sql约束攻击

发表于 | 分类于

昨天在做bugku的题的时候遇到一道sql约束攻击的题目,比较简单,但是感觉比较有意思,简单梳理一下。应该昨天发的,看大佬的博客看到一点多,太困了,就今天早上起来整理了一下XD。小假期结束了,要开始复习了orz~
参考大佬的博客:传送门

sql约束攻击的思路:
利用数据库对空格符的特殊处理方式来达到水平越权的目的。

知识背景:

1、字符串比较:在SQL中执行字符串处理时,字符串末尾的空格符将会被删除。换句话说“admin”等同于“admin空格”,对于绝大多数情况来说都是成立的(如WHERE子句中的字符串或INSERT语句中的字符串)例如以下语句的查询结果是一样的:

1
2
SELECT * FROM users WHERE username='admin';
SELECT * FROM users WHERE username='admin ';

当然这种特性有时候也存在异常情况,例如LIKE子句。
PS:对尾部空白符的这种修剪操作,主要是在“字符串比较”时进行的。比较字符串时SQL会在内部使用空格来填充字符串,以便在比较之前使其它们的长度保持一致。因为在数据库中查询就是比较字符串,利用字符串这种比较特性,所以两者查询结果是一样的。

2、INSERT截断:设计一个字段时,SQL都会根据VARCHAR(n)来限制字符串的最大长度。当实际输入的字符串大于最大长度的时候,数据库会对其进行截断。也就是说,如果字符串的长度大于“n”个字符的话,那么仅使用字符串的前“n”个字符。比如特定列的长度约束为“5”个字符,那么在插入字符串“admin空格x”时,实际上只能插入字符串的前5个字符,即“admin”。

利用场景:

1、场景:当我们需要登陆[admin]来获取想要的信息,但我们却不知道admin的密码的时候,我们可以注册[admin空格x] 用我们注册的登陆密码登陆admin,达到目的,注意注册的用户名无数空格后还有字符x,否则注册查询的时候会查重,空格个数要超过数据库的长度限制。

2、代码:

1)注册用户:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
// Checking whether a user with the same username exists
$username = mysql_real_escape_string($_GET['username']);
$password = mysql_real_escape_string($_GET['password']);
$query = "SELECT *
          FROM users
          WHERE username='$username'";
$res = mysql_query($query, $database);
if($res) {
  if(mysql_num_rows($res) > 0) {
    // User exists, exit gracefully
    .
    .
  }
  else {
    // If not, only then insert a new entry
    $query = "INSERT INTO users(username, password)
              VALUES ('$username','$password')";
    .
    .
  }
}

由代码可知,我们注册时会先从数据库查询我们注册的username是否存在,如果存在就会报重,不存在就执行INSERT。我们用[admin空格x]注册,绕过username验证,执行INSERT,因为数据库对字符串长度进行了限制,所以实际插入的前几位,也就是注册的为[admin空格],只要我们的空格足够多,就可以实现。

2)验证登陆:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
$username = mysql_real_escape_string($_GET['username']);
$password = mysql_real_escape_string($_GET['password']);
$query = "SELECT username FROM users
          WHERE username='$username'
              AND password='$password' ";
$res = mysql_query($query, $database);
if($res) {
  if(mysql_num_rows($res) > 0){
      $row = mysql_fetch_assoc($res);
      return $row['username'];
  }
}
return Null;

可见登陆的时候可以利用[admin]和注册[admin空格]的密码来登陆,就可以绕过验证。

利用限制:

当然这种攻击是局限性的需要满足:
1、服务端没有对用户名长度进行限制。如果限制了我们就无法注册[admin空格x]。
2、登陆验证的SQL语句必须是用户名和密码一起验证。如果是验证流程是先根据用户名查找出对应的密码,然后再比对密码的话,那么也不能进行利用。因为当使用admin为用户名来查询密码的话,数据库此时就会返回两条记录,而一般取第一条则是目标用户的记录,那么你传输的密码肯定是和目标用户密码匹配不上的。
3、验证成功后返回的必须是用户传递进来的用户名,而不是从数据库取出的用户名。因为当我们以用户admin和密码登陆时,其实数据库返回的是我们自己的用户信息,而我们的用户名其实是[admin空格],如果此后的业务逻辑以该用户名为准,那么就不能达到越权的目的了。

防御手段:
我们可以利用限制条件来进行防御。

-------------本文结束有错指正哦!-------------