渗透攻防 Web 篇 ：深入浅出 SQL 注入

1 背景

京东 SRC (Security Response Center) 收录大量外部白帽子提交的 sql 注入漏洞，漏洞发生的原因多为 sql 语句拼接和 Mybatis 使用不当导致。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

2 手工检测

2.1 前置知识

mysql5.0 以上版本中存在一个重要的系统数据库 information_schema，通过此数据库可访问 mysql 中存在的数据库名、表名、字段名等元数据。information_schema 中有三个表成为了 sql 注入构造的关键。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

1）infromation_schema.columns:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• table_schema 数据库名
• table_name 表名
• column_name 列名

2)information_schema.tables文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• table_schema 数据库名
• table_name 表名

3)information_schema.schemata文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• schema_name 数据库名

SQL 注入常用 SQL 函数文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• length (str) ：返回字符串 str 的长度
• substr (str, pos, len) ：将 str 从 pos 位置开始截取 len 长度的字符进行返回。注意这里的 pos 位置是从 1 开始的，不是数组的 0 开始
• mid (str,pos,len) ：跟上面的一样，截取字符串
• ascii (str) ：返回字符串 str 的最左面字符的 ASCII 代码值
• ord (str) ：将字符或布尔类型转成 ascll 码
• if (a,b,c) ：a 为条件，a 为 true，返回 b，否则返回 c，如 if (1>2,1,0), 返回 0

2.2 注入类型

2.2.1 参数类型分类文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• 整型注入
  例如？id=1，其中 id 为注入点，类型为 int 类型。
• 字符型注入
  例如？id=”1”，其中 id 为注入点，类型为字符型，要考虑闭合后端 sql 语句中的引号。

2.2.2 注入方式分类文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• 盲注
• • 布尔盲注：只能从应用返回中推断语句执行后的布尔值。
• • 时间盲注：应用没有明确的回显，只能使用特定的时间函数来判断，例如 sleep，benchmark 等。
• 报错注入：应用会显示全部或者部分的报错信息
• 堆叠注入：有的应用可以加入；后一次执行多条语句
• 其他

2.3 手动检测步骤 (字符型注入为例）

// sqli vuln code
Statement statement = con.createStatement();
String sql = "select * from users where username = '" + username + "'";
logger.info(sql);
ResultSet rs = statement.executeQuery(sql);
// fix code 如果要使用原始jdbc，请采用预编译执行
String sql = "select * from users where username = ?";
PreparedStatement st = con.prepareStatement(sql);

使用未预编译原始 jdbc 作为 demo，注意此 demo 中 sql 语句参数采用单引号闭合。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

2.3.1 确定注入点文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

对于字符类型注入，通常先尝试单引号，判断单引号是否被拼接到 SQL 语句中。推荐使用浏览器扩展 harkbar 作为手工测试工具。https://chrome.google.com/webstore/detail/hackbar/ginpbkfigcoaokgflihfhhmglmbchinc文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

正常页面应该显示如下：文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

admin 后加单引号导致无信息回显，原因是后端 sql 执行报错，说明引号被拼接至 SQL 语句中文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

select * from users where username = 'admin' #正常sql
select * from users where username = 'admin'' #admin'被带入sql执行导致报错无法显示信息

2.3.2 判断字段数文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

mysql 中使用 order by 进行排序，不仅可以是字段名也可以是字段序号。所以可以用来判断表中字段数，order by 超过字段个数的数字就会报错。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

判断字段数文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

当 order by 超过 4 时会报错，所以此表共四个字段。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

后端所执行的 sql 语句文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

select * from users where username = 'admin' order by 1-- '

此处我们将原本 username 的值 admin 替换为 admin’ order by 1 —+，其中 admin 后的单引号用于闭合原本 sql 语句中的前引号，—+ 用于注释 sql 语句中的后引号。— 后的 + 号主要作用是提供一个空格，sql 语句单行注释后需有空格，+ 会被解码为空格。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

2.3.3 确定回显位置文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

主要用于定位后端 sql 字段在前端显示的位置，采用联合查询的方式确定。注意联合查询前后字段需一致，这也就是我们为什么做第二步的原因。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

通过下图可知，后端查询并回显的字段位置为 2，3 位。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

联合查询后的字段可以随意，本次采用的是数字 1 到 4 直观方便。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

2.3.4 利用 information_schema 库实现注入文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

group_concat () 函数用于将查询结果拼接为字符串。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• 查看存在数据库

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• 查看当前数据库中的表

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• 查看指定表中字段

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

• 利用以上获取信息读取 users 表中 username 和 password

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

3 自动化检测

3.1 sqlmap 使用

sqlmap 兼容 python2 和 python3，可以自动化检测各类注入和几乎所有数据库类型。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

3.1.1 常用命令文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

-u 可能存在注入的url链接
-r读取http数据包
--data 指定post数据
--cookie 指定cookie
--headers 指定http头 如采用token认证的情况下
--threads 指定线程数
--dbms 指定后端的数据库
--os 指定后端的操作系统类型
--current-user 当前用户
--users 所有用户
--is-dba 是否是dba
--sql-shell 交互式的sqlshell
-p指定可能存在注入点的参数
--dbs 穷举系统存在的数据库
-D指定数据库
--tables 穷举存在的表
-T指定表
--column 穷举字段
-C指定字段
--dump dump数据

直接检测
其中 —cookie 用于指定 cookie，—batch 自动化执行，—dbms 指定数据库类型文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

检测结果文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

读取系统中存在数据库
—dbs 读取当前用户下的数据库文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

读取指定库下的表
-D java_sec_code —tables文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

dump users 表数据
-D java_sec_code -T users —dump文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

4 进阶

4.1 Mybatis 注入文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

1）$ 错误使用导致注入文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

//采用#不会导致sql注入,mybatis会使用预编译执行
@Select("select * from users where username = #{username}")
User findByUserName(@Param("username") String username);
//采用$作为入参可导致sql注入
@Select("select * from users where username = '${username}'")
List<User> findByUserNameVuln01(@Param("username") String username);

2）模糊查询拼接文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

//错误写法
<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
select * from users where username like '%${_parameter}%'
</select>

//正确写法
<select id="findByUserNameVuln02" parameterType="String" resultMap="User">
select * from users where username like concat(‘%’,#{_parameter}, ‘%’)
</select>

3）order by 注入文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

order by 后若使用 #{} 会导致报错，因为 #{} 默认添加引号会导致找不到字段从而报错。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

//错误写法
<select id="findByUserNameVuln03" parameterType="String" resultMap="User">
select * from users
<if test="order != null">
order by ${order} asc
</if>
</select>
//正确写法 id指字段id 此表字段共四个 所以id为1-4
<select id="OrderByUsername" resultMap="User">
select * from users order by id asc limit 1
</select>

以上测试均在本地进行，请勿未授权进行渗透测试文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

5 文章及资料推荐

slqmap 手册：https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/Users-manual/Introduction.html
sql 注入详解：http://sqlwiki.radare.cn/#/文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html

作者：罗宇（物流安全小分队）文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/27443.html