當前位置:九游会j9娱乐平台-九游ag登录中心网址 » 編程語言 » sql注入and過濾

sql注入and過濾-九游会j9娱乐平台

發布時間: 2024-11-11 10:32:42

1. 針對sql注入攻擊,有哪些防範措施

sql注入攻擊的危害很大,而且防火牆很難對攻擊行為進行攔截,主要的sql注入攻擊防範方法,具體有以下幾個方面。
1、分級管理
對用戶進行分級管理,嚴格控制用戶的許可權,對於普通用戶,禁止給予資料庫建立、刪除、修改等相關許可權,只有系統管理員才具有增、刪、改、查的許可權。
2、參數傳值
程序員在書寫sql語言時,禁止將變數直接寫入到sql語句,必須通過設置相應的參數來傳遞相關的變數。從而抑制sql注入。數據輸入不能直接嵌入到查詢語句中。同時要過濾輸入的內容,過濾掉不安全的輸入數據。或者採用參數傳值的方式傳遞輸入變數,這樣可以最大程度防範sql注入攻擊。
3、基礎過濾與二次過濾
sql注入攻擊前,入侵者通過修改參數提交and等特殊字元,判斷是否存在漏洞,然後通過select、update等各種字元編寫sql注入語句。因此防範sql注入要對用戶輸入進行檢查,確保數據輸入的安全性,在具體檢查輸入或提交的變數時,對於單引號、雙引號、冒號等字元進行轉換或者過濾,從而有效防止sql注入。
當然危險字元有很多,在獲取用戶輸入提交參數時,首先要進行基礎過濾,然後根據程序的功能及用戶輸入的可能性進行二次過濾,以確保系統的安全性。
4、使用安全參數
sql資料庫為了有效抑制sql注入攻擊的影響。在進行sqlserver資料庫設計時設置了專門的sql安全參數。在程序編寫時應盡量使用安全參數來杜絕注入式攻擊,從而確保系統的安全性。
5、漏洞掃描
為了更有效地防範sql注入攻擊,作為系統管理除了設置有效的防範措施,更應該及時發現系統存在sql攻擊安全漏洞。系統管理員可以采購一些sql漏洞掃描工具,通過專業的掃描工具,可以及時的掃描到系統存在的相應漏洞。
6、多層驗證
現在的網站系統功能越來越龐大復雜。為確保系統的安全,訪問者的數據輸入必須經過嚴格的驗證才能進入系統,驗證沒通過的輸入直接被拒絕訪問資料庫,並且向上層系統發出錯誤提示信息。同時在客戶端訪問程序中驗證訪問者的相關輸入信息,從而更有效的防止簡單的sql注入。但是如果多層驗證中的下層如果驗證數據通過,那麼繞過客戶端的攻擊者就能夠隨意訪問系統。因此在進行多層驗證時,要每個層次相互配合,只有在客戶端和系統端都進行有效的驗證防護,才能更好地防範sql注入攻擊。
7、資料庫信息加密
傳統的加解密方法大致分為三種:對稱加密、非對稱加密、不可逆加密。

2. 部分sql注入總結

本人ctf選手一名,在最近做練習時遇到了一些sql注入的題目,但是sql注入一直是我的弱項之一,所以寫一篇總結記錄一下最近學到的一些sql注入漏洞的利用。

在可以聯合查詢的題目中,一般會將資料庫查詢的數據回顯到首頁面中,這是聯合注入的前提。

適用於有回顯同時資料庫軟體版本是5.0以上的mysql資料庫,因為mysql會有一個系統資料庫information_schema, information_schema 用於存儲資料庫元數據(關於數據的數據),例如資料庫名、表名、列的數據類型、訪問許可權等

聯合注入的過程:

判斷注入點可以用and 1=1/and 1=2用於判斷注入點

當注入類型為數字型時返回頁面會不同,但都能正常執行。

sql注入通常為數字型注入和字元型注入:

1、數字型注入

數字型語句:

在這種情況下直接使用and 1=1/and 1=2是都可以正常執行的但是返回的界面是不一樣的

2、字元型注入

字元型語句:

字元型語句輸入我們的輸入會被一對單引號或這雙引號閉合起來。

所以如果我們同樣輸入and 1=1/and 1=2會發現回顯畫面是並無不同的。

在我們傳入and 1=1/and 1=2時語句變為

傳入的東西變成了字元串並不會被當做命令。

所以字元型的測試方法最簡單的就是加上單引號 ' ,出現報錯。

加上注釋符--後正常回顯界面。

這里還有的點就是sql語句的閉合也是有時候不同的,下面是一些常見的

這一步可以用到order by函數,order by 函數是對mysql中查詢結果按照指定欄位名進行排序,除了指定字 段名還可以指定欄位的欄位進行排序,第一個查詢欄位為1,第二個為2,依次類推,所以可以利用order by就可以判斷列數。

以字元型注入為例:

在列數存在時會正常回顯

但是列數不存在時就會報錯

這步就說明了為什麼是聯合注入了,用到了union,union的作用是將兩個select查詢結果合並

但是程序在展示數據的時候通常只會取結果集的第一行數據,這就讓聯合注入有了利用的點。

當我們查詢的第一行是不存在的時候就會回顯第二行給我們。

講查詢的數據置為-1,那第一行的數據為空,第二行自然就變為了第一行

在這個基礎上進行注入

可以發現2,3都為可以利用的顯示點。

和前面一樣利用union select,加上group_concat()一次性顯示。

現在非常多的web程序沒有正常的錯誤回顯,這樣就需要我們利用報錯注入的方式來進行sql注入了

報錯注入的利用步驟和聯合注入一致,只是利用函數不同。

以updatexml為例。

updatexml(xml_target, xpath_expr, new_xml)

xml_target: 需要操作的xml片段

xpath_expr: 需要更新的xml路徑(xpath格式)

new_xml: 更新後的內容

此函數用來更新選定xml片段的內容,將xml標記的給定片段的單個部分替換為 xml_target 新的xml片段 new_xml ,然後返回更改的xml。xml_target替換的部分 與xpath_expr 用戶提供的xpath表達式匹配。

這個函數當xpath路徑錯誤時就會報錯,而且會將路徑內容返回,這就能在報錯內容中看到我們想要的內容。

而且以~開頭的內容不是xml格式的語法,那就可以用concat函數拼接~使其報錯,當然只要是不符合格式的都可以使其報錯。

[極客大挑戰 2019]hardsql

登錄界面嘗試注入,測試後發現是單引號字元型注入,且對union和空格進行了過濾,不能用到聯合注入,但是有錯誤信息回顯,說明可以使用報錯注入。

利用updatexml函數的報錯原理進行注入在路徑處利用concat函數拼接~和我們的注入語句

發現xpath錯誤並執行sql語句將錯誤返回。

在進行爆表這一步發現了等號也被過濾,但是可以用到like代替等號。

爆欄位

爆數據

這里就出現了問題flag是不完整的,因為updatexml能查詢字元串的最大長度為32,所以這里要用到left函數和right函數進行讀取

報錯注入有很多函數可以用不止updatexml一種,以下三種也是常用函數:

堆疊注入就是多條語句一同執行。

原理就是mysql_multi_query() 支持多條sql語句同時執行,用;分隔,成堆的執行sql語句。

比如

在許可權足夠的情況下甚至可以對資料庫進行增刪改查。但是堆疊注入的限制是很大的。但是與union聯合執行不同的是它可以同時執行無數條語句而且是任何sql語句。而union執行的語句是有限的。

[強網杯 2019]隨便注

判斷完注入類型後嘗試聯合注入,發現select被過濾,且正則不區分大小寫過濾。

那麼就用堆疊注入,使用show就可以不用select了。

接下去獲取表信息和欄位信息

那一串數字十分可疑大概率flag就在裡面,查看一下

這里的表名要加上反單引號,是資料庫的引用符。

發現flag,但是沒辦法直接讀取。再讀取words,發現裡面有個id欄位,猜測資料庫語句為

結合1'or 1=1#可以讀取全部數據可以利用改名的方法把修改1919810931114514為words,flag修改為id,就可以把flag讀取了。

最終payload:

盲注需要掌握的幾個函數

在網頁屏蔽了錯誤信息時就只能通過網頁返回true或者false判斷,本質上是一種暴力破解,這就是布爾盲注的利用點。

首先,判斷注入點和注入類型是一樣的。

但是盲注沒有判斷列數這一步和判斷顯示位這兩步,這是和可回顯注入的不同。

判斷完注入類型後就要判斷資料庫的長度,這里就用到了length函數。

以[wustctf2020]顏值成績查詢為例

輸入參數後,發現url處有個get傳入的stunum

然後用到length函數測試是否有注入點。

發現頁面有明顯變化

將傳入變為

頁面回顯此學生不存在

那麼就可以得出資料庫名長度為3

測試發現過濾了空格

然後就是要查資料庫名了,這里有兩種方法

一、只用substr函數,直接對比

這種方法在寫腳本時可以用於直接遍歷。

二、加上ascii函數

這個payload在寫腳本時直接遍歷同樣可以,也可用於二分法查找,二分法速度更快。

接下來的步驟就和聯合注入一樣,只不過使用substr函數一個一個截取字元逐個判斷。但是這種盲注手工一個一個注十分麻煩所以要用到腳本。

直接遍歷腳本

二分法腳本

時間盲注用於代碼存在sql注入漏洞,然而頁面既不會回顯數據,也不會回顯錯誤信息

語句執行後也不提示真假,我們不能通過頁面的內容來判斷

所以有布爾盲注就必有時間盲注,但有時間盲注不一定有布爾盲注

時間盲注主要是利用sleep函數讓網頁的響應時間不同從而實現注入。

sql-lab-less8:

無論輸入什麼都只會回顯一個you are in...,這就是時間盲注的特點。

當正常輸入?id=1時時間為11毫秒

判斷為單引號字元型注入後,插入sleep語句

明顯發現響應時間為3053毫秒。

利用時間的不同就可以利用腳本跑出資料庫,後續步驟和布爾盲注一致。

爆庫

爆表

爆欄位

腳本

在進行sql注入時,發現union,and,or被完全過濾掉了,就可以考慮使用異或注入

什麼是異或呢

異或是一種邏輯運算,運演算法則簡言之就是:兩個條件相同(同真或同假)即為假(0),兩個條件不同即為真(1),null與任何條件做異或運算都為null,如果從數學的角度理解就是,空集與任何集合的交集都為空

即 1^1=0,0^0=0,1^0=1

利用這個原理可以在union,and,or都被過濾的情況下實現注入

[極客大挑戰 2019]finalsql

給了五個選項但是都沒什麼用,在點擊後都會在url處出現?id。

而且union,and,or都被過濾

測試發現?id=1^1會報錯

但是?id=1^0會返回?id=1的頁面,這就是前面說的原理,當1^0時是等於1的所以返回?id=1的頁面。

根據原理寫出payload,進而寫出腳本。

爆庫

爆表

爆欄位

據此可以寫出基於異或的布爾盲注腳本

實驗推薦:課程:sql注入初級(合天網安實驗室)

3. sql注入 當or、and等常用字元被過濾(less-25)

當常用字元被注釋無法使用時,通常採取以下方法(可自行搜索sql注入繞開過濾等):

如:or、or、or等

如:通過hex、urlencode、url等編碼
舉例:如果or被過濾時,我們可以採用url編碼(其相當於把ascii編碼的0x給替換成%,比如o的ascii為0x6f,url編碼就是o),這個時候我們可以試試or,即把o換成url編碼,也可以全換,也可以大小寫的換,如果沒被過濾就成功了,(如果%被過濾了的話…)
【註:這個可以積極的去使用,比如測試時and被注釋,使用&&替換也失敗,這個時候不妨試試&&(&的url編碼)】

如: /* */ (這個不止可以應對字母被注釋)
舉例:某個過濾器能夠過濾的字元如下——「select 」、」from 」、」limit 」等,注意這些字元最後面都有一個空格,這個時候我們就能通過內聯注釋來繞過這個過濾器,如:

【註:這個注釋甚至可以穿插在關鍵字當中,例如被過濾了or,我們可以把 order by 改成 o/**/rder by ,參考的資料上是這么說,但本人試了沒成功,不知是否依舊實用】

比如or被過濾了,我們可以往裡面加or,即注入:oorr,這個時候裡面的or就被刪去了,剩下的組成新字元,也就是or,是個很好用的繞過方法,像這種類似的還有很多,需要我們去思考

如:&&、||
舉例:

如盲注時經常用到比較,這時候要是比較符號被注釋了不能用平常的方法了,所以需要用某些函數如 greatest() 【 greatest(n1,n2,n3,...) 函數返回輸入參數(n1,n2,n3,...)的最大值】、least()等,比如語句: select * from users where id=1 and ascii(substr(database(),0,1))>64 就可以替換成 select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64
【註:當or被注釋時,像order by這種含有相關字元的語句也同樣無法使用,這個時候如果改變大小寫也無用時,可以使用上述的內聯注釋 /**/ ,或者用別的編碼形式,如果不行的話,那就只能放棄使用order by,可以嘗試使用group by語句等】

4. sql的注入問題(基本原理)

因為or的優先順序小於and,是屬於倒數的1.2的問題,那麼這段就很好理解了

where 後面的條件關系是
true or (true and false)
那麼只要or前面一直為true ,後面無論是什麼結果sql都將執行
or前面的條件

熱點內容
驅動軟體哪個安卓版好 發布:2024-11-19 10:08:28 瀏覽:703
伺服器一鍵搭建java環境 發布:2024-11-19 10:08:27 瀏覽:729
布丁少兒編程 發布:2024-11-19 09:57:11 瀏覽:98
vb資料庫數組 發布:2024-11-19 09:23:40 瀏覽:828
安卓游戲數據保存在哪裡找 發布:2024-11-19 09:22:02 瀏覽:310
解壓出來的文件亂碼 發布:2024-11-19 09:15:40 瀏覽:940
北航ftp是多少 發布:2024-11-19 09:15:32 瀏覽:822
瀏覽保存密碼如何取消 發布:2024-11-19 09:10:17 瀏覽:90
安卓怎麼關簡訊重復提醒 發布:2024-11-19 09:02:00 瀏覽:636
html與php的區別 發布:2024-11-19 09:00:53 瀏覽:194
网站地图