渗透攻防Web篇 |
您所在的位置:网站首页 › python2 字符串替换 › 渗透攻防Web篇 |
0
分享至
用微信扫码二维码 分享至好友和朋友圈 来源 | OSCHINA 社区 作者 | 京东云开发者 原文链接:https://my.oschina.net/u/4090830/blog/5569859 1 背景 京东 SRC (Security Response Center) 收录大量外部白帽子提交的 sql 注入漏洞,漏洞发生的原因多为 sql 语句拼接和 Mybatis 使用不当导致。 2 手工检测2.1 前置知识 mysql5.0 以上版本中存在一个重要的系统数据库 information_schema,通过此数据库可访问 mysql 中存在的数据库名、表名、字段名等元数据。information_schema 中有三个表成为了 sql 注入构造的关键。 1)infromation_schema.columns: table_schema 数据库名 table_name 表名 column_name 列名 2)information_schema.tables table_schema 数据库名 table_name 表名 3)information_schema.schemata schema_name 数据库名 SQL 注入常用 SQL 函数 length (str) :返回字符串 str 的长度 substr (str, pos, len) :将 str 从 pos 位置开始截取 len 长度的字符进行返回。注意这里的 pos 位置是从 1 开始的,不是数组的 0 开始 mid (str,pos,len) :跟上面的一样,截取字符串 ascii (str) :返回字符串 str 的最左面字符的 ASCII 代码值 ord (str) :将字符或布尔类型转成 ascll 码 if (a,b,c) :a 为条件,a 为 true,返回 b,否则返回 c,如 if (1>2,1,0), 返回 0 2.2 注入类型2.2.1 参数类型分类 整型注入例如?id=1,其中 id 为注入点,类型为 int 类型。 字符型注入例如?id=”1”,其中 id 为注入点,类型为字符型,要考虑闭合后端 sql 语句中的引号。 2.2.2 注入方式分类 盲注 布尔盲注:只能从应用返回中推断语句执行后的布尔值。 时间盲注:应用没有明确的回显,只能使用特定的时间函数来判断,例如 sleep,benchmark 等。 报错注入:应用会显示全部或者部分的报错信息 堆叠注入:有的应用可以加入;后一次执行多条语句 其他 2.3 手动检测步骤 (字符型注入为例)// sqli vuln codeStatement statement = con.createStatement();String sql = "select * from users where username = '" + username + "'";logger.info(sql);ResultSet rs = statement.executeQuery(sql);// fix code 如果要使用原始jdbc,请采用预编译执行String sql = "select * from users where username = ?";PreparedStatement st = con.prepareStatement(sql);使用未预编译原始 jdbc 作为 demo,注意此 demo 中 sql 语句参数采用单引号闭合。2.3.1 确定注入点 对于字符类型注入,通常先尝试单引号,判断单引号是否被拼接到 SQL 语句中。推荐使用浏览器扩展 harkbar 作为手工测试工具。https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc 正常页面应该显示如下: admin 后加单引号导致无信息回显,原因是后端 sql 执行报错,说明引号被拼接至 SQL 语句中 select * from users where username = 'admin' #正常sqlselect * from users where username = 'admin'' #admin'被带入sql执行导致报错无法显示信息2.3.2 判断字段数 mysql 中使用 order by进行排序,不仅可以是字段名也可以是字段序号。所以可以用来判断表中字段数,order by 超过字段个数的数字就会报错。 判断字段数 当 order by 超过 4 时会报错,所以此表共四个字段。 后端所执行的 sql 语句 select * from users where username = 'admin' order by 1-- '此处我们将原本 username 的值 admin 替换为 admin’ order by 1 —+,其中 admin 后的单引号用于闭合原本 sql 语句中的前引号,—+ 用于注释 sql 语句中的后引号。 — 后的 + 号主要作用是提供一个空格,sql 语句单行注释后需有空格,+ 会被解码为空格。 2.3.3 确定回显位置 主要用于定位后端 sql 字段在前端显示的位置,采用联合查询的方式确定。注意联合查询前后字段需一致,这也就是我们为什么做第二步的原因。 通过下图可知,后端查询并回显的字段位置为 2,3 位。 联合查询后的字段可以随意,本次采用的是数字 1 到 4 直观方便。 2.3.4 利用 information_schema 库实现注入 group_concat () 函数用于将查询结果拼接为字符串。 查看存在数据库 查看当前数据库中的表 查看指定表中字段 利用以上获取信息读取 users 表中 username 和 password 3 自动化检测3.1 sqlmap 使用 sqlmap 兼容 python2 和 python3,可以自动化检测各类注入和几乎所有数据库类型。 3.1.1 常用命令 -u 可能存在注入的url链接-r读取http数据包--data 指定post数据--cookie 指定cookie--headers 指定http头 如采用token认证的情况下--threads 指定线程数--dbms 指定后端的数据库--os 指定后端的操作系统类型--current-user 当前用户--users 所有用户--is-dba 是否是dba--sql-shell 交互式的sqlshell-p指定可能存在注入点的参数--dbs 穷举系统存在的数据库-D指定数据库--tables 穷举存在的表-T指定表--column 穷举字段-C指定字段--dump dump数据直接检测其中 —cookie 用于指定 cookie,—batch 自动化执行,—dbms 指定数据库类型 检测结果 读取系统中存在数据库—dbs 读取当前用户下的数据库 读取指定库下的表-D java_sec_code —tables dump users 表数据-D java_sec_code -T users —dump 4 进阶 4.1 Mybatis 注入 1)$ 错误使用导致注入 //采用#不会导致sql注入,mybatis会使用预编译执行@Select("select * from users where username = #{username}")User findByUserName(@Param("username") String username);//采用$作为入参可导致sql注入@Select("select * from users where username = '${username}'")List findByUserNameVuln01(@Param("username") String username);2)模糊查询拼接 //错误写法select * from users where username like '%${_parameter}%'select>//正确写法select * from users where username like concat(‘%’,#{_parameter}, ‘%’)select>3)order by 注入 order by 后若使用 #{} 会导致报错,因为 #{} 默认添加引号会导致找不到字段从而报错。 //错误写法select * from usersorder by ${order} ascif>select>//正确写法 id指字段id 此表字段共四个 所以id为1-4select * from users order by id asc limit 1select>以上测试均在本地进行,请勿未授权进行渗透测试 5 文章及资料推荐 slqmap 手册:https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/Users-manual/Introduction.htmlsql 注入详解:http://sqlwiki.radare.cn/#/ 作者:罗宇(物流安全小分队) 特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。 Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services. /阅读下一篇/ 返回网易首页 下载网易新闻客户端 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |