渗透攻防Web篇-深入浅出SQL注入

1 背景

京东SRC(Security Response Center)收录大量外部白帽子提交的sql注入漏洞,漏洞发生的原因多为sql语句拼接和Mybatis使用不当导致。

渗透攻防Web篇-深入浅出SQL注入

2 手工检测

2.1 前置知识

mysql5.0以上版本中存在一个重要的系统数据库information_schema,通过此数据库可访问mysql中存在的数据库名、表名、字段名等元数据。information_schema中有三个表成为了sql注入构造的关键。

1)infromation_schema.columns:
  • table_schema 数据库名
  • table_name 表名
  • column_name 列名
2)information_schema.tables
  • table_schema 数据库名
  • table_name 表名
3)information_schema.schemata
  • schema_name 数据库名

SQL注入常用SQL函数

  • length(str) :返回字符串str的长度
  • substr(str, pos, len) :将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的,不是数组的0开始
  • mid(str,pos,len) :跟上面的一样,截取字符串
  • ascii(str) :返回字符串str的最左面字符的ASCII代码值
  • ord(str) :将字符或布尔类型转成ascll码
  • if(a,b,c) :a为条件,a为true,返回b,否则返回c,如if(1>2,1,0),返回0

2.2 注入类型

2.2.1 参数类型分类
  • 整型注入
    例如?id=1,其中id为注入点,类型为int类型。
  • 字符型注入
    例如?id=”1″,其中id为注入点,类型为字符型,要考虑闭合后端sql语句中的引号。
2.2.2 注入方式分类
  • 盲注
    *
  • 布尔盲注:只能从应用返回中推断语句执行后的布尔值。
    *
  • 时间盲注:应用没有明确的回显,只能使用特定的时间函数来判断,例如sleep,benchmark等。
  • 错误注入:应用程序将显示全部或部分错误消息
    [En]

    error injection: the application will display all or part of the error message*

  • 堆栈注入:可以添加一些应用程序,一次可以执行多条语句
    [En]

    Stack injection: some applications can be added, and multiple statements can be executed at a time*

  • 其他

2.3 手动检测步骤(字符型注入为例)

// sqli vuln codeStatement statement = con.createStatement();String sql = "select * from users where username = '" + username + "'";logger.info(sql);ResultSet rs = statement.executeQuery(sql);// fix code 如果要使用原始jdbc,请采用预编译执行String sql = "select * from users where username = ?";PreparedStatement st = con.prepareStatement(sql);

使用未预编译原始jdbc作为demo,注意此demo中sql语句参数采用单引号闭合。

2.3.1 确定注入点

对于字符类型注入,通常先尝试单引号,判断单引号是否被拼接到SQL语句中。推荐使用浏览器扩展harkbar作为手工测试工具。https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc

正常页面应该显示如下:

渗透攻防Web篇-深入浅出SQL注入

admin后加单引号导致无信息回显,原因是后端sql执行报错,说明引号被拼接至SQL语句中

渗透攻防Web篇-深入浅出SQL注入

渗透攻防Web篇-深入浅出SQL注入
  1. <span class="kwd">select<span class="pln"> <span class="pun">*<span class="pln"> <span class="kwd">from<span class="pln"> users <span class="kwd">where<span class="pln"> username <span class="pun">=<span class="pln"> <span class="str">'admin'<span class="pln"> <span class="com">#&#x6B63;&#x5E38;sql</span></span></span></span></span></span></span></span></span></span></span></span></span>
  2. <span class="kwd">select<span class="pln"> <span class="pun">*<span class="pln"> <span class="kwd">from<span class="pln"> users <span class="kwd">where<span class="pln"> username <span class="pun">=<span class="pln"> <span class="str">'admin'' #admin'<span class="pun">&#x88AB;&#x5E26;&#x5165;<span class="pln">sql<span class="pun">&#x6267;&#x884C;&#x5BFC;&#x81F4;&#x62A5;&#x9519;&#x65E0;&#x6CD5;&#x663E;&#x793A;&#x4FE1;&#x606F;</span></span></span></span></span></span></span></span></span></span></span></span></span></span>
2.3.2 判断字段数

mysql中使用order by 进行排序,不仅可以是字段名也可以是字段序号。所以可以用来判断表中字段数,order by 超过字段个数的数字就会报错。

渗透攻防Web篇-深入浅出SQL注入

判断字段数

当order by 超过4时会报错,所以此表共四个字段。

渗透攻防Web篇-深入浅出SQL注入

后端所执行的sql语句

select * from users where username = 'admin' order by 1-- '

此处我们将原本username的值admin替换为admin’ order by 1 —+,其中admin后的单引号用于闭合原本sql语句中的前引号,—+用于注释sql语句中的后引号。—后的+号主要作用是提供一个空格,sql语句单行注释后需有空格,+会被解码为空格。

2.3.3 确定回显位置

主要用于定位后端sql字段在前端显示的位置,采用联合查询的方式确定。注意联合查询前后字段需一致,这也就是我们为什么做第二步的原因。

从下图可以看到,在后端查询和回显的字段位置是2p3比特。

[En]

As you can see from the following figure, the position of the field queried and echoed at the back end is 2p3 bits.

渗透攻防Web篇-深入浅出SQL注入

联合查询后的字段可以是任意的,这次数字1到4直观方便。

[En]

The fields after the joint query can be arbitrary, and this time the numbers 1 to 4 are intuitive and convenient.

渗透攻防Web篇-深入浅出SQL注入
2.3.4 利用information_schema库实现注入

group_concat()函数用于将查询结果拼接为字符串。

  • 查看存在数据库

渗透攻防Web篇-深入浅出SQL注入
  • 查看当前数据库中的表

渗透攻防Web篇-深入浅出SQL注入
  • 查看指定表中字段

渗透攻防Web篇-深入浅出SQL注入
  • 利用以上获取信息读取users表中username和password

渗透攻防Web篇-深入浅出SQL注入

3 自动化检测

3.1 sqlmap 使用

sqlmap兼容python2和python3,可以自动化检测各类注入和几乎所有数据库类型。

3.1.1 常用命令
-u 可能存在注入的url链接
-r读取http数据包
--data 指定post数据
--cookie 指定cookie
--headers 指定http头 如采用token认证的情况下
--threads 指定线程数
--dbms 指定后端的数据库
--os 指定后端的操作系统类型
--current-user 当前用户
--users 所有用户
--is-dba 是否是dba
--sql-shell 交互式的sqlshell
-p指定可能存在注入点的参数
--dbs 穷举系统存在的数据库
-D指定数据库
--tables 穷举存在的表
-T指定表
--column 穷举字段
-C指定字段
--dump dump数据

直接检测
其中—cookie用于指定cookie,—batch 自动化执行,—dbms指定数据库类型

渗透攻防Web篇-深入浅出SQL注入

检测结果

渗透攻防Web篇-深入浅出SQL注入

读取系统中存在数据库
—dbs读取当前用户下的数据库

渗透攻防Web篇-深入浅出SQL注入

读取指定库下的表
-D java_sec_code —tables

渗透攻防Web篇-深入浅出SQL注入

dump users表数据
-D java_sec_code -T users —dump

渗透攻防Web篇-深入浅出SQL注入

4 进阶

4.1 Mybatis注入
1)$错误使用导致注入
//采用#不会导致sql注入,mybatis会使用预编译执行
@Select("select * from users where username = #{username}")
User findByUserName(@Param("username") String username);
//采用$作为入参可导致sql注入
@Select("select * from users where username = '${username}'")
List findByUserNameVuln01(@Param("username") String username);
2)模糊查询拼接
//错误写法
<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
select * from users where username like '%${_parameter}%'
select>
//正确写法
<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
select * from users where username like concat(‘%’,#{_parameter}, ‘%’)
select>
3)order by 注入

order by 后若使用#{}会导致报错,因为#{}默认添加引号会导致找不到字段从而报错。

//错误写法
<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
select * from users
<if test="order != null">
order by ${order} asc
if>
select>
//正确写法 id指字段id 此表字段共四个 所以id为1-4
<select id="OrderByUsername" resultMap="User">
select * from users order by id asc limit 1
select>

上述测试均在本地进行。请勿擅自进行渗透测试。

[En]

The above tests are conducted locally. Please do not conduct penetration tests without authorization.

5 文章及资料推荐

slqmap手册:https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/Users-manual/Introduction.html
sql注入详解:http://sqlwiki.radare.cn/#/

作者:罗宇(物流安全小分队)

Original: https://www.cnblogs.com/Jcloud/p/16626772.html
Author: 京东云开发者
Title: 渗透攻防Web篇-深入浅出SQL注入

原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/504940/

转载文章受原作者版权保护。转载请注明原作者出处!

(0)

大家都在看

  • 19-TCP、UDP的区别和应用场景

    可靠性TCP 提供交付保证,这意味着一个使用TCP协议发送的消息是保证交付给客户端的,如果消息在传输过程中丢失,那么它将重发。UDP是不可靠的,它不提供任何交付的保证,一个数据包在…

    数据库 2023年6月16日
    0139
  • SQL Server中STATISTICS IO物理读和逻辑读的误区

    SQL Server中STATISTICS IO物理读和逻辑读的误区 大家知道,SQL Server中可以利用下面命令查看某个语句读写IO的情况 SET STATISTICS IO…

    数据库 2023年6月9日
    0145
  • MySQL45讲之IO性能提升

    本文介绍 MySQL 的 binlog 和 redo log 写入机制和刷盘策略,以及如何提升 MySQL 的 IO 性能。 binlog 的写入机制 binlog 的写入流程是:…

    数据库 2023年5月24日
    0124
  • IDEA插件和个性化配置推荐

    插件推荐 我自己现在使用的一些插件和一些自己感觉比较舒服配置分析给大家 idea如何安装插件: 如果打开设置没有看到,直接搜索plugins 然后在这里搜索即可 CodeGlanc…

    数据库 2023年6月16日
    0143
  • JUC部分并发类使用方式

    下面介绍的是JUC包下一些线程安全类的一些简单使用和一些小demo。 信号量,即可以同时使用的线程数,tryrequire就是将信号量减一,release就是信号量+1,当等于0就…

    数据库 2023年6月11日
    0114
  • Java中的线程安全与线程同步

    1.为什么需要线程同步 什么是线程安全:指在 被多个线程访问时,程序可以 持续进行正确的处理。 1.1.线程安全问题 案例:通过抢优惠例子说明线程安全问题 public class…

    数据库 2023年6月6日
    0146
  • 计算机网络基础

    计算机网络基础 计算机网络的定义和功能 计算机网络是利用通信设备和线路,将分布在地理位置不同的、功能独立的多个计算机系统连接起来,以功能完善的网络软件(网络通信协议及网络操作系统等…

    数据库 2023年6月16日
    0132
  • 能尽量用数据库代替内存就用吧,减少整天担心内存问题

    游戏不好搞啊,设计的东西,能尽量简单就简单,代码太多判断就写死行了,反正它运行起来是对的就行了。 情形:09:00 昨天发生了很痛苦的一件事情,那就是游戏中data内存同步不到da…

    数据库 2023年6月14日
    0118
  • 类加载器ClassLoader

    1.双亲委派模型 java是根据双亲委派模型的加载类的,当一个类加载器加载类时,会先尝试委托给父类加载器去加载,直到到达启动类加载器顶层若加载不了,则再让子类加载器去加载直到类成功…

    数据库 2023年6月16日
    0150
  • 4. 事务和锁

    404. 抱歉,您访问的资源不存在。 可能是网址有误,或者对应的内容被删除,或者处于私有状态。 代码改变世界,联系邮箱 contact@cnblogs.com 园子的商业化努力-困…

    数据库 2023年6月16日
    0145
  • JVM详解

    一、JVM的位置及体系结构 JVM作用在操作系统之上,而Java程序作用在jvm之上,其他的程序则与jvm并列 二、类加载器,及双亲委派机制 1.类加载器 作用:加载Class文件…

    数据库 2023年6月16日
    0107
  • 关于在linux上部署.netcore项目,只能Linux访问,不能外部主机访问的问题

    在我们在Linux上部署完.netcore项目之后,是进入到部署项目的文件夹之下启动项目,比如我的就是在www/core文件夹下。 首先cd 之后我们直接启动项目 之后我们在win…

    数据库 2023年6月11日
    0213
  • 前端开发:如何正确地跨端

    导读:面对多种多样的跨端诉求,有哪些跨端方案?跨端的本质是什么?作为业务技术开发者,应该怎么做?本文分享阿里巴巴ICBU技术部在跨端开发上的一些思考,介绍了当前主流的跨端方案,以及…

    数据库 2023年6月14日
    0153
  • 数据结构知识详解 第一章 绪论

    知识框架 1. 数据结构的基本概念 1.1 基本概念和术语 1.1.1 数据 定义:是信息的载体,是描述客观事实属性的数、字符及所有能输入到计算机中并被计算机程序识别和处理的符号的…

    数据库 2023年6月11日
    0141
  • Redis与Python连接实例

    2022-09-22 1、 Redis与Python建立连接之前需要先安装”Redis”安装包: 在ubantu中,打开终端,输入命令: sudo pip …

    数据库 2023年6月14日
    0143
  • MySQL-报错:Error when bootstrapping CMake:

    在进行MySQL的源码安装的时候,系统上找不到合适的C编译器,GCC忘了装,莫慌,直接 yum命令装上gcc,还有gcc-C++没装的话后面也会提示错误,一起装上,,, [root…

    数据库 2023年6月14日
    0127
亲爱的 Coder【最近整理,可免费获取】👉 最新必读书单  | 👏 面试题下载  | 🌎 免费的AI知识星球