隔壁村翠花都这么学会了SQL注入！屠龙宝刀，点击就送

时间 2020-08-20 标签隔壁村翠花都学会 sql 注入屠龙宝刀点击送

利用"OR 1=1 "找到注入点

最好的黑客用他们的创造力寻找注入漏洞，他们不受漏洞类型的束缚，山人自有妙计。这也就是说黑客把一些看似可有可无的漏洞串联到一块儿组合使用可能就创造了一个威力巨大的漏洞。这篇文章将教给你们更多的注入姿式，以及如何使用这些姿式来打开新世界的大门。

注入漏洞来自于程序制做者在写程序过程当中对于用户输入的内容过滤不当或者没有采起任何过滤措施。为了证实这些类型的漏洞，本文将主要介绍一种很是著名的漏洞类型：SQL注入漏洞。

当一个黑客想要利用这些SQL注入漏洞的话，他就能够注入任意SQL命令来提取数据，读取文件，甚至把它升级成为一个远程执行代码(也就是俗称的REC)。

当你正在对一个项目进行注入测试时，你应该对你的输入内容十分上心，集中精力了解它是怎样使用的，以及你所作的一切在响应过程当中结果是如何被返回的。

可能这样你仍是不可以很好的理解，不要紧咱们如今来看一个例子。如今，在你的脑海中想象出一个网页，在用户交互操做过程当中你须要在某一参数中给定一个数字标识。可是输入时程序并无对输入内容采起限制措施，用户能够随意输入一些数字之外的字符，也就是说你能够用它来提交非数字类型的值,提交后开始密切关注目标服务器的反应。它有没有报错？若是有的话，报错信息会是什么？是否能从中看出架构中的错误，或者它是否显示了对输入参数严格的验证规则，有没有一些比较明显的错误信息能够代表它可能存在注入点，注意检测异常，而且找出它的利用点，尽量多的收集信息，而且尽量多的进行不一样方法的尝试(梦想仍是要有的，万一实现了呢？)，以获取藏在页面代码背后真正有价值的东西，若是没办法立刻成功利用，不要紧，不要着急。挖洞不是打炮，不是一分钟能够解决的事情，记下来，之后再来临幸它。

让咱们来对SQL注入深~入~了解下，来帮助你理解注入漏洞都有什么卵用。为了更好更形象的说明这一律念，如今咱们假设咱们建立了一个项目，并把它命名为“NAME API”，咱们须要一个MYSQ服务器，还有一些主要的PHP脚本文件，这里咱们在数据库中只建立一个表，表名为“Names”，由于一些复杂的缘由，它追踪了某一我的的名字和IP地址。IP地址是保密的,不该该被公布到互联网。应用程序被部署到互联网上,能够访问https://names-api/。表的内容和结构是这样的:

咱们项目中的index.php这个文件的主要代码为：

[PHP] 纯文本查看复制代码

 
           <?php[/align][/align] 
          
           [align=center][align=left] 
           // connect to localhost as root without a password, luckily 3306 is firewalled…[/align][/align] 
          
           [align=center][align=left] 
           $connection 
            = mysql_connect( 
           "localhost" 
           ,  
           "root" 
           ,  
           "" 
           );[/align][/align] 
          
           [align=center][align=left]mysql_select_db( 
           $connection 
           ,  
           "names_api" 
           );[/align][/align] 
          
           [align=center][align=left] 
           // fetch the record from the table, but since the user’s IP address is secret,[/align][/align] 
          
           [align=center][align=left] 
           // lets only select the name - hackers will now never be able to see this![/align][/align] 
          
           [align=center][align=left] 
           $query 
            = mysql_query( 
           "select name from names where id = $_GET['id']" 
           );[/align][/align] 
          
           [align=center][align=left] 
           // make sure the record was found[/align][/align] 
          
           [align=center][align=left] 
           if 
           (mysql_num_rows( 
           $query 
           ) == 1) {[/align][/align] 
          
           [align=center][align=left] 
           $object 
            = mysql_fetch_assoc( 
           $query 
           );[/align][/align] 
          
           [align=center][align=left] 
           // return the name to the user[/align][/align] 
          
           [align=center][align=left] 
           echo 
            $object 
           [ 
           'name' 
           ];[/align][/align] 
          
           [align=center][align=left]}

若是一个用户将要访问https://names-api/?id=1这个地址，这个服务器将会响应'meals'.

发现了吗？若是你看到代码你会以为很简单的。当用户正确的对这个程序进行操做的时候,它会经过id向页面传参。它会查找数据库中的记录,并返回属于这个记录的名字。但若是你想要把id的值做为'and'访问,好比https://site.com/?id =,它将执行的查询语句看起来像这样:

[SQL] 纯文本查看复制代码

1	`select` `name` `from` `names` `where` `id =` `and`

若是您MySQL玩的6的话,你能够猜猜发生了什么:这不是一个正确的SQL查询语句,由于“AND“在SQL中是一个保留关键字。来看一下咱们应该如何验证这里有SQL注入。你们懂得,若是咱们访问https://names-api/?id = 1,返回“meals”这个值。如今,若是你想访问https://names-api/?id = 1 = 1,页面仍然会返回“meals”。执行查询的SQL语句是这样的:

[SQL] 纯文本查看复制代码

1	`select` `name` `from` `names` `where` `id = 1` `and` `1=1`

这个查询语句大概能够这样理解:给我从name列的全部行中找出id=1,且1 = 1的值。这意味着id为1的行返回自1老是等于1,所以能够忽略,这将致使返回的meals”记录。如今,若是你想访问https://names-api/?id = 1 = 0,将执行如下查询:

[SQL] 纯文本查看复制代码

1	`select` `name` `from` `names` `where` `id = 1` `and` `1=0`

你大概能够猜出这是怎么样一个套路。这个查询大体理解:给我从name列的全部行中找出id=1,且1=0的值。让咱们看看最后一部分:1 = 0。这个永远不成立,这意味着永远不会有任何行返回。这就证实了咱们能够改变查询的行为语句。这是个好的发现,但这是异常。让咱们再深刻一点,看看咱们能够从表中提取到保密的IP地址:欢迎了解 UNION ！UNION是SQL中的联合查询语句，给你看这个实例,这是SQL中UNION SELECT查询语句和其结果:

[SQL] 纯文本查看复制代码

1	`select` `id,` `name` `from` `names` `where` `id = 1` `union` `select` `id,` `name` `from` `names` `where` `id = 2`

第一个SQL语句,select id, name from names where id = 1,第一行查询的结果:meals。第二个查询语句,select id, name from names where id = 2, ,第二行的查询结果:fransrosen。

看看咱们从:https://names-api/?id=1+union+select+name+from+names+where+id=2 这个连接中怎样利用这个UNION SELECT来注入。在上面所示的SQL语句请求这个页面结果这段和结果在2行。然而,因为代码只取第一行,返回“meals”。让咱们作一个小变更 : 不让他第一个查询id = 1的结果，二是让它查询一个并不存在的数据。请求 https://named-api/?id=-1+union+select+name+from_names+where+id=2将会返回" fransrosen"，由于查询的第一部分不会产生任何结果，如今还不算太糟，由于咱们能够在表中选择其余能够访问的记录。然而,这里有一个有趣的部分:您可使用子查询语句来从表中提取加密数据，假设咱们构造这个连接 https://named-api/?id=-1+union+select+0,(select+ip_address+from+names+where+id=1)，它将会执行的SQL语句像这样：

[SQL] 纯文本查看复制代码

1	`select` `id,` `name` `from` `names` `where` `id = -1` `union` `select` `0,(` `select` `ip_address` `from` `names` `where` `id=1)`

子查询语句将返回一个ID设置为0的non-persisting记录,和这个列名设置为子查询的结果(从name选择ip_address ID = 1)——将包含储存在数据库中的隐藏IP地址。抓取的URL返回的结果在“1.3.3.7”服务器。

在互联网上有一些很棒的资源进一步解释如何利用SQL注入。看看这篇文章https://www.exploit-db.com/papers/14635/，来学习如何编写文件到磁盘,这可能致使一个远程代码执行。须要一个备忘单吗? 看看这篇文章 http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-cheat-sheet。有不少的技巧,您可使用它们来利用SQL注入。例如,一个不错的小技巧将SQL注入到一个跨站点脚本(XSS):看看这个 https://named-site/?id=-1+union+select+0,0x3c7363726970743e616c657274282748656c6c6f20776f726c642127293b3c2f7363726970743e。它是由你来发现这段代码执行的JavaScript警告函数与一个消息。须要一个提示吗?读这篇文章https://en.wikipedia.org/wiki/Hexadecimal 。好运！去跑，去跳，去作一个漂亮的倒挂金钩！

有关于注入类的漏洞,是在这个很是厉害的Javascript通用注入的例子中Slack Mac OS X protocol handler 发现的。当用户点击一个特别的连接的时候，这个漏洞容许攻击者执行任意Javascript。这是个什么概念呢，攻击者能够代替用户执行Javascript和操做一系列行为。这是一个很好的例子,由于注入是很常见的,但他们都是在某个地方,等待人们去发现它们。

下次，也许就是今天晚点时候，当你进行黑客入侵活动时，记得必定要有创意，而且在了解应用程序的时候尝试寻找注入漏洞。集中精神关注和预测服务器将如何响应。啥时候你感受“就是这个feel，有戏！”的时候记得在漏洞报告以前验证利用点。若是你不能证实漏洞存在的话，回过头来看看。若是你正在如饥似渴的寻找各类优秀的教程及文章的话，来这里看看 https://hackerone.com/blog/how-bug-bounty-reports-work

本文来源；http://bbs.ichunqiu.com/thread-9912-1-1.html?from=csdn-shan