SQL Injection
RootedCON是西班牙最重要的网络安全活动之一,也是欧洲最重要的之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流地。
什么是SQL注入?
SQL注入是一种安全漏洞,允许攻击者干扰应用程序的数据库查询。这种漏洞可以使攻击者查看、修改或删除他们不应访问的数据,包括其他用户的信息或应用程序可以访问的任何数据。这些行为可能导致对应用程序功能或内容的永久更改,甚至危及服务器或造成拒绝服务。
入口点检测
当网站由于对SQL注入(SQLi)相关输入的异常服务器响应而易受攻击时,第一步是了解如何在不中断查询的情况下注入数据。这需要有效地识别从当前上下文中逃逸的方法。 以下是一些有用的示例:
然后,您需要知道如何修复查询以避免错误。为了修复查询,您可以输入数据,使先前的查询接受新数据,或者您可以只是输入您的数据并在末尾添加注释符号。
请注意,如果您可以看到错误消息或者可以发现查询在工作时和不工作时的差异,这个阶段将会更容易。
注释
使用逻辑操作确认
确认 SQL 注入漏洞的可靠方法包括执行逻辑操作并观察预期结果。例如,当修改 GET 参数,如 ?username=Peter 到 ?username=Peter' or '1'='1 时产生相同内容,表明存在 SQL 注入漏洞。
同样,应用数学操作作为有效的确认技术。例如,如果访问 ?id=1 和 ?id=2-1 产生相同结果,则表明存在 SQL 注入。
演示逻辑操作确认的示例:
这个单词列表是为了尝试以提议的方式确认SQL注入而创建的:
使用时间确认
在某些情况下,您不会注意到页面上的任何变化。因此,发现盲目SQL注入的一个好方法是让数据库执行操作,这将影响页面加载所需的时间。 因此,我们将在SQL查询中连接一个需要很长时间才能完成的操作:
在某些情况下,sleep 函数可能不被允许。因此,您可以使查询执行复杂操作,以便需要几秒钟的时间。这些技术的示例将在每种技术中单独进行说明。
识别后端
识别后端的最佳方法是尝试执行不同后端的函数。您可以使用上一节中的sleep 函数或这些函数(来自payloadsallthethings中的表格:
此外,如果您可以访问查询的输出,您可以使其打印数据库的版本。
使用PortSwigger进行识别
利用联合查询
检测列数
如果您可以看到查询的输出,这是利用它的最佳方法。 首先,我们需要找出初始请求返回的列数。这是因为两个查询必须返回相同数量的列。 通常有两种方法用于此目的:
Order/Group by
为了确定查询中的列数,逐渐调整在ORDER BY或GROUP BY子句中使用的数字,直到收到错误响应。尽管GROUP BY和ORDER BY在SQL中具有不同的功能,但两者都可以用于确定查询的列数。
UNION SELECT
选择更多的空值,直到查询正确为止:
在某些情况下,查询两侧列的类型必须相同,因此应使用null值。
提取数据库名称、表名称和列名称
在下面的示例中,我们将检索所有数据库的名称、数据库的表名称以及表的列名称:
在每个不同的数据库上发现这些数据的方法都不同,但方法论总是相同的。
利用隐藏的基于联合的注入
当查询的输出可见,但基于联合的注入似乎无法实现时,这表明存在隐藏的基于联合的注入。这种情况通常会导致盲注入的情况。要将盲注入转变为基于联合的注入,需要识别后端执行查询。
这可以通过使用盲注入技术以及特定于目标数据库管理系统(DBMS)的默认表来实现。为了了解这些默认表,建议查阅目标DBMS的文档。
一旦查询被提取出来,就需要调整有效载荷以安全地关闭原始查询。随后,在有效载荷中附加一个联合查询,从而促进对新获得的基于联合的注入的利用。
要获取更全面的见解,请参考Healing Blind Injections上提供的完整文章。
利用基于错误的注入
如果由于某种原因您无法看到查询的输出,但可以看到错误消息,则可以利用这些错误消息从数据库中提取数据。 按照与基于联合的利用相似的流程,您可以成功地转储数据库。
利用盲注入攻击
在这种情况下,您无法看到查询结果或错误,但您可以区分查询返回的是真还是假的响应,因为页面上的内容不同。 在这种情况下,您可以利用这种行为逐个字符地转储数据库:
利用错误盲注 SQLi
这与之前的情况相同,但不再区分查询的真/假响应,而是可以区分SQL查询中是否存在错误(也许是因为HTTP服务器崩溃)。因此,在这种情况下,每次猜对一个字符时,您都可以强制引发一个 SQL 错误:
利用基于时间的 SQLi
在这种情况下,无法根据页面的上下文区分查询的响应。但是,如果猜测的字符正确,可以使页面加载时间更长。我们之前已经看到过这种技术的应用,用于确认 SQLi 漏洞。
堆叠查询
您可以使用堆叠查询来连续执行多个查询。请注意,尽管后续查询被执行,结果并不会返回给应用程序。因此,这种技术主要用于与盲注漏洞相关的情况,您可以使用第二个查询来触发DNS查找、条件错误或时间延迟。
Oracle不支持堆叠查询。MySQL、Microsoft和PostgreSQL支持:在此处放置第一个查询; 在此处放置第二个查询
带外利用
如果没有其他利用方法奏效,您可以尝试让数据库将信息传输到您控制的外部主机。例如,通过DNS查询:
通过XXE进行带外数据泄露
自动化利用
查看SQLMap Cheetsheat以使用sqlmap利用SQLi漏洞。
技术特定信息
我们已经讨论了利用SQL注入漏洞的所有方法。在本书中找到一些与数据库技术相关的更多技巧:
或者您可以在https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/SQL%20Injection中找到关于MySQL、PostgreSQL、Oracle、MSSQL、SQLite和HQL的许多技巧。
RootedCON是西班牙最重要的网络安全活动之一,也是欧洲最重要的活动之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流平台。
身份验证绕过
尝试绕过登录功能的列表:
Login bypass List原始哈希身份验证绕过
这个查询展示了在使用MD5进行原始输出验证时的一个漏洞,使系统容易受到SQL注入攻击。攻击者可以通过构造输入,使其在哈希后产生意外的SQL命令部分,从而实现未经授权的访问。
注入哈希身份验证绕过
推荐列表:
您应该将列表中的每一行作为用户名,密码始终为:Pass1234. (这些有效载荷也包含在本节开头提到的大列表中)
GBK身份验证绕过
如果 ' 被转义,您可以使用 %A8%27,当 ' 被转义时,将创建:0xA80x5c0x27 (╘')
Python脚本:
多语言注入(多上下文)
插入语句
修改现有对象/用户的密码
要做到这一点,您应该尝试创建一个名为"主对象"(在用户情况下可能是admin)修改一些内容:
创建用户名为:AdMIn(大写和小写字母)
创建用户名为:admin=
SQL截断攻击(当用户名或电子邮件中存在某种长度限制时)--> 创建用户名为:admin [很多空格] a
SQL截断攻击
如果数据库存在漏洞,并且用户名的最大字符数为30,您想要冒充用户admin,尝试创建一个名为:"admin [30个空格] a"的用户名和任何密码。
数据库将检查是否在数据库中存在输入的用户名。如果不存在,它将截断用户名至允许的最大字符数(在本例中为:"admin [25个空格]"),然后将自动删除所有末尾的空格,更新数据库中的用户"admin"的新密码(可能会出现一些错误,但这并不意味着这没有起作用)。
更多信息:https://blog.lucideus.com/2018/03/sql-truncation-attack-2018-lucideus.html & https://resources.infosecinstitute.com/sql-truncation-attack/#gref
注意:在最新的MySQL安装中,此攻击将不再按上述描述的方式起作用。虽然比较仍然默认忽略尾随空格,但尝试插入长于字段长度的字符串将导致错误,插入将失败。有关此检查的更多信息,请参阅:https://heinosass.gitbook.io/leet-sheet/web-app-hacking/exploitation/interesting-outdated-attacks/sql-truncation
MySQL插入基于时间的检查
在VALUES语句中添加尽可能多的','',''。如果延迟执行,则存在SQL注入。
ON DUPLICATE KEY UPDATE
MySQL中的ON DUPLICATE KEY UPDATE子句用于指定数据库在尝试插入导致在UNIQUE索引或PRIMARY KEY中出现重复值的行时应采取的操作。以下示例演示了如何利用此功能来修改管理员帐户的密码:
注入示例负载:
可以制作如下注入负载,尝试将两行插入users表中。第一行是诱饵,第二行针对现有管理员的电子邮件,意图是更新密码:
这是它的工作原理:
查询尝试插入两行数据:一个是
[email protected],另一个是[email protected]。如果
[email protected]的行已经存在,则ON DUPLICATE KEY UPDATE子句会触发,指示MySQL将现有行的password字段更新为"bcrypt_hash_of_newpassword"。因此,随后可以尝试使用
[email protected]进行身份验证,密码对应于bcrypt哈希("bcrypt_hash_of_newpassword"代表新密码的bcrypt哈希,应该用所需密码的实际哈希替换)。
提取信息
同时创建2个帐户
当尝试创建新用户和用户名时,需要密码和电子邮件:
使用十进制或十六进制
通过这种技术,您可以仅创建一个帐户来提取信息。重要的是要注意,您不需要添加任何注释。
使用hex2dec和substr:
要获取文本,您可以使用:
使用hex和replace(以及substr):
RootedCON 是西班牙最重要的网络安全活动之一,也是欧洲最重要的之一。以促进技术知识为使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会。
Routed SQL注入
Routed SQL注入是一种情况,其中可注入的查询不是产生输出的查询,而是可注入查询的输出进入产生输出的查询。(From Paper)
示例:
WAF绕过
无空格绕过
无空格 (%20) - 使用空格替代方案绕过
No Whitespace - 通过使用注释绕过
在某些情况下,您可能会遇到无法在注入点使用空格的限制。在这种情况下,您可以尝试使用注释来绕过此限制。您可以在SQL语句中使用注释来替代空格,以确保语句仍然有效。
无空格 - 使用括号绕过
在某些情况下,您可能无法在注入点使用空格。在这种情况下,您可以尝试使用括号来绕过此限制。
无逗号绕过
使用 OFFSET、FROM 和 JOIN 绕过逗号。
通用绕过方法
黑名单关键字 - 使用大写/小写绕过
使用关键字黑名单不区分大小写 - 通过使用等效运算符绕过
科学计数法 WAF 绕过
您可以在gosecure博客中找到关于这一技巧的更深入解释。 基本上,您可以以意想不到的方式使用科学计数法来绕过 WAF:
绕过列名限制
首先要注意,如果原始查询和你想从中提取标志的表具有相同数量的列,你可以简单地执行:0 UNION SELECT * FROM flag
可以访问表的第三列而无需使用其名称,使用以下查询:SELECT F.3 FROM (SELECT 1, 2, 3 UNION SELECT * FROM demo)F;,因此在SQL注入中会是这样的形式:
或者使用逗号绕过:
这个技巧来自https://secgroup.github.io/2017/01/03/33c3ctf-writeup-shia/
WAF绕过建议工具
其他指南
暴力检测列表
RootedCON 是西班牙最重要的网络安全活动之一,也是欧洲最重要的之一。作为促进技术知识的使命,这个大会是技术和网络安全专业人士在各个领域的热点交流会。
最后更新于