SQL盲注
所谓的盲注就是猜测,通过寻找差异(包括运行时间的差异和页面返回结果的差异)来进行注入
也就是说我们想实现的是我们要构造一条语句来测试我们输入的布尔表达式,使得布尔表达式结果的真假直接影响整条语句的执行结果,从而使得系统有不同的反应,在时间盲注中是不同的返回的时间,在布尔盲注中则是不同的页面反应。
布尔盲注
布尔盲注是最基础的一种注入,其本质是使SQL语句永真或永假,使页面上显示的内容不同,然后逐个字符的去判断,以此来得到数据库中的所有数据。
基于布尔的盲注是在这样的一种情况下使用:
- 页面虽然不能返回查询的结果,但是对于输入 布尔值 0 和 1 的反应是不同的,那我们就可以利用这个输入布尔值的注入点来注入我们的条件语句,从而能根据页面的返回情况推测出我们输入的语句是否正确(输入语句的真假直接影响整条查询语句最后查询的结果的真假)
常用函数:left
1 | left(a,b)从左侧截取a的前b位 |
regexp
REGEXP注入,即regexp正则表达式注入。REGEXP注入,又叫盲注值正则表达式攻击。
原理是直接查询自己需要的数据,然后通过正则表达式进行匹配。
regexp基本注入方法
1
2
3
4
5
6
7select (select语句) regexp '正则'
# eg:
# 正常查询:
select username from users where id=1;
# 正则注入,若匹配则返回1,不匹配返回0
select (select username from users where id=1) regexp '^a';
^表示pattern(模式串)的开头。即若匹配到username字段下id=1的数据开头为a,则返回1;否则返回0
regexp关键字还可以代替where条件里的=号
1 | select * from users where password regexp '^ad'; |
常用regexp正则语句:
1 | regexp '^[a-z]' #判断一个表的第一个字符串是否在a-z中 |
在联合查询中的使用
1 | 1 union select 1,database() regexp '^s',3--+ |
eg:
1 | ## 普通查询 |
时间盲注
基于时间的盲注的一般思路是延迟注入,说白了就是将判断条件结合延迟函数注入进入,然后根据语句执行时间的长短来确定判断语句返回的 TRUE 还是 FALSE,从而去猜解一些未知的字段(整个猜解过程其实就是一种 fuzz)。
常用函数:
- 1、MySQL的sleep和benchmark
sleep()
1 | ?id=1' and if(1=0,1, sleep(10)) --+ # 注释符用于闭合语句,使语句正常执行 |
IF表达式:
IF(expr1,expr2,expr3) :如果 expr1 是TRUE (expr1 <> 0 and expr1 <> NULL),则 IF()的返回值为expr2; 否则返回值则为 expr3。IF() 的返回值为数字值或字符串值,具体情况视其所在语境而定。
benchmark(count,expr)
BENCHMARK()函数重复countTimes次执行表达式expr,它可以用于计时MySQL处理表达式有多快。结果值总是0。
1 | select (select username from users where id=1) regexp '^a'; |
- 2、Heavy Query 笛卡尔积
将简单的表查询不断的叠加,使之以指数倍运算量的速度增长,不断增加系统执行 sql 语句的负荷,直到产生攻击者想要的时间延迟,这就非常的类似于 dos 这个系统
eg:
1 | mysql> SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C; |
3.Get_lock() 加锁机制
1
2get_lock(key,timeout) 一个是key,就是根据这个参数进行加锁的,另一个是等待时间(s)。
如果key是第一次加锁返回1,反之等待时间进行第二次加锁。利用条件比较苛刻,需要使用
1
mysql_pconnect
函数来连接数据库
如果已经开了一个session,对关键字进行了get_lock,那么再开另一个session再次对关键进行get_lock,就会延时我们指定的时间。
此盲注手法有一些限制,就是必须要同时开两个SESSION进行注入
- 4、RLIKE注入
正则DOS,和benchmark相似,利用SQL多次计算正则消耗计算资源产生延时效果
1 | mysql> select * from flag where flag='1' and if(mid(user(),1,1)='s',concat(rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a')) RLIKE '(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+b',1); |
SQL预编译
无法使用sql预编译的情况
1、对于关键词order by来说,如果使用预编译处理,参数绑定为String类型,order by 的参数会被单引号包裹,导致无法排序 // 还有like
2、对于拼接列名、表名的sql语句来说,参数绑定后也会用单引号包裹,故也无法使用预编译处理
3、在prepare绑定参数阶段也能够报错注入
4、某些数据库不支持预编译(如sqllite与低版本mysql),可以使用模拟预编译
原理及方法
以mysql数据库为例:通常情况下,在数据库接收到一条普通的SQL语句后,
首先对其进行语义解析,随后对此条SQL语句进行优化并制定执行计划并执行;
当采用预编译操作时,首先将待执行的SQL语句中的参数值用占位符替代。当带着占位符的SQL语句模板被数据库编译、解析后,再通过向占位符绑定参数进行查询操作。
经过预编译操作之后,无论后续向模板传入什么参数,这些参数仅仅被当成字符串进行查询处理,因此杜绝了sql注入的产生
使用预编译四步走:
1 | 1:定义预编译的sql语句,其中待填入的参数用 `?` 占位。注意,?无关类型,不需要加分号之类。其具体数据类型在下面setXX()时决定。 |
示例代码:
1 | String username = "ye"; |
mybatis预编译
mybatis 中使用 sqlMap 进行 sql 查询时,经常需要动态传递参数,使用#{ }
和 ${ }
来进行动态传参
1 | select * from user where name = "test"; |
但是在动态 SQL 解析阶段,#{ }
和 ${ }
会有不同的表现:
#{ }会解析为一个 JDBC 预编译语句(prepared statement)的参数标记符
1 | eg: |
一个 #{ }
被解析为一个参数占位符 ?
${ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换
1 | select * from user where name = '${name}'; |
预编译之前的 SQL 语句已经不包含变量 name 了${ }
的变量的替换阶段是在动态 SQL 解析阶段,而 #{ }
的变量的替换是在 DBMS 中
Reference
深入理解SQL注入与预编译
K0rz3n师傅:一篇文章带你深入理解 SQL 盲注
SQL注入的有趣姿势
REGEXP注入与LIKE注入学习笔记
mybatis深入理解(一)之 # 与 $ 区别以及 sql 预编译