新手入門:顯錯型SQL注入
在漏洞盒子挖洞已經有一段時間了,雖說還不是大佬,但技術也有所進步,安全行業就是這樣,只有自己動手去做,才能將理論的知識變爲個人的經驗。本篇文章打算分享一下我在挖顯錯型SQL注入漏洞過程中的一些個人理解,如有不足也請大佬不吝指教。
什麼是SQL注入
SQL注入,相信大多數人一開始接觸安全,聽說的第一種漏洞類型就會是SQL注入,衆所周知,其本質就是將用戶輸入的數據當成了SQL語句來執行。
開發過網站的朋友應該都清楚,大多數的小型企業或個人的站點大都採用了LAMP結構,即 Linux + Apache + MySQL + PHP ,當然還有一些其它常見的技術如下表:
| 操作系統 | Web服務器 | 數據庫 | 編程語言 |
|---|---|---|---|
| Linux | Apache | MySQL | PHP |
| Windows Server | Nginx | Oracle | JSP |
| Tomcat | SQL Server | ASP | |
| Python |
總的來說,絕大多數網站都採用了動態Web開發技術,而動態Web開發離不開數據庫,如果沒有處理好這兩者之間的關係,那麼SQL注入就會隨之而來了。
舉例來說,當我們想要通過參數id來獲取相對應的新聞時,整個過程簡單來說就是用戶通過URL請求新聞–>後臺通過用戶請求去數據庫查詢相對應的新聞–>將查詢到的新聞回傳給用戶。在第二步查詢相對應的新聞時,後臺會執行SQL語句來查詢,就像 SELECT * FROM news WHERE ,id的值是用戶來控制的,當id=1時,就會返回id=1的新聞,id=2時返回id=2的新聞,以此類推,就可以動態的控制web界面了。
這時,當用戶輸入的id值不正確時,後臺就無法獲取相對應的新聞,前端就會沒有數據顯示,可當用戶輸入的數據爲 1'; DROP TABLE news-- a 時,恐怖的事情就發生了,數據庫中的news表被刪除了,這就說明這個參數存在SQL注入。
回到剛纔用戶輸入的數據,拼接到後臺查詢數據時,整個SQL語句就變成了 SELECT * FROM news WHERE ; DROP TABLE news-- a' ,分析這條語句可知,用戶輸入的單引號閉合了id的值,分號閉合了SELECT語句,然後又新建了一條DROP語句刪除了表news,最後的– a註釋掉了id值後的那個單引號,SQL注入就這麼產生了。
當一個站點存在SQL注入時,用戶的輸入就可以傳入數據庫執行,理論上這樣可以獲得數據庫的全部數據,也就是常說的脫庫了。獲得數據的方法也多種多樣,可以通過頁面直接返回想要查詢的數據,也可以通過sleep延時函數猜測數據,都不行的話我們還可以使用DNS解析日誌來獲得數據。其中,最簡單的一種方法就是顯錯型的SQL注入了。
顯錯型SQL注入只是SQL注入的其中一種,也是最簡單的一種,對於這種漏洞的防範也特別簡單,可這種漏洞在互聯網中仍不計其數…這也可見全國乃至全球對於網絡安全知識普及的不足,接下來,我會從三個方面來講講這種漏洞,分別是爲什麼會產生、怎麼利用以及怎麼防範。
爲什麼會產生顯錯型SQL注入
顯錯型SQL注入,看名字就能知道,使用這種方法可以直接在頁面中返回我們要查詢的數據,方法也很簡單,即使用UNION聯合查詢即可。
但使用UNION聯合查詢時還要滿足一個條件,那就是我們構造的SELECT語句的字段數要和當前表的字段數相同才能聯合查詢,即首先我們要確定當前表的字段數。order by x是數據庫中的一個排序語句,order by 1即通過第一個字段進行排序。這時我們就可以構造 SELECT * FROM news WHERE order by x-- a' 來猜測當前表的字段數,x值遞增,當頁面返回數據異常時,即無當前字段時,用當前的x值減一即可得到當前表的字段數了。
知道了當前表的字段數,就可以進行UNION聯合查詢了。但聯合查詢時,頁面只會顯示查詢到數據的第一條,也就是UNION前的SELECT語句的結果,想要顯示我們自己聯合查詢的結果時,還必須使前一條語句失效,這裏我們構造 and 1=2 使前一句SELECT語句失效。回到剛纔的案例,假設當前表的字段數爲3,我們就可以構造 SELECT * FROM news WHERE and 1=2 UNION SELECT 1,2,3-- a' 來查詢當前頁面的顯錯點了,通過下圖的案例可知,當前的顯錯點爲第一字段和第三字段。
這個顯錯點又是什麼意思呢?比如當前表中共有三個字段,一個是標題(title)、一個是時間(time)、一個是內容(data),而我們前端不需要顯示時間,只需要展示標題和內容即可。那麼從數據庫獲得的數據中,也只有標題字段和內容字段會展示在頁面上,這兩個點就是顯錯點。
通過這裏的顯錯點,用戶就可以獲得數據庫中的所有數據了。當用戶輸入的數據爲 1' and 1=2 UNION SELECT 1,2,database()-- a 時,即SQL語句爲 SELECT * FROM news WHERE and 1=2 UNION SELECT 1,2,database()-- a' 時,就可以直接得到數據庫的庫名。
![]()
怎麼利用顯錯型SQL注入
怎麼利用顯錯型SQL注入 判斷是否存在注入
構造 and 1=1/and 1=2 查看頁面是否有異常,若有異常,即有可能存在注入,另外還可通過該語句判斷該站點是否有WAF,若有WAF的話會有攔截警告,當然,WAF也是可以繞過的。。。
查詢當前表的字段數
構造 order by x ,當頁面返回異常時,利用x減一即可得到當前表的字段數。
查詢顯錯點
構造 and 1=2 union select 1,2,3 ,若頁面顯示了我們構造的1,2,3,則對應的字段即爲顯錯點。
查詢數據庫庫名
構造 and 1=2 union select 1,2,database() ,即可在顯錯點顯示當前數據庫庫名。
一般挖漏洞的話到此步驟就可以提交了,切記千萬不可非法獲得數據,挖洞有風險,同志需謹慎!
查詢數據庫中的表名
構造 and 1=2 union select 1,2,table_name from information_schema.tables where table_schema=database() limit 0,1 ,即可在顯錯點顯示當前庫中的表名,因爲顯錯點一次只能顯示一條數據,這時可以通過limit語句選擇不同的表名進行查看。
查詢選擇表中的字段名
構造 and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name='XXX' limit 0,1 ,即可在顯錯點顯示字段名,這裏也是通過limit語句選擇不同的字段名進行查看。
查詢數據庫中的數據(脫庫)
構造 and 1=2 union select 1,2,XXX from XXX limit 0,1 ,即可獲得數據庫中的數據了。
怎麼防範顯錯型SQL注入
針對顯錯型SQL注入,我們可以對用戶輸入的數據進行一次篩查,設置黑名單,攔截注入常用的一些關鍵詞,比如and、order by、union、select、from等。
除了設置黑名單外,還有一種比較靠譜的方法,即使用預編譯語句,而不是動態的生成SQL語句,這樣可以有效的避免用戶輸入的數據連接到數據庫執行,就是實現起來比較複雜,需要設置大量的預編譯語句。
另外還有一種目前最靠譜的方法,實現起來還簡單,就是上硬件防火牆。。。就是有點小貴。
聯網中的一些案例
依據網絡安全法,本文旨在分享個人學習經驗,內容禁止用於違法犯罪行爲!
