Недавно мой сайт был взломан через SQL-инъекцию. Хакер использовал следующий запрос чтобы получить имя моей БД. Я не могу понять этот запрос, который они написали.
Query:
=-999.9%20UNION%20ALL%20SELECT%20concat(0x7e,0x27,Hex(cast(database()%20as%20char)),0x27,0x7e),0x31303235343830303536,0x31303235343830303536,0x31303235343830303536--
После запуска запроса он показал целочисленный результат, что-то вроде "74545883".
Можете ли вы объяснить, как работает запрос?
Похоже на переполнение атаки. Они UNION -ed с вашим существующим запросом. заменяя все ваши %20 на (пробел), поскольку его url-закодированные выходы:
=-999.9 UNION ALL SELECT CONCAT(0x7e,0x27,Hex(cast(database() as char)),0x27,0x7e),0x31303235343830303536,0x31303235343830303536,0x31303235343830303536-
сломайте его:
=-999.9 просто заканчивает ваш текущий запрос0x31303235343830303536 NULL - они просто соответствуют количеству столбцов в вашем существующем запросе. Если у вас SELECT * FROM users и users было 4 столбца, UNION также должен иметь 4 столбца. В результате они просто использовали значения NULL для заполнения этих столбцов.CONCAT(). Они объединяют 126, 39, имя базы данных как шестнадцатеричное значение, 39 и 126-- - комментарий mysql - он игнорирует остальную часть вашего запроса послеСудя по этой атаке, я подозреваю, что вы не вставляете ввод в mysql_real_escape_string(), что позволяет атаковать, чтобы выпрыгнуть из вашего запроса и выполнить свои собственные.
Подробнее см. owasp.org.
Это не полный запрос, на самом деле человек ввел эту строку в ваше веб-приложение.
Теперь, сначала замените %20 пробелом в объединенной части, вы получите:
SELECT concat(0x7e,0x27,Hex(cast(database() as char)),0x27,0x7e),0x31303235343830303536,0x31303235343830303536,0x31303235343830303536--
Кажется, что пользователь поставил строку в каком-то месте, где вы ожидали числа. Итак, вы видите, что сначала есть число (999.9), чтобы выполнить исходное условие запроса. Затем добавляется часть UNION. Наконец, после части UNION символы комментария добавляются (-), так что остальная часть запроса (который может быть добавлена вашей системой) обходит.
Мы можем отформатировать код для лучшего понимания:
SELECT
concat
(
0x7e,
0x27,
Hex(cast(database() as char)),
0x27,
0x7e
),
0x31303235343830303536,
0x31303235343830303536,
0x31303235343830303536
Теперь подстрока первого столбца результата будет содержать шестнадцатеричную кодировку формы вашего имени базы данных. Фактически, он должен быть окружен одинарными кавычками (0x27), а затем снова окружен ~ (0x7e)
Запрос возвратил имя базы данных с помощью DATABASE(), затем преобразовал это значение в шестнадцатеричное значение, используя HEx().
Как только у них это получилось, они могут использовать UNHEX функцию
Посмотрите примеры UNHEX
mysql> SELECT UNHEX('4D7953514C');
-> 'MySQL'
mysql> SELECT 0x4D7953514C;
-> 'MySQL'
mysql> SELECT UNHEX(HEX('string'));
-> 'string'
mysql> SELECT HEX(UNHEX('1267'));
-> '1267'
Хорошо знать, как они вошли, но в целом вам нужно исправить свой код, чтобы избежать SQL Injection.
-999.9 UNION ALL SELECT
CONCAT('Hex(cast(database() as char))'),
0x31303235343830303536,
0x31303235343830303536,
0x31303235343830303536
Я думаю, что у вас должны быть другие записи в вашем журнале, если бы он не знал, что у вас есть 3 столбца.
Это пример инъекции с использованием Havij
0x7e и 0x27 соответствуют ~ и ', которые будут использоваться для отображения HTML-дисплея
такие как
ID = 999999,9 + объединение + все + выбрать + 0x31303235343830303536, (выбрать + CONCAT (0x7E, 0x27, unhex (Hex (литой (sample_tbl.name + как + char))), 0x27,0x7e) + с + test.sample_tbl + Заказ + по + ид + предел + 0,1) + -
Этот запрос отобразит ~ 'Alfred' ~, который является значением поля имени столбца, из таблицы sample_tbl в тесте таблицы
~ 'r3dm0v3_hvj_injection' ~ - это код подписи Havij unhex 0x7233646D3076335F68766A5F696E6A656374696F6E в соответствии с http://www.string-functions.com/hex-string.aspx
Во-первых, запрос выглядит так, как он закодирован в HTML. Замените %20 пробелами, и он станет немного более читаемым. Также они преобразуют часть запроса в шестнадцатеричное представление чего-то. Попробуйте шестнадцатеричное декодирование этой части инструкции.
При попытке создать SQL динамически как строку, а затем отправить ее в СУБД, возникает риск инъекции SQL. Представьте, что такая строка хранится в вашей системе для использования в строке поиска и т.д.:
SELECT * FROM SOME_TABLE WHERE SOME_COLUMN=
Чтобы завершить запрос и включить атаку, им нужно будет сделать свой ввод следующим образом:
'x' or 1=1
В этом случае запрос будет выглядеть следующим образом:
SELECT * FROM SOME_TABLE WHERE SOME_COLUMN='x' or 1=1
SOME_COLUMN может быть любой переменной, неважно, где она терпит неудачу. Дело в том, что 1=1 является ALWAYS true, тем самым потенциально дает злоумышленнику доступ к каждой строке в этой таблице.
Теперь, когда вы знаете об этом, просмотрите свой код и замените каждый динамически созданный запрос на подготовленные заявления. На сайте OWASP есть много ресурсов для защитного кодирования:
Да, у него есть шестиугольная форма вашего имени базы данных, которое вы называете "74545883". По Unhexing он получил бы настоящее имя базы данных.