什么是注入?
圈重點:注入攻擊的本質,是把用戶輸入的資料當做代碼執行,
這里有兩個關鍵條件:
第一個是用戶能夠控制輸入
第二個是原本程式要執行的代碼,拼接了用戶輸入的資料然后進行執行
SQL注入能干什么?
1.獲取管理員賬號密碼 (利用聯合查詢)
2.獲取資料庫中的資訊
原本還要記錄案例的學習的,但案例的講解和實際靶場練習差不多,我就直接上靶場的練習題了!
顯錯注入Rank1
直接進傳送門:
SQL陳述句我們是在url欄里執行的,所以我們關注一波url欄!
所以?id=1是個什么東東?
它是一個GET傳參,根據傳參值的變化,頁面在不斷改變!如下所示:id=2時
頁面不斷改變的原因可能是PHP代碼里面寫了if等分支陳述句,也可能是頁面是從資料庫中提取資訊然后展露出來,
做個猜想,如果你是開發人員,即使是只為了后期維護方便也會更傾向于后者吧!
如何從資料庫中取資訊出來嘞?
之前學習過的Mysql語法就是為了今天,利用SQL查詢陳述句,(以下內容的語法詳情見mysql語法那篇文章)
select * from 表名 where 條件
進行SQL注入得有注入點,所以要探測:
常用探測手法:and 1=1 和 and 1=2
and 1=1因為恒真所以頁面正常顯示,and 1=2就報錯了,說明極大可能在這里存在注入點
但時代的發展,現如今很多網站都有安全狗很常見的WAF所以and 1=1和and 1=2 都極大可能的被攔截
怎么辦?這就要來驗證文章開頭的那句重點圈出來的話了:注入攻擊的本質,是把用戶輸入的資料當做代碼執行!
怎么驗證?如下所示:
?id=1正常顯示
后面我們用and 1=1 進行探測的時候就被網站防火墻攔截了…
發散一下思維,我不讓前面的id直接等于1,舉個例子我讓id=2-1來試試
哎!它又能正常顯示了!說明WAF沒有對2-1進行攔截,同時也驗證了那句話如果2-1沒有當作代碼執行的話它就不會回傳原界面,它應該是2-1這個字串
做個小總結,如何判斷注入點:
最老的方法:
and 1=1頁面正常
and 1=2頁面不正常
最簡單的方法:
頁面后面加‘,看是否報錯
學習的新方法:
如果是數字型傳參,可以嘗試做-1例如:
http://www.xxx.com/new.php?id=1 頁面顯示id=1的新聞
http://www.xxx.com/new.php?id=2-1頁面顯示id=1的新聞
and 1=1 and 1=2被攔截的可能性太高了
可以嘗試and -1=-1 and -1=-2 and 1>0 or 1=1
或者直接or sleep(5)
我們在談到SQL注入能干啥的問題時提到獲取管理員資訊,這里我們要講的就是union聯合查詢
聯合查詢就是將兩條查詢陳述句的結果整合到同一張表上輸出
聯合查詢的步驟簡潔來說就是從庫中查表,表中查欄位,欄位里面查資料!
注意聯合查詢需要兩條查詢陳述句的結果的欄位數相同
問題又來了我怎么知道剛開始的陳述句欄位是多少嘞,怎么讓后面拼接的陳述句跟前面一致呢?
這里用到了mysql語法里的order by 排序,可以用它來試欄位數!如下:
我們試了1,2,3都成功回傳了結果,到4的時候它報錯了,說明前面的陳述句有3個欄位,所以union后面的陳述句也應該與其保持一致,如下:
這里的1,2,3不用去管它,你可以隨便輸,只是為了站住三個位置而已
接下來我們來進行聯合查詢的流程,注意一點mysql 5.0以上版本都有系統自帶庫存放著庫和表和欄位的關系的對應關系
schema.tables就是庫.表(選中庫中的表) database()就是當前資料庫
這里只回傳了一張表,那有沒有其它的表呢?
這里用到了limit來取結果,
limit ?,?的形式,前面代表的是從第幾條開始,后面表示的是往后取幾條,注意前面的部分0就是從1開始取,依次往后類推!
相比limit我更喜歡用group_concat()
它是將所有的結果拼成字串合并輸出,如下:
我們成功獲得兩張表的名字,其中一個error_flag引起了我的注意,因為本道練習要提交的就是flag
那么接下來我就來查error_flag這個表里的欄位,如下:
columns代表欄位
回傳了兩個欄位一個id一個flag,大致猜測我需要的是flag這個欄位里的資料,那么接下來查資料唄,如下:
可以看到回傳了很多條flag,那就先提交第一條試試對不對:
運氣不錯,一發入魂!
第一題做為了樣例所以寫的稍微多了些,后面的題目大同小異我就加快速度啦!
顯錯注入Rank2
這里發現id后面多了單引號,這里有什么不同呢?
可以發現當我們用2-1的時候,頁面回顯內容改變了,變成了id=2時頁面回顯的內容,
這是因為2-1外面套了層單引號,里面被當作了字串輸出,因為是數字所以強取了前面的數字2輸出,
那怎么辦?,如下:
我們在1后面加個單引號把前面閉合,后面用–+(或者–空格qwe)注釋掉,中間插入SQL陳述句就行了,
+號在url欄里轉義過來就是空格
處理完這個問題之后,我們進行聯合查詢,各位看官睜大眼睛…
判斷注入點:
查欄位:
三個欄位!
查庫,表欄位,資料最后拿到flag:
還是四個資料,先試第一個唄
emmmm錯了,那就試第二個
第二個對了,猜測一波第三題和第四題顯錯注入的答案分別是第3和第4個
顯錯注入Rank3
老樣子該閉合閉合,該注釋注釋!
判斷注入點:
查欄位
省略了前面查出來還是3!
查庫,表,欄位,資料:
直接懟第三個答案,驗證一下之前的猜想,
果不其然!!
顯錯注入Rank4
閉合加注釋
判斷注入點
查欄位:
省略一下,還是老樣子查到了4就報錯了,還是3個欄位
查庫,表,欄位,資料:
提交第四個答案
顯錯注入的練習到這里就全部結束啦!!
以上練習是在靶場進行,想實操的看官們可以自己搭建環境去sqli-labs上面進行SQL注入的實驗,具體流程問度娘,
Sqlmap和Burpsuite的簡單使用
工具可以幫助我們更好的測驗網站
1.環境的安裝(Javalpython)
使用這兩個工具要先裝一下環境(Sqlmap是基于python開發的/Burpsuite是基于java開發的),Sqlmap是由python2開發的,所以裝python2會好一點,
python(2.7.16)環境的安裝:
python(2.7.16)下載地址: https://www.python.org/ftp/python/2.7.16/python-2.7.16.amd64.msi下載好檔案后直接安裝就可以了
java環境的安裝:
Java下載地址: https://www.java.com/zh_CN/download/windows-64bit.jsp
拿著安裝軟體直接默認安裝就行,全部下一步下一步,環境建議安裝C盤
python默認路徑:C:\Python27
Java默認路徑:C:\Program FileslJavalire1.8.0_211\bin
下載完之后記得配置環境變數,具體操作可以百度這里就不細說了,
工具只是為了輔助自己,但不要過于依賴工具,能力的提升終歸要依靠自己的!
2.Sqlmap的基礎指令
sqlmap 是用的最為廣泛的自動化檢測、利用SQL注入的滲透測驗工具,支持多種資料庫,
下載地址: https:/lgithub.com/sqlmapproject/sqlmap
下載好之后,并且配置完環境變數,就可以直接在cmd呼叫
通過命令我們打開sqlmap就是這個樣子,(我們依舊使用顯錯注入的第一題作為sqlmap操作的物件)
常用最基礎指令:
** -u 指定注入點**
通過sqlmap的探測我們發現了兩個型別的注入,其中聯合注入有三個欄位和我們之前手工探測的一樣,
** --dbs 跑庫名**
我們看到了它跑出了所有的庫名,
** --tables 跑表名**
–columns 跑欄位名
–dump列舉資料
-D指定庫
** -T指定表**
** -C指定欄位**
至于表名,欄位名,列舉資料啥的,如果不指定庫,表或欄位的話,它會把所有的都跑一邊,這里為了節省作業量就不一一演示了,我直接指定庫表去跑了!
成功使用sqlmap跑出來了所有flag欄位里的4條資料
更多sqlmap指令見Sqlmap指令手冊: https://www.cnblogs.com/hongfei/p/3872156.html
3.Burpsuite工具的基礎使用
Burp基于抓包的攻擊平臺,對資料進行篡改,重放,跑包
什么是抓包:舉個我在學習中授課老師說的一個相當形象化的例子
在古代,我和一個女子戀愛了,有個第三者想插足,那個時候的交流要飛鴿傳書,有一天我給我女有寫了一封表達思念的信,但是被第三者截獲了,他看了之后篡改了我的信把它改成了分手信,于是我和女友短暫的愛情就結束了!!
問個問題:為什么我的瀏覽器和網頁的通信要經過Burp呢?兩個字代理
使用Bp要給瀏覽器掛代理(具體操作百度,不是很困難,以大家的聰明才智分分鐘搞定!)
另外注意一下Bp要進行一次破解,具體操作也是去百度一下,這里不細說,
這里我沒有找到合適的靶場,就隨便開個網頁來做抓包操作了,大家見諒,
我們設定的監聽8080埠,
第一個模塊Proxy抓包
我們點進去:
Intercept is off 就是開啟抓包,我們點擊開啟并重繪頁面,只要開了代理我們就能抓到一個資料包,
開啟抓包之后重繪頁面,
成功住抓到一個包,
我們看到GET請求了什么檔案,Host請求了什么地址等等一些資訊,
而Forward 就是放過去 Drop 就是丟棄掉
前者就是一個正常的訪問,如果點了丟棄,這個頁面就沒有資料回傳:
第二個模塊Repeater單放包
如果我們抓到一個資料包,我們可以右鍵Send to Repeater發送到單放模塊就成了一個單資料包,可以單獨的對資料包進行修改:
修改完之后點擊Go,右邊Response是回傳的結果,
到這可能大家還是有些沒能感受到抓包的意義,但是由于我沒找到合適的含登錄頁面的靶場,無法演示,便就在今后的練習中如果碰到我就在補上這段操作,
Burp功能很強大,比如還可以進行資料型別的改變,
如把GET改成POST:
點擊Change request method
我們發現它改變了,反之POST改GET同樣可行,
我們不僅能抓資料包同樣也能抓回傳包:
點擊Do intercept,在點擊Response to this request
這就是頁面所回傳的資料包內容,相當于服務器回傳給你的瀏覽器的源代碼,
假設Burp打入了受害者和服務器的交流之間,我們就能篡改我們想篡改的東西,
第三個模塊User options
有點時候Burp的Response回傳結果區域可能會出現一些看不到的文字,其實是一些編碼的問題
我進到第三個模塊修改就行了:
點擊Display通用
在Character Sets這里改,正常是UTF-8改GBK,或者GBK改UTF-8,基本跳不出這兩個,
好了兩個工具的簡單使用今天就學到了這里,以后學到更多進階的操作和騷姿勢,并在靶場實操后,我會在后面的筆記中寫上,
未完待續…
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/280311.html
標籤:其他