詳細聊聊關於sql註入的一些零散知識點

Posted on by

零、本文涉及知識點

sqlmap寫一句馬的具體過程

堆疊註入

union injection(聯合註入)

常見的註入繞過姿勢

sql註入預編譯與常見繞過姿勢

一、sqlmap寫一句馬的過程(– os-shell)

1.1 簡述過程

先寫一個文件上傳的文件,名字為“ tmpujhum.php ”。

然後通過這個文件上傳的木馬,將shell(tmpbcluy.php)上傳,

執行命令的木馬名字為“ tmpbcluy.php ”

具體過程可以參考: https://xz.aliyun.com/t/7942

1.2 一個小問題

都可以直接通過命令寫文件瞭,為什麼還要先寫一個上傳文件的木馬,在通過這個木馬上傳一句馬?

*答:**

sqlmap官方這麼寫得代碼,所在按照這個流程,開玩笑~~

主要原因是大多數waf的對命令直接寫文件的監控比上傳木馬的監控嚴格。

即通過這種“多此一舉”的思路,可以提高上傳成功一句馬的概率

二、堆疊註入:

2.1 什麼是堆疊註入

在SQL中,分號(;)是用來表示一條sql語句的結束。

試想一下我們在 ; 結束一個sql語句後繼續構造下一條語句,會不會一起執行?

因此這個想法也就造就瞭堆疊註入。

2.2 如何判斷存在堆疊註入?

~“ id=1 ”正常

~試試“ id=1a ”,假設報錯,說明數據沒有被強轉

~在試試“ id=1; ”假設沒有報錯,說明“;”沒有被代入查詢,而是當做瞭sql語句的結束符

~此時,此位置大概率存在堆疊註入

2.3 局限性

  堆疊註入的局限性在於並不是每一個環境下都可以執行, 

  可能受到API或者數據庫引擎不支持的限制, 

  當然瞭權限不足也可以解釋為什麼攻擊者無法修改數據或者調用一些程序。

三、union injection(聯合註入)

3.1 原理

絕大多數的sql註入都是利用的此姿勢,

詳細不在贅述,可以直接參考之前的文章。

3.2 與堆疊註入的區別

區別就在於union 或者union all執行的語句類型是有限的,僅僅可以用來執行查詢語句,

而堆疊註入可以執行的是任意的語句。

**例如以下這個例子,即堆疊可以執行成功,聯合註入不能成功**

用戶輸入:1; DELETE FROM products服務器端生成的sql語句為:

  Select * from products where productid=1;DELETE FROM products

當執行查詢後,第一條顯示查詢信息,第二條則將整個表進行刪除。

四、常見的sql註入繞過姿勢

4.1 Waf特性:

 絕大多數的waf都是通過正則匹配過濾/攔截請求

 一般一個waf會同時上線N個規則,這些規則同時生效的情況下,僅僅饒過一個依舊會被攔截

4.2 繞waf的核心思路:

 繞過waf正則匹配規則的同時,註入的sql語句可以被正常解析執行。

4.3 常見的思路

數據上:

  大小寫           、、很老的waf可以繞過

  加解密、編碼解碼

  等價函數         union select == union all select

  特殊符號

  反序列化

  註釋符混用       、、mysql特性:   

                   database/**/() == database()  

                   內聯註釋,如/*一個sql版本號sql執行內容*/,具體不在展開      

方式:

 更改提交方式      、、部分waf默認僅僅檢測get(但是假設後端不接收post也沒什麼卵用);

 變異

其他:

  FUZZ        

    、、模糊測試,使用腳本/工具生成大量payload,直接爆破waf,看看哪些語句可以過waf  

  數據庫特性

    、、mysql特性:

      union%23a%0Aselect 1,2,3#

    == union#a(換號)select 1,2,3#  

    == union select 1,2,3#

        、、mysql特性:

       /*!select * from users*/ 會正常執行

  垃圾數據溢出

  HTTP參數污染   

      、、多個參數的情況下,一般默認取最後一個  

                、、?id=1/**&id=-1%20union%20select%201,2,3%23*/  

                   即“ 1/**-1 union select 1,2,3#*/ ”

                在mysql之中“ /** 內容不會執行  */ ”所以WAF認為是安全的,

    但是因為Apache的特性,

                      其最終接收的參數為:“ -1 union select 1,2,3#*/ ”

  靜態資源        

      、、即本來為php?id=1   改為  php/a.txt(b.js等)?id=1  

       結果不受影響,但是可以過一些老waf

用註釋配合參數污染繞waf的成功率是比較高的     

使用sqlmap註意,

~UA自帶的要改一下,參數就可以改,可以改為百度等搜索引擎的UA

~可以設置繞waf腳本來提高成功率,而且腳本寫也挺簡單

~自己測試的時候,可以用參數將sqlmap的流量代理到burp,然後對比自己正常瀏覽器的流量,看看區別

~必要的時刻,連接代理池直接暴力配合開幹

五、Sql註入預編譯與常見繞過姿勢

5.1 概述

預編譯一般在Java的框架中使用,在提高sql語句效率的同時也可以攔截掉很多註入的情況,

但是仍可以被繞過的,

5.2 具體方式

5.2.1 ASC/DESC

應用場景:

當應用顯示多條數據時,通常可以選擇正向排序或者逆向排序,此時就會用到 ASC/DESC

ASC/DESC 是SQL語句中影響語義的關鍵字,是不能用單引號引起來的

假設ASC/DESC是接收的前端傳入,即存在被註入的風險。

如何處理:

比較安全的方式是使用白名單,排序方式也隻有兩種,可使用簡單的條件判斷語句

<?php
 if($_POST['order'] === 'DESC'){
        $order = 'DESC';
    }else{
        $order = 'ASC'
    }

5.2.2 表名/字段名

應用場景:

表名與列名是不能被預編譯的,這是由於在預編譯生成語法樹的過程中,

預處理器在檢查解析後的語法樹時,會確定數據表和數據列是否存在,

此兩者必須為具體值,不能被占位符 ? 所替代

假設表名/字段名是接收的前端傳參,即存在被註入的風險

如何處理:

參考下邊order by的情況

5.2.3 order by

order by 用來指定某個字段作為排序依據,前面也解釋瞭字段名不能使用預編譯

假設order by後邊的字段是接收的前端傳參,即存在被註入的風險

具體的一些繞過方法可以搜索“ case when ”

如何處理:

為瞭避免直接拼接SQL語句,可以將列名定義為常量,

再通過白名單的方式進行拼接,能夠有效防止SQL註入

當然,這裡也可以單獨對傳入的語句配合正則匹配過濾,但是效果不如這種方式簡潔有效。

前端表單:

  <form action="" method="post">
      <select name="order">
          <option value="0">id</option>
          <option value="1">name</option>
          <option value="2">age</option>
      </select>
      <input type="submit" name="submit">
  </form>

白名單函數:

  <?php
      $i = $_POST['order'];
   switch($i){
          case 0:
              $order = "id";
              break;
          case 1:
              $order = "name";
              break;
          default:
              $order = "age";
              break;
      }

5.2.4小結:

假設ASC/DESC是接收的前端傳入,即存在被註入的風險。

假設表名/字段名是接收的前端傳參,即存在被註入的風險

假設order by後邊的字段是接收的前端傳參,即存在被註入的風險

總結

到此這篇關於sql註入的一些零散知識點的文章就介紹到這瞭,更多相關sql註入零散知識點內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: