介绍
本文重点讲述采用模糊测试的方法测试目标Web应用程序时,可利用的前缀和后缀语法。
句法
后缀语法- 字母字符+特殊字符(Suffix Syntax – AlphabeticsSpecialcharacters)指字母字符后加特殊字符。因其以特殊字符结尾,故而称之为后缀。
例如:jonnybravo' (此处jonnybravo是一个字符串,而'是一个特殊字符。)
前缀语法-特殊字符+ 字母字符(Prefix Syntax – SpecialcharactersAlphabetics)指特殊字符后跟字母字符。因其把特殊字符放在开始,故而称之为前缀。
例如:‘jonnybravo (此处‘是一个特殊字符,而jonnybravo是一个字符串)
分析
此处以一个后缀的例子做演示,验证并观察其结果。下图显示了在用户名处输入后缀语法的字符串jonnybravo'的结果。
输入字符串jonnybravo’
GET /chintan/index.php?page=user-info.php&username=jonnybravo%27&password=&user-info-php-submit-button=View+Account+Details HTTP/1.1
Host: localhostUser-Agent: Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: http://localhost/chintan/index.php?page=user-info.phpCookie: showhints=0; PHPSESSID=39hb01vtdib9sov8rmmfok7kn2Connection: keep-alive
URL中特殊字符的编码
输入该字符串后,截取该请求,可知浏览器将此输入作为URL的特定格式进行编码解析。所以特殊字符“'”转义为“%27”,然后通过浏览器发送到服务器。
以下列出了URL中特殊符号及对应的十六进制编码(编码的格式为:%加字符的ASCII码,即一个百分号%,后面跟对应字符的ASCII(16进制)码值):
! -21%
@-40%
# -23%
$-24%
^- %5E
& - %26
*- %2A
( -28%
) -29%
{- %7B
}- %7D
-2D%
+-2B
[- %5B
】 -5D%
;- %3B
: - %3A
- %5C
|- %7C
, - %2C
<- %3C
。 - %2E
>- %3E
/- %2F
? - %3F
转发以上的GET请求,得到一个错误页面,提示用户名是不合法的,如下图所示:
首先从上面的错误页面可以看出在消息框中的jonnybravo'是我们输入的字符串。然后分析显示在消息框中的SQL查询语句。该查询如下所示:
Query: SELECT username FROM accountsWHERE username=’jonnybravo”;
通过查看这个SQL查询语句,会立刻知道需要一个后缀和前缀以完成查询语句本身。通过以下这个格式的查询语句来说明这个问题:
Query: SELECTusername FROM accounts WHERE username=’jonnybravo”;
这里后缀'结尾该SQL语句,故而一旦输入jonnybravo',那么该语法中的后缀'和jonnybravo之前的 ‘组合起来已经完成了查询语法。可以清楚地看到在开始和结束的特殊字符'是由服务器查询语法提供的,但此处输入字符中增加的一个'完成了该语句查询,在执行查询时剩余的一个‘导致产出错误。因为有一个未用的'字符,这不符合SQL查询语法的规则。简而言之,输入字符中jonnybravo的后缀和服务器提供的前缀配对完成了查询语句,而服务器提供的后缀未被采用故而导致了SQL语法错误。
“如果不能正常关闭,那么无论什么输入,它永远不会正常完成,你会得到一个错误页面。”
这是唯一的用户名查询页面,所以可能会尝试通过后台运行去提交该查询。继续到认证页面进行测试,可能会看到查询语句中的“用户名”和“密码”字段。此处将jonnybravo’作为用户名并以momma作为密码,在用户名输入字符串后添加了后缀’,并以简单字符作为密码。有时需要将两者同时提交作为查询语句。查询语法如下所示。
Query: SELECT * FROM accounts WHERE username=’jonnybravo”AND password=’momma’
假设我们想要忽略执行上面查询语句中的AND password=’momma’。那么需要如何才能做到呢? 这里将使用'作为前缀并以(空格)-作为后缀。之所以用(空格)-是因为假设这是一个MYSQL服务器,所以当输入(空格) -时,它被解读为一个注释符号。在这种情况下无论这之后是什么内容都将被视为注释语句,注释部分在服务器执行查询语句时会被忽略。
注入 – ' -
然后,在输入字段中添加诸如 or 1 = 1' 这样的载荷,如此一来,最终注入语句类似如下所示:
注入 – ' or 1 = 1' -
一旦将此语句注入到用户名字段,会产生如下图所示的错误。
分析上述的注入语句,由提交字符串中的'来完成“username”用户名字段,用户名字段包括了来自服务器的‘ ‘字符,但因为其中加入了注入语句,使其成为‘ ‘ or 1=1′ — ‘。进一步分析查询语句:
Username=’ ‘ or1=1′ — ‘ ANDpassword=’ ‘.
之前已经提到,已假定这是MySQL服务器,所以(空格)–后的任何语句都将作为注释语句来解读。 那么重新分析这个查询语句,可以看出,这个查询语句中唯一执行了的部分只剩下了1=1′。 因此,这是如何使用一个后缀和后缀进行SQL注入的方法 。 由于在1=1后添加一个'可以产出一个在页面上产出一个错误,那么如果删除了多余的',那么这个注入将正常完成,服务器不会拒绝1 = 1这种正确的逻辑,所以服务器将执行该查询。 故而最终的注入语句变成了 'or 1 = 1 -,把这串字符提交给用户名字段,将会看到如下图所示的查询结果:
由显示结果可知,服务器成功被注入,页面上显示出了数据库整个表中存储的所有结果,包括用户名、密码及其他字段的信息详情。
结论
在这篇文章中,简单介绍了后缀和前缀,以及如何使用它们进行web程序的模糊测试,文中以MySQL服务器为例,但这种方法和思路同样适用于其他服务器。
附注:
同作者曾发表了一系列关于手动web应用程序渗透测试的文章,其中与模糊测试方法相关的文章列表如下,如有兴趣可点击以下链接进行阅读:
- 手动web应用程序渗透测试:模糊测试
http://resources.infosecinstitute.com/manually-web-application-penetration-testing-fuzzing/ - 手动web应用程序渗透测试:使用Burp工具时的模糊测试参数
http://resources.infosecinstitute.com/web-services-penetration-testing-part-6-fuzzing-parameters-burp/ - 手动web应用程序渗透测试:更多与Burp工具相关的模糊测试
http://resources.infosecinstitute.com/web-services-penetration-testing-part-7-fuzzing-burp/
