mysql - php中sql查询的注入(inject)攻击

Question

谁能解释一下这个查询的意思？

-999.9 and(select 1 from(select count(*),
 concat((select (select concat(0x7e,0x27,unhex(Hex(cast(database() as char))),0x27,0x7e))
 from `information_schema`.tables limit 0,1),floor(rand(0)*2))x 
 from `information_schema`.tables group by x)a)--

我发现表单中的必填字段由 1 填充，并且电子邮件 ID 是此特定查询的字段。
在表格中，我有姓名、手机号码、电子邮件 ID 和其他详细信息等序列。在电子邮件 ID 之后的任何字段，都填入空白或“空”，在电子邮件 ID 之前，所有字段都填入“1”。

Answer 1

这是一个盲目的SQL注入(inject)。当网站不易受到普通 SQL 注入(inject)攻击时使用。您的站点验证输入数据，可能不正确但足够好，不会让信息通过 SQL 注入(inject)泄漏。

SQL 盲注不尝试直接获取信息；如果发现泄漏，那么首先就不需要盲注。

工作原理:它注入(inject)奇怪的嵌入式查询，如问题中提到的查询，并检查页面的行为。当查询失败时，检查其查询结果的页面会产生不同的内容。它显示错误消息或重定向到某个页面，或者有时不产生任何输出(当查询失败的“处理”类似于“or die()”时)。

SQL 盲注做出一个假设，然后生成并注入(inject)一个要么正确运行要么失败的查询。它检查页面内容以了解注入(inject)的部分是否使查询成功或失败。根据结果​​(成功或失败)，注入(inject)脚本知道它的假设是真还是假，然后它会做出决定并使用不同的假设再次尝试。

我不知道是什么在测试这个注入(inject)片段。由于 group by x 部分，它使查询在我使用的 MySQL 版本上失败。也许它在其他版本(MySQL 4？)上成功了；在这种情况下，它仅用于检测 MySQL 的版本。这与确切版本无关，而是与主要版本有关。主要的 MySQL 版本在这里和那里发生了一些小的变化，攻击者脚本知道正在运行的版本很重要。这样它就知道它可以使用哪些语言功能。如果它没有使用正确的语法，那么它的所有查询都会失败，并且它的目标也无法实现。 :-)

几个月前，我维护的一个遗留网站以类似的方式遭到攻击。我们认为所有输入数据都已正确检查，无法向其中注入(inject)内容。碰巧一个小漏洞仍然存在，有人决定攻击该站点(可能是为了提取电子邮件地址)，他们使用的工具找到了这个漏洞并开始通过它注入(inject)查询。

注入(inject)查询类似于 2 RLIKE (SELECT ...) 其中 ... 代表选择 N ^{名称的复杂查询information_schema 中的 th} 对象(表或列)(使用 LIMIT)，使用函数 MID(name, K, 1)从所选名称中提取第 K^th 个字符，然后将该字符与指定字符进行比较(使用 IF() 或 CASE)最终生成2 或不是有效正则表达式的内容。

每个请求都会根据 ASCII 集中的特定字符检查单个表或字段名称的单个字符。如果检查的字符小于注入(inject)器提供的字符，则注入(inject)部分的计算结果为 2 RLIKE 2 并且查询正常运行。否则它的计算结果为 2 RLIKE ( 并且查询失败。这样，注入(inject)器脚本将它正在测试的字符的潜在值范围分成一半。下一个查询一次又一次地缩小它直到它找到了确切的字符。最多需要 7 个注入(inject)请求才能找到字段表的单个名称的单个字符。

然后它从 K+1 位置的字符开始，依此类推。使用相同的技术但使用不同的查询，脚本首先查找它想要查找的名称的长度。

这个过程很乏味，但这正是发明计算机的首要原因:为人类完成乏味的工作。