注:本文出自Gcow安全团队绝影小组成员瞳话
SQL注入经验—利用笛卡尔算积进行大负荷注入
在常见的渗透测试中,我们都知道SQL注入攻击中有联合查询,报错注入,盲注还有DNS注入等等,那么如果一个网站存在基于时间的盲注,而恰好sleep这类核心函数被过滤的话,我们如何绕过进行注入呢,这里就分享一个经验——大负荷注入。
一. 笛卡尔算积
作为一个数学7分的我来说,看到这个数学名词瞬间就不想接着往下研究了,不过还好这个并不是很难,我就简单的讲解一下
看图:
也就是说数字1先去乘以ABC,然后数字2再去乘以ABC,然后数字3再去乘以ABC,是不是感觉很熟悉,其实就是Burp suite里面的Intruder模块的Attack type里面的Clutser bomb攻击方式
二. 大负荷查询
Mysql支持这种运算方式,我们的思路是让Mysql进行笛卡尔算积使其造成大负荷查询达到延时的效果。
既然要用笛卡尔算积就要需要大额的数值来计算,在mysql数据库中都有information_schema这个表,这个表里面的数据还是蛮多的,查询一下数量
然后我们进行笛卡尔积运算,不难发现数值的大小影响了计算的速度,通过采用1个表2个列,或者2个列一个表,等等各种组合找出合适的延时的时间。
这里给出payload
select * from admin where id = 1 and 1 and (SELECT count(*) FROM information_schema.columns A, information_schema.columns B, information_schema.tables C);
你完全可以按照这个规律,从C后面加个逗号,写D,E等等等,想写多少就写多少,但是写的越多查询的速度就会越慢,如果在表或者列数量很少的情况下,可以写的多一点。
到浏览器实践一下,发现确实延迟了
利用这个方法,开始注入就可以
先查询一下当前数据库,这里是为了节约时间和验证
可见是数据库名是test,字母t的Ascii码是116,这里构造payload
发现延迟了5秒,其实这5秒只是数据库进行大负荷的笛卡尔算积
如果Ascii码不对,则会不会产生延迟从而不会回显数据
放在浏览器运行一下
尝试错误的Ascii数值
这里就不多演示爆表名,列名还有数据了,会手工布尔盲注的人应该都懂。
最后附上靶场的源码:
<?php
header("Content-type: text/html; charset=utf-8");
$conn=mysql_connect('localhost', 你的数据库用户名, 你的数据库密码);
mysql_select_db("test",$conn);
$uid=($_GET['id']);
$sql="SELECT * FROM admin where id=$uid";
$result=mysql_query($sql, $conn);
print_r('当前SQL语句: '.$sql.'<br /><hr />结果: ');
print_r(mysql_fetch_row($result));
mysql_close();
?>