1 背景
京东SRC(Security Response Center)收录大量内部白帽子提交的sql注入破绽,破绽产生的起因多为sql语句拼接和Mybatis使用不当导致。
2 手工检测
2.1 前置常识
mysql5.0以上版本中存在一个重要的零碎数据库information_schema,通过此数据库可拜访mysql中存在的数据库名、表名、字段名等元数据。information_schema中有三个表成为了sql注入结构的要害。
1)infromation_schema.columns:
table_schema 数据库名
table_name 表名
column_name 列名
2)information_schema.tables
table_schema 数据库名
table_name 表名
3)information_schema.schemata
schema_name 数据库名
SQL注入罕用SQL函数
length(str) :返回字符串str的长度
substr(str, pos, len) :将str从pos地位开始截取len长度的字符进行返回。留神这里的pos地位是从1开始的,不是数组的0开始
mid(str,pos,len) :跟下面的一样,截取字符串
ascii(str) :返回字符串str的最右面字符的ASCII代码值
ord(str) :将字符或布尔类型转成ascll码
if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0
2.2 注入类型
2.2.1 参数类型分类
整型注入
例如?id=1,其中id为注入点,类型为int类型。
字符型注入
例如?id=”1”,其中id为注入点,类型为字符型,要思考闭合后端sql语句中的引号。
2.2.2 注入形式分类
盲注
布尔盲注:只能从利用返回中推断语句执行后的布尔值。
工夫盲注:利用没有明确的回显,只能应用特定的工夫函数来判断,例如sleep,benchmark等。
报错注入:利用会显示全副或者局部的报错信息
重叠注入:有的利用能够退出 ; 后一次执行多条语句
其余
2.3 手动检测步骤(字符型注入为例)
// sqli vuln code Statement statement = con.createStatement(); String sql = "select * from users where username = '" + username + "'"; logger.info(sql); ResultSet rs = statement.executeQuery(sql);// fix code 如果要应用原始jdbc,请采纳预编译执行 String sql = "select * from users where username = ?"; PreparedStatement st = con.prepareStatement(sql);应用未预编译原始jdbc作为demo,留神此demo中sql语句参数采纳单引号闭合。
2.3.1 确定注入点
对于字符类型注入,通常先尝试单引号,判断单引号是否被拼接到SQL语句中。举荐应用浏览器扩大harkbar作为手工测试工具。https://chrome.google.com/web...
失常页面应该显示如下:
admin后加单引号导致无信息回显,起因是后端sql执行报错,阐明引号被拼接至SQL语句中
select * from users where username = 'admin' #失常sqlselect * from users where username = 'admin'' #admin'被带入sql执行导致报错无奈显示信息2.3.2 判断字段数
mysql中应用order by 进行排序,不仅能够是字段名也能够是字段序号。所以能够用来判断表中字段数,order by 超过字段个数的数字就会报错。
判断字段数
当order by 超过4时会报错,所以此表共四个字段。
后端所执行的sql语句
select * from users where username = 'admin' order by 1-- '此处咱们将本来username的值admin替换为admin’ order by 1 —+,其中admin后的单引号用于闭合本来sql语句中的前引号,—+用于正文sql语句中的后引号。—后的+号次要作用是提供一个空格,sql语句单行正文后需有空格,+会被解码为空格。
2.3.3 确定回显地位
次要用于定位后端sql字段在前端显示的地位,采纳联结查问的形式确定。留神联结查问前后字段需统一,这也就是咱们为什么做第二步的起因。
通过下图可知,后端查问并回显的字段地位为2,3位。
联结查问后的字段能够随便,本次采纳的是数字1到4直观不便。
2.3.4 利用information_schema库实现注入
group_concat()函数用于将查问后果拼接为字符串。
查看存在数据库
查看以后数据库中的表
查看指定表中字段
利用以上获取信息读取users表中username和password
3 自动化检测
3.1 sqlmap 应用
sqlmap兼容python2和python3,能够自动化检测各类注入和简直所有数据库类型。
3.1.1 常用命令
-u 可能存在注入的url链接-r读取http数据包--data 指定post数据--cookie 指定cookie--headers 指定http头 如采纳token认证的状况下--threads 指定线程数--dbms 指定后端的数据库--os 指定后端的操作系统类型--current-user 以后用户--users 所有用户--is-dba 是否是dba--sql-shell 交互式的sqlshell-p指定可能存在注入点的参数--dbs 穷举零碎存在的数据库-D指定数据库--tables 穷举存在的表-T指定表--column 穷举字段-C指定字段--dump dump数据间接检测
其中—cookie用于指定cookie,—batch 自动化执行,—dbms指定数据库类型
检测后果
读取零碎中存在数据库
—dbs读取以后用户下的数据库
读取指定库下的表
-D java_sec_code —tables
dump users表数据
-D java_sec_code -T users —dump
4 进阶
4.1 Mybatis注入
1)$谬误应用导致注入
//采纳#不会导致sql注入,mybatis会应用预编译执行 @Select("select * from users where username = #{username}") User findByUserName(@Param("username") String username);//采纳$作为入参可导致sql注入 @Select("select * from users where username = '${username}'") List<User> findByUserNameVuln01(@Param("username") String username);2)含糊查问拼接
//谬误写法 <select id="findByUserNameVuln02" parameterType="String" resultMap="User"> select * from users where username like '%${_parameter}%' </select> //正确写法 <select id="findByUserNameVuln02" parameterType="String" resultMap="User"> select * from users where username like concat(‘%’,#{_parameter}, ‘%’) </select>3)order by 注入
order by 后若应用#{}会导致报错,因为#{}默认增加引号会导致找不到字段从而报错。
//谬误写法 <select id="findByUserNameVuln03" parameterType="String" resultMap="User"> select * from users <if test="order != null"> order by ${order} asc </if> </select>//正确写法 id指字段id 此表字段共四个 所以id为1-4 <select id="OrderByUsername" resultMap="User"> select * from users order by id asc limit 1 </select>以上测试均在本地进行,请勿未受权进行浸透测试
5 文章及材料举荐
slqmap手册:https://octobug.gitbooks.io/s...
sql注入详解:http://sqlwiki.radare.cn/#/
作者:罗宇(物流平安小分队)