内容简介:前一段时间安全部门测出某个程序存在sql注入漏洞,在我原来潜意识中一直认为构造危险的 sql 语句是相对较难的,所以没有绷紧神经,总认为就算存在漏洞,也很难被实际攻击,总抱有侥幸心理,但这次事件却给了我很大一个教训。某个程序对 URL id 参数没有做严格的限制,正常的情况下,会这样执行:如果攻击者传递 id 参数是 1 and sleep(5) --,则会构成一条危险的 SQL 语句:
前一段时间安全部门测出某个程序存在 sql 注入漏洞,在我原来潜意识中一直认为构造危险的 sql 语句是相对较难的,所以没有绷紧神经,总认为就算存在漏洞,也很难被实际攻击,总抱有侥幸心理,但这次事件却给了我很大一个教训。
sql 注入如何产生的
某个程序对 URL id 参数没有做严格的限制,正常的情况下,会这样执行:
update table set id= {id} where name= 'login'
如果攻击者传递 id 参数是 1 and sleep(5) --,则会构成一条危险的 SQL 语句:
update table set id= 1 and sleep(5) -- where name= 'login'
开始我倒没太在意(只能说太不敏感了),虽然注入了,但仅仅对我们不重要的一个表进行了全表替换。第二个伤害我认为是 sql 执行 延迟了 5 秒而已。
后来发生的事情(下面会说)才让我 猜测 到这条语句耗时很久,假设 table 表有 10 条记录,那么整个 sql 语句会执行 50 秒,全表锁定了 table 表的 update 操作。
当然这个 sleep 耗时如此之长 是我后面发现的,怎么发现的呢?看下面。
全表锁定
注入发生的第二天,同事说某个功能总是不成功,页面总是超时,我排查了下,发现该功能执行的一个关键 sql (在同一个库)居然 超时报错 了:
update table2set tb=2 where id=3
我在 mysql 终端执行了下 show full processlist
87 |db|ip:port| Query | 93724 | User sleep|update table set id= 1 and sleep(5) -- where name= 'login' |
居然发现 sql 注入语句还在执行,而其他的 update 操作由于 table 表被全表锁定了,一直在等待,积累了很多的 update 操作。
同时执行 show global status:
| Innodb_row_lock_current_waits | 77 |
确实显示 77 个操作被锁了。
立刻反馈给了 DBA 同时,他们执行了 information_schema 库的相关操作:
SELECT r.trx_id waiting_trx_id,r.trx_mysql_thread_id waiting_thread,r.trx_query waiting_query,b.trx_id blocking_trx_id,b.trx_mysql_thread_id blocking_thread,b.trx_query blocking_query FROM innodb_lock_waits w INNER JOIN innodb_trx b ON b.trx_id=w.blocking_trx_id INNER JOIN innodb_trx r ON r.trx_id=w.requesting_trx_id;
也显示被锁定了,立刻在 mysqld 端 kill 了这条语句,服务正常运行了。
这个时候我才意识到 sql 注入的危害比我想象的大多了。
沉思
对于我们开发者来说,知道 sql 注入是危险的,但如何构造危险 sql 可能是很难的,可怕的是现在居然有这样的工具(比如 sqlmap),那么危险的 sql 会产生什么后果:
- 偷窥:导出全表数据
- 破坏:更新、删除记录
sqlmap
sqlmap 是一个渗透测试工具:
sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers.
我完全不会使用该工具,总感觉什么白帽子、红帽子、黑帽子都不是啥好东西...,他们带来好处的同时也带来极大的危害。
同事使用了下这个工具,我在旁边看了一会,感觉功能太强大了,虽然不知道它的实现原理,但很想搞明白,经过同事的测试,发现几个原理:
- 要 完整注入 ,被注入程序必须要打印结果,否则很多 sqlmap 功能(比如导出表结构)会失效。
- information_schema 被极大的利用了,没有特殊需求,要关闭它的操作权限。
- sqlmap 有 session data,比如它将整个库表结构 dump 到 session data。
上面几个原理都是我通过观察 mysql 日志发现的,要开启 mysql 日志,打开 my.cnf :
general_log_file= /var/log/mysql/mysql.log
然后一边运行 sqlmap,一边观察 general_log_file 日志。
接下去讲解 sqlmap 的几个操作:
sqlmap.py-u"http://localhost/test/db.php?id=1" --batch--schema sqlmap.py-u"http://localhost/test/db.php?id=1" --batch--tables
其中让我惊叹它功能强大的是能执行 shell:
sqlmap.py-u"http://localhost/test/db.php?id=1" --batch--sql-shell
实现 shell 原理其实也不复杂,就是它内部又调用了下 db.php,然后将结果输出,本质上并没有啥区别。
本文发表于【2018-12-20】,地址是 https://mp.weixin.qq.com/s/89t2vW--z4ElaKklQwYuCQ ,欢迎大家关注,我的公众号(ID:yudadanwx,虞大胆的叽叽喳喳)
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- Hyperf 2.0 发布!想象的开端!
- 996 的乐趣,你是无法想象的
- HTTP/2推送之难,远超想象
- Linux,没你想象的那么安全! 荐
- ZGC,一个超乎想象的垃圾收集器
- 超越身边 80% 的人,其实没有你想象的那么难
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
数据挖掘导论
Pang-Ning Tan、Michael Steinbach、Vipin Kumar / 范明、范宏建 / 人民邮电出版社 / 2010-12-10 / 69.00元
本书全面介绍了数据挖掘,涵盖了五个主题:数据、分类、关联分析、聚类和异常检测。除异常检测外,每个主题都有两章。前一章涵盖基本概念、代表性算法和评估技术,而后一章讨论高级概念和算法。这样读者在透彻地理解数据挖掘的基础的同时,还能够了解更多重要的高级主题。 本书是明尼苏达大学和密歇根州立大学数据挖掘课程的教材,由于独具特色,正式出版之前就已经被斯坦福大学、得克萨斯大学奥斯汀分校等众多名校采用。 ......一起来看看 《数据挖掘导论》 这本书的介绍吧!
