[大数据] Web安全原理剖析（三）—

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 大数据 -> Web安全原理剖析（三）——Boolean注入攻击 -> 正文阅读

[大数据]Web安全原理剖析（三）——Boolean注入攻击

1.6 Boolean注入攻击

??Boolean注入攻击的测试地址：http://127.0.0.1/sqli/boolean.php?id=1。

??访问该网站时，页面返回yes，如图19所示。

图19　访问id=1时页面的结果

??在URL后添加一个单引号，再次访问，发现返回结果由yes变成no，如图20所示。

图20　访问id=1'时页面的结果

??访问id=1’ and 1=1%23，id=1’ and 1=2%23，发现返回的结果分别是yes和no，更爱ID的值，返现返回的仍然是yes或者no，由此可判断，页面只返回yes或no，而没有返回数据库中的数据，所以此处不可使用Union注入。
??此处可以尝试利用Boolean注入，Boolean注入是指构造SQL判断语句，通过查看页面的返回结果来推测哪些SQL判断条件是成立的，以此获取数据库中的数据。我们先判断数据库名的长度，语句如下所示。

' and length(database())>=1--+

??因为查询语句前面有单引号，所以和源码中的SQL语句拼接后会多出一个单引号，因此需要注释符来注释。
??http请求中+会被替换为空格与–组合成为注释符，空格也可用%20来代替，–%20效果等同。
??由于#是用来指导浏览器动作的，对服务器端完全无用，所以，HTTP请求中不包括#。在第一个#后面出现的任何字符，都会被浏览器解读为位置标识符。这意味着，这些字符都不会被发送到服务器端。所以如果想用#注释符，就要将#转换为%23。
??故上面的语句还可写为：

' and length(database())>=1--%20

或

' and length(database())>=1%23

??1的位置上可以是任意数字，如’ and length(database())>=3–+和’ and length(database())>=4–+，我们可以构造这样的语句，然后观察也免得返回结果，如图21~23所示。

图21　判断数据库库名的长度（1）

图22　判断数据库库名的长度（2）

图23　判断数据库库名的长度（3）

??以上几个语句的意思是，数据库库名的长度大于等于3，结果为yes；数据库库名的唱的大于等于4，结果为no。结合以上几个语句，可以判断出数据库的长度为3。

??接着，使用逐字符判断的方式获取数据库库民。数据库库名的范围一般在a~z、0~9之内，可能还有一些特殊字符，这里的字母不区分大小写。逐字符判断的SQL语句为：

' and substr(database(),1,1)='t'--+

??substr是截取的意思，其意思是截取database()的值，从第一个字符开始，每次只返回一个。

??substr的用法和limit的有区别，需要注意。limit是从0开始排序，而substr是从1开始排序。可以使用Burp的爆破功能爆破每个位置的字符值，如图24所示，爆破结果如图25所示。

图24　利用Burp爆破数据库的库名（1）

图25　利用Burp爆破数据库的库名（2）

??其实还可以使用ASCII码的字符进行查询，t的ASCII码是116，而在MySQL中，ASCII转换的函数为ord()，则逐字符判断的SQL语句应该为如下所示。

' and ord(substr(database(),1,1))=116--+

??从Union注入和Burp的爆破结果中我们知道，数据库名是’test’。

??查询表名、字段名的语句也应粘贴在database()的位置，从Union注入中已经知道数据库’test’的第一个表名是emails，第一个字母应当是e，判断语句如下所示。

' and substr((select table_name from information_schema.tables where table_schema='test' limit 0,1),1,1)='e'--+

??以此类推，就可以查询出所有的表名和字段名，如图27所示，利用Burp爆破的结果如图28所示。

1.7 Boolean注入代码分析

??在Boolean注入页面中程先获取GET参数ID，通过pre_match判断其中是否存在union/sleep/benchmark等危险字符。然后将参数ID拼接到SQL语句，从数据库中查询，如果有结果，则返回yes，否则返回no。当访问该页面时，代码根据数据库查询结果返回yes或no，而不返回数据库中的任何数据，所以页面上智慧显示yes或no，代码如下所示。

<?php
$con=mysqli_connect("localhost","root","root","test");
// 检测连接
if (mysqli_connect_errno())
{
    echo "连接失败: " . mysqli_connect_error();
}

$id = @$_GET['id'];
if(preg_match("/union|sleep|benchmark/i",$id))
{
    exit("no");
}

$sql = "select * from users where `id`='".$id."'";

$result = mysqli_query($con,$sql);

if(!$result)
{
    exit("no");
}

$row = mysqli_fetch_array($result);

if ($row) {
	exit("yes");
}else{
	exit("no");
}
?>

??当访问id=1’ or 1=1%23时，数据库执行的语句为select * from users where ‘id’=‘1’ or 1=1#，由于or 1=1是永真条件，所以此页面可定会返回yes。当访问id=1’ and 1=2%23时，数据库执行的语句为select * from users where ‘id’=‘1’ and 1=2#，由于and1=2是永假条件，所以此时页面肯定会返回no。