基于 sqlabs - pageage3- 的内容
基于错误
基于错误的注入建立在有错误回显的机制上。当输入畸形构造会出现语法方面的报错。比如:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
数据库的语法报错为攻击者推测出 $sql 查询语句提供了便利。
除此以外,语法报错还可以有以下用法
-
count() + rand()*2
id=1' union select count(*),concat_ws(':',database(),floor(rand()*2)) as a from information_schema.tables group by a --+ -------------------------------------------------------------------- Duplicate entry 'security:0' for key 'group_key'这种报错形式是借助 rand()*2 和 group by 的冲突。在上述负载中:
concat_ws:将三个参数连接成一个字段的内容;
group by key:循环读取数据的每一行,将结果保存于临时表中。读取每一行的key时,如果key存在于临时表中,则不在临时表中更新临时表的数据;如果key不在临时表中,则在临时表中插入key所在行的数据。
rand:会生成一个0~1之间的小数表一开始是空空如也的。执行第一次查询,(假如)生成的是" dbname : 0 ",数据库左看看右看看发现表里没东西,就打算把这个项插入临时表。但是这一条查询结果不会直接放进临时表,这个结果只是数据库想康康需不需要插入新项,所以数据库现在要再查询一次,将第二次查询的结果放进临时表。但是 rand() 是一个随机函数,可能第二次 rand()*2=1 ,此时真正插入临时表的表项是" dbname : 1"。
同理,当第三次查询的时候,如果查询结果是 " dbname : 0 ",是临时表中不存在的选项,数据库进行第四次查询,并意图将查询结果放进数据库,如果第四次查询结果是" dbname : 1",数据库就嗷嗷报错,因为 key value 出现了重复。
通过这种方法,concat_ws中的查询内容就以报错形式出现了。
xPath 语法错误
从mysql5.1.5开始提供两个XML查询和修改的函数,extractvalue和updatexml。这两个函数正常方法不知道怎么用,它要求第二个字段必须符合XPath语法风格,不知道xPath是什么语法风格。
但是 SQLi 方法很好用。
extractvalue(1,(select 内容),1)
updatexml(1(select 内容))
由于第二个字段不是xPath风格,数据库报错。但是它会先查询一下,像小浣熊不管吃不吃,只要拿到东西都要放水里洗洗一样,查询一下,然后把查询结果跟着报错信息一并输出,显得非常的能者多劳。
双查询
双查询本人是交际花花,不管是报错还是普通查询都可以用。报错查询就是
id=1' union select <上面的报错函数> --+
普通查询是利用数据库的特性:第一个查询如果得不出结果就会接着往下查。
id=-1' union select database(),version(),user() from information_schema.tables --+
由于第一个查询 id=-1 没有返回结果,数据库就接着查 union 后的 query ,得到结果之后显示在第一个查询本来应该显示的地方。
显示位置的判断:
- order by x: 根据第x行排列。x 要是超过了第一个 select 的字段数会报错;
- select 1,2,3,...,x :有的项虽然select 了但是不一定显示,用这种方法查看会显示的字段;
盲注
盲注和报错注入的区别是前者错了没反应,其他还是一样的。手动太麻烦了,要写脚本,根据返回码来进行判断。
POST 和 GET
堪称本人半只脚掌步入SQLi遇到最大的阻碍,一开始没学 PHP 的时候死活不知道这是什么东西。知道了也就还好,就是一个传值的方法鹅已。
$_GET 从 URL 传入查询,&POST 从表单中提交查询,反正最后都是提交给 PHP 处理的。GET 比 POST 麻烦一点的就是需要 URL encode 一下,比如说 # 变成 %23 之类的,POST 比 GET 麻烦一点的就是查询传入数据库和数据库内数据取出的几次编码,具体内容在宽字节附带的超链接里讲
改包
需要用到大家的好朋友 BurpSuite
改包的包是指 http 头,一个平平无奇的 GET 请求头一般有这些内容可以改:
User-Agent:操作系统和浏览器的识别
Cookie:饼干
X-Forwarded-For:可以伪造IP
Clien-IP:也可以伪造IP
Rerferer:浏览器向服务器表明自己来自哪个URL
Host:客户指定自己想访问的域名和IP 地址和端口号
就,在 Burp 里其实基本上每个都可以改的。SQLi-Labs 里用了 uagent cookie 和 referer 三个字段。
(刚开始看这部分内容的时候一下子没转过弯来,觉得凭什么http头能注入啊,后面得益于 sqli-labs 比较行,直接就哐地一声把从 http 取到的元素显示在前端,然后我才悟了。
头注入本质上就是一个 sql 来处理,所以只要在注入点放进 payload 就会蹦出期望的结果。另外 http 头还有一些其他的题目可以做,比如讲有的题需要特定 IP地址或端口才能访问到flag,还有的对浏览器内核有要求的可以直接改 uagent 字段,都可以用 Burp 抓包然后更改。
sqli-labs 的比较简单,登录成功了看看屏幕上有哪些内容,有 IP 的就在 HOST 加个payload ,有 uagent 就在uagent那里加个payload,更难的暂时还没有做到了。
对了有个 cookie 注入点的判断方法!
- 进入一个可能有注入点的页面,去掉 URL
/id=x,刷新发现访问不了 - 在网址栏输入
javascript:alert(document.cookie="id="+escape("id后面的数字"));会蹦出来一个弹窗 - 再回到最初的 URL ,和第一步一样的操作,回车请求,发现能访问了!
- 这就证明这个WEB 服务器会通过 cookie 字段做用户查询,有 cookie 注入的机会!
绕过
非常琐碎的绕过!是“道理我都懂为什么你写得出我写不出”类型的问题。
一些比较朴实的内容:
大小写变更
union select => UnIOn SeLEcT
单次过滤绕过
UNunionION SEselectLECT
一些特殊内容的绕过
or => || ; and => && ; = => LIKE ; ‘ ’ => +或者换行符之类的
编码绕过
可以用 url编码 ,Unicode + url编码, hex编码
宽字节
id=1%df%27%20%23
这个在这里有比较详细的笔记
其他
找到一个非常厉害的绕过笔记,还是看他的吧。
stacked injection
格式
1;insert into users(id,username,passwd) VALUES (123,"admin","admin")
这样就自己插入了一个admin账号。
stacked injection利用 sql 语句以 ; 结尾的特性,在一个传入中包含多个命令。比起上文中的其他注入方法,stacked injection 不常用在信息获取方面上,比较多用来增删改,破坏性蛮强。
不过有时当 数据库引擎不支持、用户权限不够 的时候,stacked injection 发挥不了作用。
后记
暂时现在先写到这里,是这段时间做 sqli-labs 的总结笔记,如果在做题的时候碰上新的内容再添加!
