簡介:在漏洞盒子挖洞已經有一段時間了,雖說還不是大佬,但技術也有所進步,安全行業就是這樣,只有自己動手去做,才能將理論的知識變為個人的經驗。本篇文章打算分享一下我在挖union型SQL注入漏洞過程中的一些個人理解,如有不足也請大佬不吝指教。
0x00:什麼是SQL注入
SQL注入,相信大多數人一開始接觸安全,聽說的第一種漏洞類型就會是SQL注入,眾所周知,其本質就是將用戶輸入的數據當成了SQL語句來執行。
開發過網站的朋友應該都清楚,大多數的小型企業或個人的站點大都採用了LAMP結構,即Linux + Apache + MySQL + PHP,當然還有一些其它常見的技術如下錶:
| 操作系統 | Web服務器 | 數據庫 | 編程語言 |
|---|---|---|---|
| Linux | Apache | MySQL | PHP |
| Windows Server | Nginx | Oracle | JSP |
| Tomcat | SQL Server | ASP | |
| Python |
總的來說,絕大多數網站都採用了動態Web開發技術,而動態Web開發離不開數據庫,如果沒有處理好這兩者之間的關係,那麼SQL注入就會隨之而來了。
舉例來說,當我們想要通過參數id來獲取相對應的新聞時,整個過程簡單來說就是用戶通過URL請求新聞–>後台通過用戶請求去數據庫查詢相對應的新聞–>將查詢到的新聞回傳給用戶。在第二步查詢相對應的新聞時,後台會執行SQL語句來查詢,就像SELECT * FROM news WHERE id='',id的值是用戶來控制的,當id=1時,就會返回id=1的新聞,id=2時返回id=2的新聞,以此類推,就可以動態的控制web界面了。
這時,當用戶輸入的id值不正確時,後台就無法獲取相對應的新聞,前端就會沒有數據显示,可當用戶輸入的數據為1'; DROP TABLE news-- a時,恐怖的事情就發生了,數據庫中的news表被刪除了,這就說明這個參數存在SQL注入。
回到剛才用戶輸入的數據,拼接到後台查詢數據時,整個SQL語句就變成了SELECT * FROM news WHERE id='1'; DROP TABLE news-- a',分析這條語句可知,用戶輸入的單引號閉合了id的值,分號閉合了SELECT語句,然後又新建了一條DROP語句刪除了表news,最後的— a註釋掉了id值后的那個單引號,SQL注入就這麼產生了。
當一個站點存在SQL注入時,用戶的輸入就可以傳入數據庫執行,理論上這樣可以獲得數據庫的全部數據,也就是常說的脫庫了。獲得數據的方法也多種多樣,可以通過頁面直接返回想要查詢的數據,也可以通過sleep延時函數猜測數據,都不行的話我們還可以使用DNS解析日誌來獲得數據。其中,最簡單的一種方法就是union型的SQL注入了。
union型SQL注入只是SQL注入的其中一種,也是最簡單的一種,對於這種漏洞的防範也特別簡單,可這種漏洞在互聯網中仍不計其數…這也可見全國乃至全球對於網絡安全知識普及的不足,接下來,我會從三個方面來講講這種漏洞,分別是為什麼會產生、怎麼利用以及怎麼防範。
0x01:為什麼會產生union型SQL注入
union型SQL注入,看名字就能知道,使用這種方法可以直接在頁面中返回我們要查詢的數據,方法也很簡單,即使用UNION聯合查詢即可。
但使用UNION聯合查詢時還要滿足一個條件,那就是我們構造的SELECT語句的字段數要和當前表的字段數相同才能聯合查詢,即首先我們要確定當前表的字段數。order by x是數據庫中的一個排序語句,order by 1即通過第一個字段進行排序。這時我們就可以構造SELECT * FROM news WHERE id='1' order by x-- a'來猜測當前表的字段數,x值遞增,當頁面返回數據異常時,即無當前字段時,用當前的x值減一即可得到當前表的字段數了。
知道了當前表的字段數,就可以進行UNION聯合查詢了。但聯合查詢時,頁面只會显示查詢到數據的第一條,也就是UNION前的SELECT語句的結果,想要显示我們自己聯合查詢的結果時,還必須使前一條語句失效,這裏我們構造and 1=2使前一句SELECT語句失效。回到剛才的案例,假設當前表的字段數為3,我們就可以構造SELECT * FROM news WHERE id='1' and 1=2 UNION SELECT 1,2,3-- a'來查詢當前頁面的顯錯點了,通過下圖的案例可知,當前的顯錯點為第一字段和第三字段。
這個顯錯點又是什麼意思呢?比如當前表中共有三個字段,一個是標題(title)、一個是時間(time)、一個是內容(data),而我們前端不需要显示時間,只需要展示標題和內容即可。那麼從數據庫獲得的數據中,也只有標題字段和內容字段會展示在頁面上,這兩個點就是顯錯點。
通過這裏的顯錯點,用戶就可以獲得數據庫中的所有數據了。當用戶輸入的數據為1' and 1=2 UNION SELECT 1,2,database()-- a時,即SQL語句為SELECT * FROM news WHERE id='1' and 1=2 UNION SELECT 1,2,database()-- a'時,就可以直接得到數據庫的庫名。
0x02:怎麼利用union型SQL注入
1.判斷是否存在注入
構造and 1=1/and 1=2查看頁面是否有異常,若有異常,即有可能存在注入,另外還可通過該語句判斷該站點是否有WAF,若有WAF的話會有攔截警告,當然,WAF也是可以繞過的。。。
2.查詢當前表的字段數
構造order by x,當頁面返回異常時,利用x減一即可得到當前表的字段數。
3.查詢顯錯點
構造and 1=2 union select 1,2,3,若頁面显示了我們構造的1,2,3,則對應的字段即為顯錯點。
4.查詢數據庫庫名
構造and 1=2 union select 1,2,database(),即可在顯錯點显示當前數據庫庫名。
一般挖漏洞的話到此步驟就可以提交了,切記千萬不可非法獲得數據,挖洞有風險,同志需謹慎!
5.查詢數據庫中的表名
構造and 1=2 union select 1,2,table_name from information_schema.tables where table_schema=database() limit 0,1,即可在顯錯點显示當前庫中的表名,因為顯錯點一次只能显示一條數據,這時可以通過limit語句選擇不同的表名進行查看。
6.查詢選擇表中的字段名
構造and 1=2 union select 1,2,column_name from information_schema.columns where table_schema=database() and table_name='XXX' limit 0,1,即可在顯錯點显示字段名,這裏也是通過limit語句選擇不同的字段名進行查看。
7.查詢數據庫中的數據
構造and 1=2 union select 1,2,XXX from XXX limit 0,1,即可獲得數據庫中的數據了。
0x03:怎麼防範union型SQL注入
針對union型SQL注入,我們可以對用戶輸入的數據進行一次篩查,設置黑名單,攔截注入常用的一些關鍵詞,比如and、order by、union、select、from等。
除了設置黑名單外,還有一種比較靠譜的方法,即使用預編譯語句,而不是動態的生成SQL語句,這樣可以有效的避免用戶輸入的數據連接到數據庫執行,就是實現起來比較複雜,需要設置大量的預編譯語句。
另外還有一種目前最靠譜的方法,實現起來還簡單,就是上硬件防火牆。。。就是有點小貴。
0x04:互聯網中的一些案例
依據網絡安全法,本文旨在分享個人學習經驗,內容禁止用於違法犯罪行為!
本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理
【其他文章推薦】
※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!
※網頁設計公司推薦不同的風格,搶佔消費者視覺第一線
※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整
※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!
※教你寫出一流的銷售文案?
※超省錢租車方案