一、前言
本文为自己对SQL注入这个攻击手法的理解,跟大家一起分享SQL注入知识。
分上下篇,上篇为攻击手法概括,初稿不会写太多,后面会更新;下篇为防御篇,会把一些常见的,不常见的写进去。
二、概念
SQL注入漏洞之所以会出现就是开发人员针对代码编写开发web应用程序过程中,未对使用者输入的可控参数的合法性进行有效判断和过滤。从而造成被别有用心之人,利用“参数可控”特性将恶意参数带入数据库中执行,造成了恶意的SQL语句对数据库执行行为。
image归结出两个条件,引起SQL注入:
1.传入参数可控,使用者可以对传入数据库的参数变量进行操作。
2.应用过滤不当,前端或者web应用、框架等未对使用者做好隐藏执行语句和传入参数的严格过滤。
SQL注入的关联性
其实“注入”这个行为,也是一种对数据库的操作。这个行为的对敏感信息造成泄漏,所以判定成恶意的“注入”,实际上与用户的普通操作别无二致,在开发过程中,应该对用户的“操作”进行过滤和规范,尽量减少SQL注入的出现。
SQL注入的注入点与脚本语言关系不大,只和数据库类型相关。就拿php站点和java站点来说,php站点会爆出更多的漏洞,因为java中存在预编译机制,所以相较来说sql注入更少,这是语言特性决定的。但是语言特性和数据库没有强关联,在漏洞通报中出现SQL注入,不会通报用何种语言编写,只会出现是何种数据库。
所以SQL注入只和数据库类型有关系,脚本语言只是发现注入点的一个门户。
三、注入思路
image这里给大家分享一些学习资料及思路大纲可【点击查看】
测试方式
黑盒测试:url、回显、报错、延时、布尔状态等等
白盒测试:代码审计
攻击方式选取
参数类型>>【闭合方式】
数据库类型>>【payload的选择和语句组合】
提交方式>>【传参的方式可以绕过某些防护设备】
数据查询方式>>【是否有回显,回显点;延时注入的模糊判断;二次注入的数据呈现;工具有时候无法对所有数据捕获】
传输时加密>>【要提交对方可以识别的参数】
注入权限>>【拿到的权限是否可以造成威胁、扩大威胁】
攻击方式的选取应该存在多角度,但是一定离不开脚本语言、数据库类型和数据传输。
image注入危害
单个数据库拿权>>【考虑低权限提权,查看是否存在可利用函数和扩展】
多个数据库拿权>>【尝试寻找信息泄露多角度提权,尝试使用高级函数、跨库提权】
后台数据泄露>>【寻找、构筑路由,寻找管理员账号、历史配置文件等】
web权限丢失>>【尝试对网站功能点测试】
服务器权限丢失>>【进行横移;站库分离时,从数据库拿到宿主服务器的权限;根据当前数据库类型和服务器的安全性决定】
点到面突破,数据库中可以包含许多信息,这已经不是单纯SQL注入,可以发展到其他攻击面进行渗透。
特点注入
语言只决定SQL注入产生概率>>【确定网站使用的语言,根据不同的语言特性进行注入,提高效率】
数据库类型决定SQL注入的过程>>【每种数据的语句存在差异,这样的差异决定注入的思路】
SQL注入需要人工配合>>【工具存在一定的局限性,部分工具对于数据回传没有判定从而忽略注入点】
存在防护设备下注入>>【判定防护设备,可以尝试“旧瓶装新酒”对旧思路加工再注入;分块、编码、、垃圾数据、带外、中间等注入】
有目的去注入,才会使攻击效率提高。SQL注入通过多维度确定对方信息,能有效选取payload和思路。
image
四、常见注入方式
1.盲注
所谓盲注,就是我们在注入过程中,无法获得直接的回显或者有效信息去判断注入点是否存在,需要借助一些方法去进行验证和获取返回的数据。
1.布尔盲注:执行SQL语句后,只会存在两种结果。通过构造逻辑表达式判断数据的具体内容。
2.时间盲注:因为数据传输存在时间差,可以利用sleep()函数等,去判断构造的逻辑表达式是否成功获取数据。
3.报错盲注:通过数据库的特殊函数的报错强制使参数在报错页面输出。这种函数往往会带出其他信息,可以扩展打击面。
2.堆叠注入
利用数据库特性,进行多语句执行。
但是限制较大,受API、数据库类型、权限、网站架构等限制。一般多见于CTF比赛中,但是实际渗透中,如果存在多语句可执行,那么可以尝试,也许有意外收获。
已知支持数据库类型有: mysql、SQL-Server、PostgreSQL。
3.二次注入
二次注入其实就是,先入数据后注入,等同于一次注入。攻击者先构造出特定语句存入数据库,当攻击者对存入数据或者语句进行读取时出现注入点,这就是“二次”所在。
其实是一次内鬼之战,攻击者第一次输入的数据被认为是“安全”时,存入数据库内被转义,被转义的数据默认是安全的。然后第二次输入时,调用时即使输入数据没被转义,也可能被判定成“安全”,这时造成二次注入。
4.差异化注入
注入时,需要注意数据库类型和网站架构。不同的数据库类型存在差异,利用这种差异进行注入攻击。
access数据库的偏移注入:知道表名而不知道列名时,利用“*”对其猜解,当到达一定长度时返回正常页面。
mysql数据库的结构利用:因为mysql数据库的特性,库名-表名-列名-数据层层递归,mysql5或以上存在三张特殊的表(information_schema.schemata/tables/colusmn),进行间接查询。
sqlite数据库的隐藏表利用:sqlite文件中存在一张隐藏表格 sqlite_master ,该表格记录下建表时的信息。
Mongodb数据库闭合注入&数组绑定注入:mongodb是一种非关系型数据库,可以利用构造数组后使用ne(等同于>等字符)进行注入。
5.基于场景注入
host注入:因为不同语言和开发逻辑,获取IP的方法都是不一样的。那么在数据包中有一个HOST字段,如果该字段可控,并且获取到IP地址数据被写入数据库中,那么就有机会存在HOST注入。
XFF注入:这个比较有意思,和XRIP字段一样,用于记录访问者的IP,这个字段记录“真实IP”。但是一旦这个字段被修改,返回中存在“XXIP无法访问该资源”等类似语句时,就代表可控,可控也可以搞一波。
SQL注入本质上也是一种对数据库的操作,获取我们想要的信息。
网友评论