关于web:渗透攻防Web篇深入浅出SQL注入

46次阅读

共计 3537 个字符,预计需要花费 9 分钟才能阅读完成。

1 背景

京东 SRC(Security Response Center)收录大量内部白帽子提交的 sql 注入破绽,破绽产生的起因多为 sql 语句拼接和 Mybatis 使用不当导致。

2 手工检测

2.1 前置常识

mysql5.0 以上版本中存在一个重要的零碎数据库 information_schema,通过此数据库可拜访 mysql 中存在的数据库名、表名、字段名等元数据。information_schema 中有三个表成为了 sql 注入结构的要害。

1)infromation_schema.columns:
table_schema 数据库名
table_name 表名
column_name 列名

2)information_schema.tables
table_schema 数据库名
table_name 表名

3)information_schema.schemata
schema_name 数据库名
SQL 注入罕用 SQL 函数

length(str):返回字符串 str 的长度
substr(str, pos, len):将 str 从 pos 地位开始截取 len 长度的字符进行返回。留神这里的 pos 地位是从 1 开始的,不是数组的 0 开始
mid(str,pos,len):跟下面的一样,截取字符串
ascii(str):返回字符串 str 的最右面字符的 ASCII 代码值
ord(str):将字符或布尔类型转成 ascll 码
if(a,b,c):a 为条件,a 为 true,返回 b,否则返回 c,如 if(1>2,1,0), 返回 0

2.2 注入类型

2.2.1 参数类型分类
整型注入
例如?id=1,其中 id 为注入点,类型为 int 类型。

字符型注入
例如?id=”1”,其中 id 为注入点,类型为字符型,要思考闭合后端 sql 语句中的引号。

2.2.2 注入形式分类

盲注
布尔盲注:只能从利用返回中推断语句执行后的布尔值。
工夫盲注:利用没有明确的回显,只能应用特定的工夫函数来判断,例如 sleep,benchmark 等。
报错注入:利用会显示全副或者局部的报错信息
重叠注入:有的利用能够退出 ; 后一次执行多条语句
其余

2.3 手动检测步骤(字符型注入为例)

 // sqli vuln code
            Statement statement = con.createStatement();
            String sql = "select * from users where username ='" + username + "'";
            logger.info(sql);
            ResultSet rs = statement.executeQuery(sql);
// fix code 如果要应用原始 jdbc,请采纳预编译执行
            String sql = "select * from users where username = ?";
            PreparedStatement st = con.prepareStatement(sql);

应用未预编译原始 jdbc 作为 demo,留神此 demo 中 sql 语句参数采纳单引号闭合。

2.3.1 确定注入点
对于字符类型注入,通常先尝试单引号,判断单引号是否被拼接到 SQL 语句中。举荐应用浏览器扩大 harkbar 作为手工测试工具。https://chrome.google.com/web…

失常页面应该显示如下:

admin 后加单引号导致无信息回显,起因是后端 sql 执行报错,阐明引号被拼接至 SQL 语句中

select * from users where username = 'admin'  #失常 sql
select * from users where username = 'admin'' #admin' 被带入 sql 执行导致报错无奈显示信息

2.3.2 判断字段数
mysql 中应用 order by 进行排序,不仅能够是字段名也能够是字段序号。所以能够用来判断表中字段数,order by 超过字段个数的数字就会报错。

判断字段数

当 order by 超过 4 时会报错,所以此表共四个字段。

后端所执行的 sql 语句

select * from users where username = 'admin' order by 1-- '

此处咱们将本来 username 的值 admin 替换为 admin’order by 1 —+,其中 admin 后的单引号用于闭合本来 sql 语句中的前引号,—+ 用于正文 sql 语句中的后引号。—后的 + 号次要作用是提供一个空格,sql 语句单行正文后需有空格,+ 会被解码为空格。

2.3.3 确定回显地位

次要用于定位后端 sql 字段在前端显示的地位,采纳联结查问的形式确定。留神联结查问前后字段需统一,这也就是咱们为什么做第二步的起因。

通过下图可知,后端查问并回显的字段地位为 2,3 位。

联结查问后的字段能够随便,本次采纳的是数字 1 到 4 直观不便。

2.3.4 利用 information_schema 库实现注入
group_concat() 函数用于将查问后果拼接为字符串。

查看存在数据库

查看以后数据库中的表

查看指定表中字段

利用以上获取信息读取 users 表中 username 和 password

3 自动化检测

3.1 sqlmap 应用
sqlmap 兼容 python2 和 python3,能够自动化检测各类注入和简直所有数据库类型。

3.1.1 常用命令

-u  可能存在注入的 url 链接
- r 读取 http 数据包
--data 指定 post 数据
--cookie 指定 cookie
--headers 指定 http 头 如采纳 token 认证的状况下
--threads 指定线程数
--dbms 指定后端的数据库
--os 指定后端的操作系统类型
--current-user 以后用户
--users 所有用户
--is-dba 是否是 dba
--sql-shell 交互式的 sqlshell
- p 指定可能存在注入点的参数
--dbs 穷举零碎存在的数据库
- D 指定数据库
--tables 穷举存在的表
- T 指定表
--column 穷举字段
- C 指定字段
--dump dump 数据

间接检测
其中—cookie 用于指定 cookie,—batch 自动化执行,—dbms 指定数据库类型

检测后果

读取零碎中存在数据库
—dbs 读取以后用户下的数据库

读取指定库下的表
-D java_sec_code —tables

dump users 表数据
-D java_sec_code -T users —dump

4 进阶

4.1 Mybatis 注入

1)$ 谬误应用导致注入

// 采纳 #不会导致 sql 注入,mybatis 会应用预编译执行
    @Select("select * from users where username = #{username}")
    User findByUserName(@Param("username") String username);
// 采纳 $ 作为入参可导致 sql 注入
    @Select("select * from users where username ='${username}'")
    List<User> findByUserNameVuln01(@Param("username") String username);

2)含糊查问拼接

// 谬误写法
  <select id="findByUserNameVuln02" parameterType="String" resultMap="User">
        select * from users where username like '%${_parameter}%'
    </select>
 // 正确写法
 <select id="findByUserNameVuln02" parameterType="String" resultMap="User">
        select * from users where username like concat(‘%’,#{_parameter},‘%’)  
    </select>

3)order by 注入
order by 后若应用 #{} 会导致报错,因为#{}默认增加引号会导致找不到字段从而报错。

   // 谬误写法 
<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
        select * from users
        <if test="order != null">
            order by ${order} asc
        </if>
    </select>
// 正确写法 id 指字段 id 此表字段共四个 所以 id 为 1 -4
    <select id="OrderByUsername" resultMap="User">
        select * from users order by id asc limit 1
    </select>

以上测试均在本地进行,请勿未受权进行浸透测试

5 文章及材料举荐
slqmap 手册:https://octobug.gitbooks.io/s…
sql 注入详解:http://sqlwiki.radare.cn/#/

作者:罗宇(物流平安小分队)

正文完
 0