声明:文章是转载别人的,不完整,因为只能看懂到这里……后面明白了会继续整理的
mysql的注入,关键是要找到注入点,对注入点进行处理,该闭合的引号、括号要先闭合,然后注释掉多余的语句
一、几种闭合方法:
一般来说,程序员在书写select语句时,会对传入的变量进行一些处理,常见的有如下几种,这里以php为例,假设传输进来的变量为‘$id‘’,其他后端语言也相同。
select*fromtableswhereid=$id; #这种情况下,$id变量多为数字型 不需要闭合符号,可以直接注入,但如果系统做了只能传入数字型的判断,就无法注入
select*fromtableswhereid='$id'; #这种情况下,$id变量多为字符型 需要闭合单引号,可以用?id=1'这种形式闭合
select * from tables where id="$id"; #这种情况下,$id变量多为字符型 需要闭合双引号,可以用?id=1"这种形式闭合
select * from tables where id=($id); #这种情况下,$id变量多为数字型 需要闭合括号,可以用?id=1)这种形式闭合
select * from tables where id=('$id'); #这种情况下,$id变量多为字符型 需要同时闭合单引号和括号,可以用?id=1')这种形式闭合
select * from tables where id=("$id"); #这种情况下,$id变量多为字符型 需要同时闭合双引号和括号,可以用?id=1")这种形式闭合
select * from tables where id=(('$id')); #这种情况下,$id变量多为字符型 需要同时闭合单引号和两层括号,可以用?id=1'))这种形式闭合
有些语句还有limit子句,如select * from tables where id='$id' limit 0,1;,我们可以通过上面提到的方法先闭合单引号,然后用%23,即注释符注释掉后面的语句,具体写法如下:?id=1'%23;即可闭合输出正确的语句
*注:这里只列举几种常见的写法,可以结合实际情况,进行闭合符号,没有什么固定的方式,但最终达到一个目的就好了,就是闭合语句中可能有的符号,注释掉我们不需要或者可能会限制我们继续注入的部分。使得我们注入这些闭合原有语句的符号后,得到的语句还是正确并且可被执行的。
二、手工注入
第一步:找到注入点
在变量可控的部分加入一些符号,查看页面是否正常,例如:
有这么一个网站www.example.com/index.php?id=1
可以看到,这里的id变量是用户可控的,可以在id=1后加一个单引号,变成id=1' 。页面如果报错多了一个单引号,那么说明可能存在注入点。
也可以在id=1后通过and符号多增加多个判断,如果‘id=1 and 1=1’页面正常,‘id=1 and 1=2’时页面不正常,则这个页面边可能存在注入。
这里为什么一直说可能呢?因为有些页面可能在返回结果出做过滤,虽然你这里带入数据库是可以被查询的,但无法返回,是否可以利用需要结合具体情况对待,也有可能是被重定向进入到一个蜜罐中,故意放行,捕获入侵行为,但这个一般不会碰到。
第二步:就是闭合语句
参照最开始提出的几种闭合方法,对语句进行闭合。这里不再赘述,这里特别说一下注释掉不需要语句的问题。
如果在第一步的数据库报错中出现了limit附近的语法错误,一般来说,原有语句中的这个limit我们是无法利用的,多半可能会导致我们的闭合无法完成,而且为了后续便于我们遍历数据库,我们需要注入一个我们可控的limit子句,所以需要注释掉原有语句的limit子句,防止冲突。可以使用%23(#),--%20
%23这些数据库注释符号,进行注释。举个例子:
有这么一个网站:www.example.com/index.php?id=1
他在数据中的查询语句是select * from table where id='$id' limit 0,1;
那么我们注入的语句就可以是?id=1' %23
这个时候,带入到数据库查询的语句就变成了select * from table where id='$id' #' limit 0,1;
#会把后面的语句注释掉,然后我们得到实际执行的语句就成了select * from table where id='$id';
还要说一下,我们在注入的时候,为什么使用的%23而不是#呢,因为由于编码的问题,在浏览器中直接提交#会变成空,所以我们使用url编码后的#,即%23,当传输到后端时,后端语言会对它自动解码成#,才能够成功带入数据库查询。
第三步:经过前面两步,我们已经通过闭合和注释,构造出了一段空白区域,这段空白区域可以使得我们注入查询语句并得以带入执行。
前两步的工作非常重要,如果不做前面两步,或者前面两步做不好,在这一步时,你就还要去调整语句,那么一长串的报错,会很奔溃,所以我特别推荐,先去做前两步,使得语句该闭合的闭合,该注释的注释,那么注入的闭合符号和注释符号之间就是我们的注入地带。会为接下来的步骤省去很多精力。
