注入（一）

[PyxYuYu]

Rules are meant to be broken.

0x01 注入

---

• SQL 注入
  • 通过在用户可控参数中注入 SQL 语法，破坏原有 SQL 结构，达到编写程序时意料之外结果的攻击行为，一个成功的 SQL 注入攻击可以从数据库中获得敏感数据、修改数据库数据、执行数据库管理操作、恢复存在于数据库文件系统中的指定内容，在某些情况下对操作系统发布命令
  • 成因：
  • 程序编写者在处理应用程序和数据库交互时，使用字符串拼接的方式构造 SQL 语句
  • 未对用户可控参数进行足够的过滤便将参数内容拼接进入到 SQL 语句中
  • 攻击方式
  • 可显注入
    • 攻击者可以直接在当前页面内容中获取想要获得的内容（各种数据等）
  • 报错注入
    • 数据库查询返回结果并没有在页面中显示，但是应用程序将数据库报错信息打印到了页面中，所以攻击者可以构造数据库报错语句，从报错信息中获取想要获取的内容
  • 盲注
    • 数据库查询结果无法在页面中显示，攻击者可以通过使用数据库逻辑或使数据库执行延时等方法获取想要获取的内容
  • 修复方案
  • 使用参数检查的方式，拦截带有 SQL 语法的参数传入应用程序
  • 使用预编译的处理方式处理拼接了用户参数的 SQL 语句
  • 在参数即将进入数据库执行之前，对 SQL 语句的定义进行完整性检查，确认语言没有发生变化
  • 在出现 SQL 注入漏洞时，要在出现问题的参数拼接进 SQL 语句前进行过滤或者校验，不要依赖程序最开始处的防护代码
  • 定期审查数据库执行日志，查看是否存在应用程序正常逻辑之外的 SQL 语句执行
• LDAP 注入
  • LDAP 是轻量目录访问协议，它是一种存储关于用户、主机和许多其他对象的信息的规范，支持 TCP/IP，如果一个允许进行 LDAP 查询的机构存在未验证的输入，那么就会存在 LDAP 注入
  • 一个 Web 应用可以使用 LDAP 让用户使用自己的凭证登录或在企业结构内部搜索其他用户信息
  • 成功的 LDAP 注入可以允许攻击者：
  • 访问未批准的内容
  • 逃避应用制约
  • 收集未批准的信息
  • 增加或修改在 LDAP 树结构里面的对象
  • 假设有一个网站允许查询目录服务中的员工的级别：
  • http://www.test.com/employee.asp？user=Jeck
  • 那么如果存在 LDAP 注入的话
  • http://www.test.com/employee.asp？user=* 就会返回所有员工的级别信息
• XML 注入
  • XML 文件的解析依赖 libxml 库，而 libxml 2.9之前的版本默认支持并开启了外部实体的引用，服务端解析用户提交的 xml 文件时未对 xml 文件引用的外部实体（含外部普通实体和外部参数实体）做合适的处理，并且实体的 URL 支持 file:// 和 php:// 等协议，攻击者可以在 xml 文件中声明 URL 指向服务器本地的实体造成攻击，可导致信息泄漏、任意文件读取、DOS 攻击和代码执行等问题
  • 成因：
  • 解析 xml 文件时允许加载外部实体，没有过滤用户提交的参数
  • 攻击案例
  • 漏洞

    <?xml version="1.0" encoding="UTF-8"?>
    <USER role="guest">Attacker's code</USER>

    *PoC

    A</USER><USER role="admin">B

  • 漏洞

    <transaction>
       <totol>6000.00</total>
       <credit_card_number>12345</credit_card_number>//12345可控，覆盖<total>标签
       <expiration>01012000</expiration>
    </transaction>

  • PoC

    12345</credit_card_number><total>1.00</total><credit_card_number>12345