翻译:https://pentesterlab.com/exercises/from_sqli_to_shell/course
本练习解释如何通过SQL注入访问管理控制台,然后在管理控制台中,解释如何在系统上运行命令。
介绍
本课程详细介绍了在基于PHP的网站中利用SQL注入进行攻击的情况,以及攻击者如何使用SQL注入访问管理页面。
然后,使用此访问权限,攻击者将能够在服务器上执行代码。
攻击分为3个步骤:
1.指纹识别:收集有关web应用程序和使用中的技术的信息。
2.SQL注入的检测和利用:在这一部分中,您将了解SQL注入是如何工作的,以及如何利用它们来检索信息。
3.访问管理页面和代码执行:访问操作系统和运行命令的最后一步。
指纹识别
可以使用多种工具进行指纹识别。首先,通过使用浏览器,可以检测到应用程序是用PHP编写的。
检查HTTP标头
通过使用netcat或telnet连接到web应用程序,可以检索大量信息:
$ telnet vulnerable 80
其中:
- vulnerable是服务器的主机名或IP地址;
- 80是web应用程序使用的TCP端口(80是HTTP的默认值)。
通过发送以下HTTP请求:
GET / HTTP/1.1 Host: vulnerable
只需观察服务器返回的HTTP头,就可以检索有关PHP版本和所用web服务器的信息
HTTP/1.1 200 OK Date: Thu, 24 Nov 2011 04:40:51 GMT Server: Apache/2.2.16 (Debian) X-Powered-By: PHP/5.3.3-7+squeeze3 Vary: Accept-Encoding Content-Length: 1335 Content-Type: text/html
在这里,应用程序仅通过HTTP可用(端口443上没有运行任何内容)。如果应用程序仅通过HTTPs可用,telnet或netcat将无法与服务器通信,则可以使用openssl工具:
$ openssl s_client -connect vulnerable:443
其中:
- vulnerable是服务器的主机名或IP地址;
- 443是web应用程序使用的TCP端口(443是HTTPs的默认值)
使用Burp Suite等应用程序http://portswigger.net/设置为代理可以轻松检索相同的信息:
使用目录拦截器
工具wfuzz(http://www.edge-security.com/wfuzz.php)可以使用蛮力检测web服务器上的目录和页面。可以运行以下命令来检测远程文件和目录:
$ python wfuzz.py -c -z file,wordlist/general/big.txt --hc 404 http://vulnerable/FUZZ
使用以下选项:
-c输出颜色。
-z文件,字列表/常规/大。txt告诉wfuzz使用wordlist/general/big文件。
txt作为字典来强制远程目录的名称。
--如果响应代码为404(未找到页面),hc 404告诉wfuzz忽略响应
http://vulnerable/FUZZ告诉wfuzz用字典中找到的每个值替换URL中的FUZZ一词。
在某些系统上,可能需要用wfuzz替换python wfuzz.py |
Wfuzz还可用于检测服务器上的PHP脚本:
$ python wfuzz.py -z file -f commons.txt --hc 404 http://vulnerable/FUZZ.php
SQL注入的检测与利用
SQL注入检测
SQL简介
为了理解、检测和利用SQL注入,您需要了解结构化查询语言(SQL)。SQL允许开发人员执行以下请求:
- 使用SELECT语句检索信息;
- 使用UPDATE语句更新信息;
- 使用INSERT语句添加新信息;
- 使用DELETE语句删除信息。
更多操作(创建/删除/修改表、数据库或触发器)可用,但不太可能在web应用程序中使用。
网站最常用的查询是SELECT语句,用于从数据库中检索信息。SELECT语句遵循以下语法:
SELECT column1, column2, column3 FROM table1 WHERE column4='string1' AND column5=integer1 AND column6=integer2;
在此查询中,将向数据库提供以下信息:
- SELECT语句指示要执行的操作:检索信息;
- 列列表指示所需的列;
- FROM table1指示从哪些表中提取记录;
- WHERE语句后面的条件用于指示记录应满足的条件。
string1值由一个简单的引号分隔,整数integer1和integer2可以由一个简单的引号(integer2)分隔,也可以直接放入查询中(integer1)。
例如,让我们看看请求是什么:
SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4;
将从下表中检索:
column1 |
column2 |
column3 |
column4 |
column5 |
column6 |
1 |
test |
Paul |
user |
3 |
13 |
2 |
test1 |
Robert |
user |
3 |
4 |
3 |
test33 |
Super |
user |
3 |
4 |
使用前面的查询,将检索以下结果:
umn1 |
column2 |
column3 |
2 |
test1 |
Robert |
3 |
test33 |
Super |
如我们所见,只返回这些值,因为它们是唯一匹配WHERE语句中所有条件的值。
如果您阅读了处理某些数据库的源代码,您经常会看到SELECT * FROM tablename。*是一个通配符,要求数据库返回所有列,避免需要对所有列进行命名。
基于整数的检测
由于会显示错误消息,因此很容易检测到网站中的任何漏洞。可以使用以下任何和所有方法检测SQL注入。
所有这些方法都基于数据库的一般行为,发现和利用SQL注入取决于许多不同的因素,尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个,以确保给定的参数易受攻击。
让我们以一个购物网站为例,在访问URL /cat.php?id=1,您将看到图片article1。下表显示了不同id值的情况:
所有这些方法都基于数据库的一般行为,发现和利用SQL注入取决于许多不同的因素,尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个,以确保给定的参数易受攻击。 |
URL |
Article displayed |
/article.php?id=1 |
Article 1 |
/article.php?id=2 |
Article 2 |
/article.php?id=3 |
Article 3 |
PHP 对应的代码是:
<%? $id = $_GET["id"]; $result= mysql_query("SELECT * FROM articles WHERE id=".$id); $row = mysql_fetch_assoc($result); // ... display of an article from the query result ... ?>
用户提供的值(`$_GET["id]`)直接在SQL请求中回显。例如,访问URL: * `/article.php?id=1`将生成以下请求:'SELECT * FROM articles WHEREid=1` * `/article.php?id=2`将生成以下请求'SELECT * FROM articles WHEREid=2`如果用户尝试访问URL'/article.php?id=2'',将执行以下请求' SELECT * FROM articles WHEREid=2''。但是,由于单引号'',此SQL请求的语法不正确,数据库将抛出错误。例如,MySQL将抛出以下错误消息:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
此错误消息在HTTP响应中可能可见,也可能不可见,具体取决于PHP配置。
URL中提供的值直接在请求中回显,并被视为整数,这允许您请求数据库为您执行基本的数学运算:
- 如果您尝试访问/article.php?id=2-1,将向数据库发送以下请求SELECT * FROM articles WHERE id=2-1,并且由于上一个查询相当于(数据库将自动执行减法),SELECT * FROM articles WHEREid=1因此article1的信息将显示在网页中。
- 如果尝试访问/article.php?id=2-0,将向数据库发送以下请求SELECT * FROM articlesWHERE id=2-0,并且由于上一个查询相当于SELECT * FROM articles WHEREid=2,因此第2条的信息将显示在网页中。
这些属性提供了一种检测SQL注入的好方法
- 如果访问/article.php?id=2-1显示article1和通过/article.php?id=2-0显示article2,减法由数据库执行,您可能已经找到了SQL注入。
- 如果访问/article.php?id=2-1显示article2和通过/article.php?id=2-0也显示了article2,不太可能对整数进行SQL注入,但可以对字符串值进行SQL注入,我们将看到这一点。
- 如果在URL(/article.php?id=1')中添加了引号,则应该会收到一个错误。
即使值是整数(例如categorie.php?id=1),也可以在SQL查询中用作字符串: SELECT * FROM categories where id='1'.。 SQL允许这两种语法,但是在SQL语句中使用字符串要比使用整数慢。 |
字符串检测
正如我们在前面的"SQL简介"中所看到的,SQL查询中的字符串在用作值时放在引号之间(例如"test"):
SELECT id,name FROM users where name='test';
如果网页中存在SQL注入,则注入单个引号将破坏查询语法并生成错误。此外,将一个引号''插入2次将不再中断查询。一般来说,奇数个单引号会引发错误,偶数个单引号不会引发错误。
还可以注释掉查询的结尾,因此在大多数情况下不会出现错误(取决于查询格式)。要注释掉查询的结尾,可以使用'-'。
例如,在测试值中包含注入点的查询:
SELECT id,name FROM users where name='test' and id=3;
将成为:
SELECT id,name FROM users where name='test' -- ' and id=3;
并将被解释为:
SELECT id,name FROM users where name='test'
但是,如果查询遵循以下模式,此测试仍会生成错误:
SELECT id,name FROM users where ( name='test' and id=3 );
因为一旦查询结束被注释掉,右括号就会丢失。显然,您可以尝试使用一个或多个括号来查找不会产生错误的值。
另一种测试方法是使用"and"和"1"="1",这种注入不太可能影响查询,因为它不太可能破坏查询。例如,如果在前面的查询中注入,我们可以看到语法仍然正确:
SELECT id,name FROM users where ( name='test' and '1'='1' and id=3 );
此外,"and"和"1"="1"不太可能影响请求的语义,有无注入的结果可能相同。然后,我们可以将其与使用以下注入生成的页面进行比较,并且"1"="0"不太可能创建错误,但可能会更改查询的语义。
SQL注入不是一门精确的科学,很多事情都会影响测试结果。如果您认为发生了什么事情,请继续进行注入,并尝试找出代码对您的注入所做的操作,以确保它是SQL注入。
SQL注入不是一门精确的科学,很多事情都会影响测试结果。如果您认为发生了什么事情,请继续进行注入,并尝试找出代码对您的注入所做的操作,以确保它是SQL注入。 |
为了找到SQL注入,您需要访问该网站,并在每个页面的所有参数上尝试这些方法。找到SQL注入后,可以转到下一节学习如何利用它。
利用SQL注入
现在,我们在页面中找到了一个SQL注入http://vulnerable/cat.php,为了更进一步,我们需要利用它来检索信息。为此,我们需要了解SQL中可用的UNION关键字。