些特殊环境下，不可能将所有的关键字和符号都过滤掉，如果过滤掉，可能会导致业务不可用。

总结

无论对于普通SQL盲注，还是基于时间的SQL盲注，最重要的特点是不同点，只要有不同就能注入。这就是所谓的行不行。数据库的连接用户最好是管理员账号，否则就只能使用暴力破解。这就是所谓的难不难的问题。当然，这些都是在关键字和符号过滤不严的情况下进行的。上面提到的注入方法，也只能几个简单的例子。如果对数据库有足够的了解，可以任意发挥想象去构造 SQL语句来完成特定的功能。