从SQL注入到脚本(上)

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 从SQL注入到脚本(上)

翻译:https://pentesterlab.com/exercises/from_sqli_to_shell/course

本练习解释如何通过SQL注入访问管理控制台,然后在管理控制台中,解释如何在系统上运行命令。


介绍


本课程详细介绍了在基于PHP的网站中利用SQL注入进行攻击的情况,以及攻击者如何使用SQL注入访问管理页面。


然后,使用此访问权限,攻击者将能够在服务器上执行代码。

攻击分为3个步骤:

1.指纹识别:收集有关web应用程序和使用中的技术的信息。

2.SQL注入的检测和利用:在这一部分中,您将了解SQL注入是如何工作的,以及如何利用它们来检索信息。

3.访问管理页面和代码执行:访问操作系统和运行命令的最后一步。

指纹识别


可以使用多种工具进行指纹识别。首先,通过使用浏览器,可以检测到应用程序是用PHP编写的。


检查HTTP标头

通过使用netcat或telnet连接到web应用程序,可以检索大量信息:


$ telnet vulnerable 80


其中:

  • vulnerable是服务器的主机名或IP地址;
  • 80是web应用程序使用的TCP端口(80是HTTP的默认值)。


通过发送以下HTTP请求:

GET / HTTP/1.1
Host: vulnerable


只需观察服务器返回的HTTP头,就可以检索有关PHP版本和所用web服务器的信息

HTTP/1.1 200 OK
Date: Thu, 24 Nov 2011 04:40:51 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze3
Vary: Accept-Encoding
Content-Length: 1335
Content-Type: text/html


在这里,应用程序仅通过HTTP可用(端口443上没有运行任何内容)。如果应用程序仅通过HTTPs可用,telnet或netcat将无法与服务器通信,则可以使用openssl工具:


$ openssl s_client -connect vulnerable:443


其中:

  • vulnerable是服务器的主机名或IP地址;
  • 443是web应用程序使用的TCP端口(443是HTTPs的默认值)

使用Burp Suite等应用程序http://portswigger.net/设置为代理可以轻松检索相同的信息:

image.png


使用目录拦截器

工具wfuzz(http://www.edge-security.com/wfuzz.php)可以使用蛮力检测web服务器上的目录和页面。可以运行以下命令来检测远程文件和目录:


$ python wfuzz.py -c -z file,wordlist/general/big.txt --hc 404 http://vulnerable/FUZZ

使用以下选项:


-c输出颜色。

-z文件,字列表/常规/大。txt告诉wfuzz使用wordlist/general/big文件。

txt作为字典来强制远程目录的名称。


--如果响应代码为404(未找到页面),hc 404告诉wfuzz忽略响应

http://vulnerable/FUZZ告诉wfuzz用字典中找到的每个值替换URL中的FUZZ一词。


在某些系统上,可能需要用wfuzz替换python wfuzz.py

Wfuzz还可用于检测服务器上的PHP脚本:


$ python wfuzz.py -z file -f commons.txt --hc 404 http://vulnerable/FUZZ.php


SQL注入的检测与利用


SQL注入检测

SQL简介

为了理解、检测和利用SQL注入,您需要了解结构化查询语言(SQL)。SQL允许开发人员执行以下请求:

  • 使用SELECT语句检索信息;
  • 使用UPDATE语句更新信息;
  • 使用INSERT语句添加新信息;
  • 使用DELETE语句删除信息。

更多操作(创建/删除/修改表、数据库或触发器)可用,但不太可能在web应用程序中使用。

网站最常用的查询是SELECT语句,用于从数据库中检索信息。SELECT语句遵循以下语法:


SELECT column1, column2, column3 FROM table1 WHERE column4='string1'  AND column5=integer1 AND column6=integer2;


在此查询中,将向数据库提供以下信息:

  • SELECT语句指示要执行的操作:检索信息;
  • 列列表指示所需的列;
  • FROM table1指示从哪些表中提取记录;
  • WHERE语句后面的条件用于指示记录应满足的条件。

string1值由一个简单的引号分隔,整数integer1和integer2可以由一个简单的引号(integer2)分隔,也可以直接放入查询中(integer1)。

例如,让我们看看请求是什么:


SELECT column1, column2, column3 FROM table1 WHERE column4='user'  AND column5=3 AND column6=4;


将从下表中检索:


column1

column2

column3

column4

column5

column6

1

test

Paul

user

3

13

2

test1

Robert

user

3

4

3

test33

Super

user

3

4


使用前面的查询,将检索以下结果:


umn1

column2

column3

2

test1

Robert

3

test33

Super


如我们所见,只返回这些值,因为它们是唯一匹配WHERE语句中所有条件的值。

如果您阅读了处理某些数据库的源代码,您经常会看到SELECT * FROM tablename*是一个通配符,要求数据库返回所有列,避免需要对所有列进行命名。

基于整数的检测

由于会显示错误消息,因此很容易检测到网站中的任何漏洞。可以使用以下任何和所有方法检测SQL注入。


所有这些方法都基于数据库的一般行为,发现和利用SQL注入取决于许多不同的因素,尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个,以确保给定的参数易受攻击。


让我们以一个购物网站为例,在访问URL /cat.php?id=1,您将看到图片article1。下表显示了不同id值的情况:


所有这些方法都基于数据库的一般行为,发现和利用SQL注入取决于许多不同的因素,尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个,以确保给定的参数易受攻击。



URL

Article displayed

/article.php?id=1

Article 1

/article.php?id=2

Article 2

/article.php?id=3

Article 3


PHP 对应的代码是:

<%?
       $id = $_GET["id"];
       $result= mysql_query("SELECT * FROM articles WHERE id=".$id);
       $row = mysql_fetch_assoc($result);
       // ... display of an article from the query result ...
?>


用户提供的值(`$_GET["id]`)直接在SQL请求中回显。例如,访问URL: * `/article.php?id=1`将生成以下请求:'SELECT * FROM articles WHEREid=1` * `/article.php?id=2`将生成以下请求'SELECT * FROM articles WHEREid=2`如果用户尝试访问URL'/article.php?id=2'',将执行以下请求' SELECT * FROM articles WHEREid=2''但是,由于单引号'',此SQL请求的语法不正确,数据库将抛出错误。例如,MySQL将抛出以下错误消息:


You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server
version for the right syntax to use near
''' at line 1


此错误消息在HTTP响应中可能可见,也可能不可见,具体取决于PHP配置。


URL中提供的值直接在请求中回显,并被视为整数,这允许您请求数据库为您执行基本的数学运算:

  • 如果您尝试访问/article.php?id=2-1,将向数据库发送以下请求SELECT * FROM articles WHERE id=2-1,并且由于上一个查询相当于(数据库将自动执行减法),SELECT * FROM articles WHEREid=1因此article1的信息将显示在网页中。
  • 如果尝试访问/article.php?id=2-0,将向数据库发送以下请求SELECT * FROM articlesWHERE id=2-0,并且由于上一个查询相当于SELECT * FROM articles WHEREid=2,因此第2条的信息将显示在网页中。
    这些属性提供了一种检测SQL注入的好方法

  • 如果访问/article.php?id=2-1显示article1和通过/article.php?id=2-0显示article2,减法由数据库执行,您可能已经找到了SQL注入。
  • 如果访问/article.php?id=2-1显示article2和通过/article.php?id=2-0也显示了article2,不太可能对整数进行SQL注入,但可以对字符串值进行SQL注入,我们将看到这一点。
  • 如果在URL/article.php?id=1')中添加了引号,则应该会收到一个错误。


即使值是整数(例如categorie.php?id=1),也可以在SQL查询中用作字符串:

SELECT * FROM categories where id='1'.

SQL允许这两种语法,但是在SQL语句中使用字符串要比使用整数慢。


字符串检测

正如我们在前面的"SQL简介"中所看到的,SQL查询中的字符串在用作值时放在引号之间(例如"test"):

SELECT id,name FROM users where name='test';

如果网页中存在SQL注入,则注入单个引号将破坏查询语法并生成错误。此外,将一个引号''插入2次将不再中断查询。一般来说,奇数个单引号会引发错误,偶数个单引号不会引发错误。

还可以注释掉查询的结尾,因此在大多数情况下不会出现错误(取决于查询格式)。要注释掉查询的结尾,可以使用'-'

例如,在测试值中包含注入点的查询:


SELECT id,name FROM users where name='test' and id=3;

将成为:


SELECT id,name FROM users where name='test' -- ' and id=3;

并将被解释为:


SELECT id,name FROM users where name='test'

但是,如果查询遵循以下模式,此测试仍会生成错误:


SELECT id,name FROM users where ( name='test' and id=3 );


因为一旦查询结束被注释掉,右括号就会丢失。显然,您可以尝试使用一个或多个括号来查找不会产生错误的值。


另一种测试方法是使用"and""1"="1",这种注入不太可能影响查询,因为它不太可能破坏查询。例如,如果在前面的查询中注入,我们可以看到语法仍然正确:


SELECT id,name FROM users where ( name='test' and '1'='1' and id=3 );


此外,"and""1"="1"不太可能影响请求的语义,有无注入的结果可能相同。然后,我们可以将其与使用以下注入生成的页面进行比较,并且"1"="0"不太可能创建错误,但可能会更改查询的语义。

SQL注入不是一门精确的科学,很多事情都会影响测试结果。如果您认为发生了什么事情,请继续进行注入,并尝试找出代码对您的注入所做的操作,以确保它是SQL注入。


SQL注入不是一门精确的科学,很多事情都会影响测试结果。如果您认为发生了什么事情,请继续进行注入,并尝试找出代码对您的注入所做的操作,以确保它是SQL注入。


为了找到SQL注入,您需要访问该网站,并在每个页面的所有参数上尝试这些方法。找到SQL注入后,可以转到下一节学习如何利用它。


利用SQL注入

现在,我们在页面中找到了一个SQL注入http://vulnerable/cat.php,为了更进一步,我们需要利用它来检索信息。为此,我们需要了解SQL中可用的UNION关键字。

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
1月前
|
SQL 关系型数据库 MySQL
|
9天前
|
SQL 关系型数据库 MySQL
mysql编写sql脚本:要求表没有主键,但是想查询没有相同值的时候才进行插入
mysql编写sql脚本:要求表没有主键,但是想查询没有相同值的时候才进行插入
20 0
|
2月前
|
SQL 安全 数据库
惊!Python Web安全黑洞大曝光:SQL注入、XSS、CSRF,你中招了吗?
在数字化时代,Web应用的安全性至关重要。许多Python开发者在追求功能时,常忽视SQL注入、XSS和CSRF等安全威胁。本文将深入剖析这些风险并提供最佳实践:使用参数化查询预防SQL注入;通过HTML转义阻止XSS攻击;在表单中加入CSRF令牌增强安全性。遵循这些方法,可有效提升Web应用的安全防护水平,保护用户数据与隐私。安全需持续关注与改进,每个细节都至关重要。
115 5
|
2月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,却也面临着SQL注入、XSS与CSRF等安全威胁。本文将剖析这些常见攻击手段,并提供示例代码,展示如何利用参数化查询、HTML转义及CSRF令牌等技术构建坚固防线,确保Python Web应用的安全性。安全之路永无止境,唯有不断改进方能应对挑战。
61 5
|
2月前
|
SQL 安全 数据安全/隐私保护
Python Web安全大挑战:面对SQL注入、XSS、CSRF,你准备好了吗?
在构建Python Web应用时,安全性至关重要。本文通过三个真实案例,探讨了如何防范SQL注入、XSS和CSRF攻击。首先,通过参数化查询替代字符串拼接,防止SQL注入;其次,利用HTML转义机制,避免XSS攻击;最后,采用CSRF令牌验证,保护用户免受CSRF攻击。这些策略能显著增强应用的安全性,帮助开发者应对复杂的网络威胁。安全是一个持续的过程,需不断学习新知识以抵御不断变化的威胁。
103 1
|
2月前
|
SQL 安全 数据库
Python Web开发者必看!SQL注入、XSS、CSRF全面解析,守护你的网站安全!
在Python Web开发中,构建安全应用至关重要。本文通过问答形式,详细解析了三种常见Web安全威胁——SQL注入、XSS和CSRF,并提供了实用的防御策略及示例代码。针对SQL注入,建议使用参数化查询;对于XSS,需对输出进行HTML编码;而防范CSRF,则应利用CSRF令牌。通过这些措施,帮助开发者有效提升应用安全性,确保网站稳定运行。
46 1
|
2月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,但安全挑战不容小觑。本文剖析Python Web应用中的三大安全威胁:SQL注入、XSS及CSRF,并提供防御策略。通过示例代码展示如何利用参数化查询、HTML转义与CSRF令牌构建安全防线,助您打造更安全的应用。安全是一场持久战,需不断改进优化。
43 3
|
2月前
|
SQL 安全 数据库
从入门到精通:Python Web安全守护指南,SQL注入、XSS、CSRF全防御!
【9月更文挑战第13天】在开发Python Web应用时,安全性至关重要。本文通过问答形式,详细介绍如何防范SQL注入、XSS及CSRF等常见威胁。通过使用参数化查询、HTML转义和CSRF令牌等技术,确保应用安全。附带示例代码,帮助读者从入门到精通Python Web安全。
83 6
|
2月前
|
SQL 安全 JavaScript
告别Web安全小白!Python实战指南:抵御SQL注入、XSS、CSRF的秘密武器!
【9月更文挑战第12天】在Web开发中,安全漏洞如同暗礁,尤其对初学者而言,SQL注入、跨站脚本(XSS)和跨站请求伪造(CSRF)是常见挑战。本文通过实战案例,展示如何利用Python应对这些威胁。首先,通过参数化查询防止SQL注入;其次,借助Jinja2模板引擎自动转义机制抵御XSS攻击;最后,使用Flask-WTF库生成和验证CSRF令牌,确保转账功能安全。掌握这些技巧,助你构建更安全的Web应用。
46 5
|
3月前
|
存储 SQL Go
全网最长的sql server巡检脚本分享(1000行)
全网最长的sql server巡检脚本分享(1000行)
50 1