Web應用手工滲透測試
- Web應用手工滲透測試——用SQLMap進行SQL盲注測試
- 2014-04-11 我來說兩句
- 收藏
![]()
我要投稿
我要投稿 - 簡介本文主要關注SQL注入,假設讀者已經了解一般的SQL注入技術,在我之前的文章中有過介紹,即通過輸入不同的參數,等待伺服器的反應,之後通過不同的前綴和後綴(suffixandprefix)注入到資料庫。本文將更進一步,討論SQL盲注,如果讀者沒有任何相關知識儲備,建議先去wikipedia學習一下。在繼續之前需要提醒一下,如果讀者也想要按本文的步驟進行,需要在NOWASPMutillidae環境搭建好之後先註冊一個NOWASPMutillidae帳號。SQL注入前言本文演示從web界面注入SQL命令的方法,但不會直接連接到資料庫,而是想辦法使後端資料庫處理程序將我們的查詢語句當作SQL命令去執行。本文先描述一些注入基礎知識,之後講解盲注的相關內容。ShowTime這裡我以用戶名「jonnybravo」和密碼「momma」登錄,之後進入用戶查看頁面,位於OWASP2013>A1SQLInjection>Extractdata>UserInfo。要查看用戶信息,需要輸入用戶ID與密碼登錄,之後就可以看到當前用戶的信息了。如我之前的文章所提到的那樣,這個頁面包含SQL注入漏洞,所以我會嘗試各種注入方法來操縱資料庫,需要使用我之前文章提到的後綴(suffix)與前綴(prefix)的混合。這裡我使用的注入語句如下:Username:jonnybravo』or1=1;–該注入語句要做的就是從資料庫查詢用戶jonnybravo,獲取數據後立刻終止查詢(利用單引號),之後緊接著一條OR語句,由於這是一條「if狀態」查詢語句,而且這裡給出「or1=1」,表示該查詢永遠為真。1=1表示獲取資料庫中的所有記錄,之後的;–表示結束查詢,告訴資料庫當前語句後面沒有其它查詢語句了。
![]()
圖1正常方式查看用戶信息將payload注入後,伺服器泄露了資料庫中的所有用戶信息。如圖2所示:![]()
圖2注入payload導致資料庫中所有數據泄露至此,本文向讀者演示了一種基本SQL注入,下面筆者用BackTrack和Samurai等滲透測試發行版中自帶的SQLmap工具向讀者演示。要使用SQLmap,只需要打開終端,輸入SQLmap並回車,如下圖所示:![]()
如果讀者首次使用SQLmap,不需要什麼預先操作。如果已經使用過該工具,需要使用—purge-output選項將之前的輸出文件刪除,如下圖所示:![]()
圖3將SQLmapoutput目錄中的原輸出文件刪除本文會演示一些比較獨特的操作。通常人們使用SQLmap時會直接指定URL,筆者也是用該工具分析請求,但會先用Burp查看請求並將其保存到一個文本文件中,之後再用SQLmap工具調用該文本文件進行掃描。以上就是一些準備工作,下面首先就是先獲取一個請求,如下所示:123456789 GET /chintan/index.php?page=user-info.php&username=jonnybravo&password=momma&user-info-php-submit-button=View+Account+Details HTTP/1.1Host: localhostUser-Agent: Mozilla/5.0(Windows NT5.1; rv:27.0) Gecko/20100101Firefox/27.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: http://localhost/chintan/index.php?page=user-info.phpCookie: showhints=0; username=jonnybravo; uid=19; PHPSESSID=f01sonmub2j9aushull1bvh8b5Connection: keep-alive將該請求保存到一個文本文件中,之後發送到KALIlinux中,用如下命令將該請求頭部傳給SQLmap:SQLmap–r~/root/Desktop/header.txtSelf-CriticalEvaluation命令中-r選項表示要讀取一個包含請求的文件,~/root/Desktop/header.txt表示文件的位置。如果讀者用VMware,例如在Windows上用虛擬機跑KALI,執行命令時可能產生如下圖所示的錯誤提示:
![]()
這裡必須在請求頭中指定一個IP地址,使KALIlinux能與XP正常通信,修改如下圖所示:![]()
之後命令就能正常執行了,顯示結果如下圖所示:![]()
基本上該工具做的就是分析請求並確定請求中的第一個參數,之後對該參數進行各種測試,以確定伺服器上運行的資料庫類型。對每個請求,SQLmap都會對請求中的第一個參數進行各種測試。GET/chintan/index.php?page=user-info.php&username=jonnybravo&password=momma&user-info-php-submit-button=View+Account+DetailsHTTP/1.1SQLmap可以檢測多種資料庫,如MySQL、OracleSQL、PostgreSQL、MicrosoftSQLServer等。下圖是筆者系統中SQLmap正在對指定的請求進行檢測時顯示的資料庫列表:![]()
首先它會確定給定的參數是否可注入。根據本文演示的情況,我們已經設置OWASPmutillidae的安全性為0,因此這裡是可注入的,同時SQLmap也檢測到後台資料庫DBMS可能為MYSQL。![]()
如上圖所示,工具識別後台資料庫可能為MYSQL,因此提示用戶是否跳過其它類型資料庫的檢測。「由於本文在演示之前已經知道被檢測資料庫是MYSQL,因此這裡選擇跳過對其它類型資料庫的檢測。」之後詢問用戶是否引入(include)測試MYSQL相關的所有payload,這裡選擇「yes」選項:![]()
測試過一些payloads之後,工具已經識別出GET參數上一個由錯誤引起的注入問題和一個Boolean類型引起的盲注問題。![]()
<img src=http://www.2cto.com/uploadfile/2014/0411/20140411100656979.png!small" title="11.png"/></p>之後顯示該GET參數username是一個基於MYSQLunion(union-based)類型的查詢注入點,因此這裡跳過其它測試,深入挖掘已經找出的漏洞。![]()
至此,工具已經識別出應該深入挖掘的可能的注入點:![]()
接下來,我把參數username傳遞給SQLmap工具,以對其進行深入挖掘。通過上文描述的所有注入點和payloads,我們將對username參數使用基於Boolean的SQL盲注技術,通過SQLmap中的–technique選項實現。其中選擇如下列表中不同的選項表示選用不同的技術:B:基於Boolean的盲注(Booleanbasedblind)Q:內聯查詢(Inlinequeries)T:基於時間的盲注(timebasedblind)U:基於聯合查詢(Unionquerybased)E:基於錯誤(errorbased)S:棧查詢(stackqueries)本例中也給出了參數名「username」,因此最後構造的命令如下:SQLmap–r~root/Desktop/header.txt–-techniqueB–-pusername–-current-user這裡-p選項表示要注入的參數,「–current-user「選項表示強制SQLmap查詢並顯示登錄MYSQL資料庫系統的當前用戶。命令得到輸出如下圖所示:![]()
同時也可以看到工具也識別出了操作系統名,DBMS伺服器以及程序使用的編程語言。「」當前我們所做的就是向伺服器發送請求並接收來自伺服器的響應,類似客戶端-伺服器端模式的交互。我們沒有直接與資料庫管理系統DBMS交互,但SQLmap可以仍識別這些後台信息。同時本次與之前演示的SQL注入是不同的。在前一次演示SQL注入中,我們使用的是前綴與後綴,本文不再使用這種方法。之前我們往輸入框中輸入內容並等待返回到客戶端的響應,這樣就可以根據這些信息得到切入點。本文我們往輸入框輸入永遠為真的內容,通過它判斷應用程序的響應,當作程序返回給我們的信息。「結果分析我們已經給出當前的用戶名,位於本機,下面看看它在後台做了什麼。前文已經說過,後台是一個if判斷語句,它會分析該if查詢,檢查username為jonnybravo且7333=7333,之後SQLmap用不同的字元串代替7333,新的請求如下:1234 page=user-info.php?username=』jonnybravo』 AND 『a』="a』 etc..FALSEpage=user-info.php?username=』jonnybravo』 AND 『l』="l』 etc..TRUEpage=user-info.php?username=』jonnybravo』 AND 『s』="s』 etc..TRUEpage=user-info.php?username=』jonnybravo』 AND 『b』="b』 etc..FALSE如上所示,第一個和最後一個查詢請求結果為假,另兩個查詢請求結果為真,因為當前的username是root@localhost,包含字母l和s,因此這兩次查詢在查詢字母表時會給出包含這兩個字母的用戶名。「這就是用來與web伺服器驗證的SQLserver用戶名,這種情況在任何針對客戶端的攻擊中都不應該出現,但我們讓它發生了。」去掉了–current-user選項,使用另外兩個選項-U和–password代替。-U用來指定要查詢的用戶名,–password表示讓SQLmap去獲取指定用戶名對應的密碼,得到最後的命令如下:SQLmap-r~root/Desktop/header.txt--techniqueB-pusername-Uroot@localhost--passwords命令輸出如下圖所示:
![]()
Self-CriticalEvaluation有時可能沒有成功獲取到密碼,只得到一個NULL輸出,那是因為系統管理員可能沒有為指定的用戶設定認證信息。如果用戶是在本機測試,默認情況下用戶root@localhost是沒有密碼的,需要使用者自己為該用戶設置密碼,可以在MySQL的user數據表中看到用戶的列表,通過雙擊password區域來為其添加密碼。或者可以直接用下圖所示的命令直接更新指定用戶的密碼:![]()
這裡將密碼設置為「sysadmin「,這樣SQLmap就可以獲取到該密碼了,如果不設置的話,得到的就是NULL。通過以上方法,我們不直接與資料庫伺服器通信,通過SQL注入得到了管理員的登錄認證信息。總結本文描述的注入方法就是所謂的SQL盲注,這種方法更繁瑣,很多情況下比較難以檢測和利用。相信讀者已經了解傳統SQL注入與SQL盲注的不同。在本文所處的背景下,我們只是輸入參數,看其是否以傳統方式響應,之後憑運氣嘗試注入,與之前演示的注入完全是不同的方式。References1.http://en.wikipedia.org/wiki/SQL_injection2.http://www.SQLmap.org/3.https://github.com/SQLmapproject/SQLmap/wiki/usage4.http://dev.mysql.com/doc/refman/5.6/en/examples.html[via infosecinstitute]
圖1正常方式查看用戶信息將payload注入後,伺服器泄露了資料庫中的所有用戶信息。如圖2所示:
圖2注入payload導致資料庫中所有數據泄露至此,本文向讀者演示了一種基本SQL注入,下面筆者用BackTrack和Samurai等滲透測試發行版中自帶的SQLmap工具向讀者演示。要使用SQLmap,只需要打開終端,輸入SQLmap並回車,如下圖所示:
如果讀者首次使用SQLmap,不需要什麼預先操作。如果已經使用過該工具,需要使用—purge-output選項將之前的輸出文件刪除,如下圖所示:
圖3將SQLmapoutput目錄中的原輸出文件刪除本文會演示一些比較獨特的操作。通常人們使用SQLmap時會直接指定URL,筆者也是用該工具分析請求,但會先用Burp查看請求並將其保存到一個文本文件中,之後再用SQLmap工具調用該文本文件進行掃描。以上就是一些準備工作,下面首先就是先獲取一個請求,如下所示:
這裡必須在請求頭中指定一個IP地址,使KALIlinux能與XP正常通信,修改如下圖所示:
之後命令就能正常執行了,顯示結果如下圖所示:
基本上該工具做的就是分析請求並確定請求中的第一個參數,之後對該參數進行各種測試,以確定伺服器上運行的資料庫類型。對每個請求,SQLmap都會對請求中的第一個參數進行各種測試。GET/chintan/index.php?page=user-info.php&username=jonnybravo&password=momma&user-info-php-submit-button=View+Account+DetailsHTTP/1.1SQLmap可以檢測多種資料庫,如MySQL、OracleSQL、PostgreSQL、MicrosoftSQLServer等。下圖是筆者系統中SQLmap正在對指定的請求進行檢測時顯示的資料庫列表:
首先它會確定給定的參數是否可注入。根據本文演示的情況,我們已經設置OWASPmutillidae的安全性為0,因此這裡是可注入的,同時SQLmap也檢測到後台資料庫DBMS可能為MYSQL。
如上圖所示,工具識別後台資料庫可能為MYSQL,因此提示用戶是否跳過其它類型資料庫的檢測。「由於本文在演示之前已經知道被檢測資料庫是MYSQL,因此這裡選擇跳過對其它類型資料庫的檢測。」之後詢問用戶是否引入(include)測試MYSQL相關的所有payload,這裡選擇「yes」選項:
測試過一些payloads之後,工具已經識別出GET參數上一個由錯誤引起的注入問題和一個Boolean類型引起的盲注問題。
<img src=http://www.2cto.com/uploadfile/2014/0411/20140411100656979.png!small" title="11.png"/></p>之後顯示該GET參數username是一個基於MYSQLunion(union-based)類型的查詢注入點,因此這裡跳過其它測試,深入挖掘已經找出的漏洞。
至此,工具已經識別出應該深入挖掘的可能的注入點:
接下來,我把參數username傳遞給SQLmap工具,以對其進行深入挖掘。通過上文描述的所有注入點和payloads,我們將對username參數使用基於Boolean的SQL盲注技術,通過SQLmap中的–technique選項實現。其中選擇如下列表中不同的選項表示選用不同的技術:B:基於Boolean的盲注(Booleanbasedblind)Q:內聯查詢(Inlinequeries)T:基於時間的盲注(timebasedblind)U:基於聯合查詢(Unionquerybased)E:基於錯誤(errorbased)S:棧查詢(stackqueries)本例中也給出了參數名「username」,因此最後構造的命令如下:SQLmap–r~root/Desktop/header.txt–-techniqueB–-pusername–-current-user這裡-p選項表示要注入的參數,「–current-user「選項表示強制SQLmap查詢並顯示登錄MYSQL資料庫系統的當前用戶。命令得到輸出如下圖所示:
同時也可以看到工具也識別出了操作系統名,DBMS伺服器以及程序使用的編程語言。「」當前我們所做的就是向伺服器發送請求並接收來自伺服器的響應,類似客戶端-伺服器端模式的交互。我們沒有直接與資料庫管理系統DBMS交互,但SQLmap可以仍識別這些後台信息。同時本次與之前演示的SQL注入是不同的。在前一次演示SQL注入中,我們使用的是前綴與後綴,本文不再使用這種方法。之前我們往輸入框中輸入內容並等待返回到客戶端的響應,這樣就可以根據這些信息得到切入點。本文我們往輸入框輸入永遠為真的內容,通過它判斷應用程序的響應,當作程序返回給我們的信息。「結果分析我們已經給出當前的用戶名,位於本機,下面看看它在後台做了什麼。前文已經說過,後台是一個if判斷語句,它會分析該if查詢,檢查username為jonnybravo且7333=7333,之後SQLmap用不同的字元串代替7333,新的請求如下:
Self-CriticalEvaluation有時可能沒有成功獲取到密碼,只得到一個NULL輸出,那是因為系統管理員可能沒有為指定的用戶設定認證信息。如果用戶是在本機測試,默認情況下用戶root@localhost是沒有密碼的,需要使用者自己為該用戶設置密碼,可以在MySQL的user數據表中看到用戶的列表,通過雙擊password區域來為其添加密碼。或者可以直接用下圖所示的命令直接更新指定用戶的密碼:
這裡將密碼設置為「sysadmin「,這樣SQLmap就可以獲取到該密碼了,如果不設置的話,得到的就是NULL。通過以上方法,我們不直接與資料庫伺服器通信,通過SQL注入得到了管理員的登錄認證信息。總結本文描述的注入方法就是所謂的SQL盲注,這種方法更繁瑣,很多情況下比較難以檢測和利用。相信讀者已經了解傳統SQL注入與SQL盲注的不同。在本文所處的背景下,我們只是輸入參數,看其是否以傳統方式響應,之後憑運氣嘗試注入,與之前演示的注入完全是不同的方式。References1.http://en.wikipedia.org/wiki/SQL_injection2.http://www.SQLmap.org/3.https://github.com/SQLmapproject/SQLmap/wiki/usage4.http://dev.mysql.com/doc/refman/5.6/en/examples.html[via infosecinstitute]推薦閱讀:
