Web应用手工渗透测试
- Web应用手工渗透测试——用SQLMap进行SQL盲注测试
- 2014-04-11 我来说两句
- 收藏
![]()
我要投稿
我要投稿 - 简介本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待伺服器的反应,之后通过不同的前缀和后缀(suffixandprefix)注入到资料库。本文将更进一步,讨论SQL盲注,如果读者没有任何相关知识储备,建议先去wikipedia学习一下。在继续之前需要提醒一下,如果读者也想要按本文的步骤进行,需要在NOWASPMutillidae环境搭建好之后先注册一个NOWASPMutillidae帐号。SQL注入前言本文演示从web界面注入SQL命令的方法,但不会直接连接到资料库,而是想办法使后端资料库处理程序将我们的查询语句当作SQL命令去执行。本文先描述一些注入基础知识,之后讲解盲注的相关内容。ShowTime这里我以用户名「jonnybravo」和密码「momma」登录,之后进入用户查看页面,位于OWASP2013>A1SQLInjection>Extractdata>UserInfo。要查看用户信息,需要输入用户ID与密码登录,之后就可以看到当前用户的信息了。如我之前的文章所提到的那样,这个页面包含SQL注入漏洞,所以我会尝试各种注入方法来操纵资料库,需要使用我之前文章提到的后缀(suffix)与前缀(prefix)的混合。这里我使用的注入语句如下:Username:jonnybravo』or1=1;–该注入语句要做的就是从资料库查询用户jonnybravo,获取数据后立刻终止查询(利用单引号),之后紧接著一条OR语句,由于这是一条「if状态」查询语句,而且这里给出「or1=1」,表示该查询永远为真。1=1表示获取资料库中的所有记录,之后的;–表示结束查询,告诉资料库当前语句后面没有其它查询语句了。
![]()
图1正常方式查看用户信息将payload注入后,伺服器泄露了资料库中的所有用户信息。如图2所示:![]()
图2注入payload导致资料库中所有数据泄露至此,本文向读者演示了一种基本SQL注入,下面笔者用BackTrack和Samurai等渗透测试发行版中自带的SQLmap工具向读者演示。要使用SQLmap,只需要打开终端,输入SQLmap并回车,如下图所示:![]()
如果读者首次使用SQLmap,不需要什么预先操作。如果已经使用过该工具,需要使用—purge-output选项将之前的输出文件删除,如下图所示:![]()
图3将SQLmapoutput目录中的原输出文件删除本文会演示一些比较独特的操作。通常人们使用SQLmap时会直接指定URL,笔者也是用该工具分析请求,但会先用Burp查看请求并将其保存到一个文本文件中,之后再用SQLmap工具调用该文本文件进行扫描。以上就是一些准备工作,下面首先就是先获取一个请求,如下所示:123456789 GET /chintan/index.php?page=user-info.php&username=jonnybravo&password=momma&user-info-php-submit-button=View+Account+Details HTTP/1.1Host: localhostUser-Agent: Mozilla/5.0(Windows NT5.1; rv:27.0) Gecko/20100101Firefox/27.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateReferer: http://localhost/chintan/index.php?page=user-info.phpCookie: showhints=0; username=jonnybravo; uid=19; PHPSESSID=f01sonmub2j9aushull1bvh8b5Connection: keep-alive将该请求保存到一个文本文件中,之后发送到KALIlinux中,用如下命令将该请求头部传给SQLmap:SQLmap–r~/root/Desktop/header.txtSelf-CriticalEvaluation命令中-r选项表示要读取一个包含请求的文件,~/root/Desktop/header.txt表示文件的位置。如果读者用VMware,例如在Windows上用虚拟机跑KALI,执行命令时可能产生如下图所示的错误提示:
![]()
这里必须在请求头中指定一个IP地址,使KALIlinux能与XP正常通信,修改如下图所示:![]()
之后命令就能正常执行了,显示结果如下图所示:![]()
基本上该工具做的就是分析请求并确定请求中的第一个参数,之后对该参数进行各种测试,以确定伺服器上运行的资料库类型。对每个请求,SQLmap都会对请求中的第一个参数进行各种测试。GET/chintan/index.php?page=user-info.php&username=jonnybravo&password=momma&user-info-php-submit-button=View+Account+DetailsHTTP/1.1SQLmap可以检测多种资料库,如MySQL、OracleSQL、PostgreSQL、MicrosoftSQLServer等。下图是笔者系统中SQLmap正在对指定的请求进行检测时显示的资料库列表:![]()
首先它会确定给定的参数是否可注入。根据本文演示的情况,我们已经设置OWASPmutillidae的安全性为0,因此这里是可注入的,同时SQLmap也检测到后台资料库DBMS可能为MYSQL。![]()
如上图所示,工具识别后台资料库可能为MYSQL,因此提示用户是否跳过其它类型资料库的检测。「由于本文在演示之前已经知道被检测资料库是MYSQL,因此这里选择跳过对其它类型资料库的检测。」之后询问用户是否引入(include)测试MYSQL相关的所有payload,这里选择「yes」选项:![]()
测试过一些payloads之后,工具已经识别出GET参数上一个由错误引起的注入问题和一个Boolean类型引起的盲注问题。![]()
<img src=http://www.2cto.com/uploadfile/2014/0411/20140411100656979.png!small" title="11.png"/></p>之后显示该GET参数username是一个基于MYSQLunion(union-based)类型的查询注入点,因此这里跳过其它测试,深入挖掘已经找出的漏洞。![]()
至此,工具已经识别出应该深入挖掘的可能的注入点:![]()
接下来,我把参数username传递给SQLmap工具,以对其进行深入挖掘。通过上文描述的所有注入点和payloads,我们将对username参数使用基于Boolean的SQL盲注技术,通过SQLmap中的–technique选项实现。其中选择如下列表中不同的选项表示选用不同的技术:B:基于Boolean的盲注(Booleanbasedblind)Q:内联查询(Inlinequeries)T:基于时间的盲注(timebasedblind)U:基于联合查询(Unionquerybased)E:基于错误(errorbased)S:栈查询(stackqueries)本例中也给出了参数名「username」,因此最后构造的命令如下:SQLmap–r~root/Desktop/header.txt–-techniqueB–-pusername–-current-user这里-p选项表示要注入的参数,「–current-user「选项表示强制SQLmap查询并显示登录MYSQL资料库系统的当前用户。命令得到输出如下图所示:![]()
同时也可以看到工具也识别出了操作系统名,DBMS伺服器以及程序使用的编程语言。「」当前我们所做的就是向伺服器发送请求并接收来自伺服器的响应,类似客户端-伺服器端模式的交互。我们没有直接与资料库管理系统DBMS交互,但SQLmap可以仍识别这些后台信息。同时本次与之前演示的SQL注入是不同的。在前一次演示SQL注入中,我们使用的是前缀与后缀,本文不再使用这种方法。之前我们往输入框中输入内容并等待返回到客户端的响应,这样就可以根据这些信息得到切入点。本文我们往输入框输入永远为真的内容,通过它判断应用程序的响应,当作程序返回给我们的信息。「结果分析我们已经给出当前的用户名,位于本机,下面看看它在后台做了什么。前文已经说过,后台是一个if判断语句,它会分析该if查询,检查username为jonnybravo且7333=7333,之后SQLmap用不同的字元串代替7333,新的请求如下:1234 page=user-info.php?username=』jonnybravo』 AND 『a』="a』 etc..FALSEpage=user-info.php?username=』jonnybravo』 AND 『l』="l』 etc..TRUEpage=user-info.php?username=』jonnybravo』 AND 『s』="s』 etc..TRUEpage=user-info.php?username=』jonnybravo』 AND 『b』="b』 etc..FALSE如上所示,第一个和最后一个查询请求结果为假,另两个查询请求结果为真,因为当前的username是root@localhost,包含字母l和s,因此这两次查询在查询字母表时会给出包含这两个字母的用户名。「这就是用来与web伺服器验证的SQLserver用户名,这种情况在任何针对客户端的攻击中都不应该出现,但我们让它发生了。」去掉了–current-user选项,使用另外两个选项-U和–password代替。-U用来指定要查询的用户名,–password表示让SQLmap去获取指定用户名对应的密码,得到最后的命令如下:SQLmap-r~root/Desktop/header.txt--techniqueB-pusername-Uroot@localhost--passwords命令输出如下图所示:
![]()
Self-CriticalEvaluation有时可能没有成功获取到密码,只得到一个NULL输出,那是因为系统管理员可能没有为指定的用户设定认证信息。如果用户是在本机测试,默认情况下用户root@localhost是没有密码的,需要使用者自己为该用户设置密码,可以在MySQL的user数据表中看到用户的列表,通过双击password区域来为其添加密码。或者可以直接用下图所示的命令直接更新指定用户的密码:![]()
这里将密码设置为「sysadmin「,这样SQLmap就可以获取到该密码了,如果不设置的话,得到的就是NULL。通过以上方法,我们不直接与资料库伺服器通信,通过SQL注入得到了管理员的登录认证信息。总结本文描述的注入方法就是所谓的SQL盲注,这种方法更繁琐,很多情况下比较难以检测和利用。相信读者已经了解传统SQL注入与SQL盲注的不同。在本文所处的背景下,我们只是输入参数,看其是否以传统方式响应,之后凭运气尝试注入,与之前演示的注入完全是不同的方式。References1.http://en.wikipedia.org/wiki/SQL_injection2.http://www.SQLmap.org/3.https://github.com/SQLmapproject/SQLmap/wiki/usage4.http://dev.mysql.com/doc/refman/5.6/en/examples.html[via infosecinstitute]
图1正常方式查看用户信息将payload注入后,伺服器泄露了资料库中的所有用户信息。如图2所示:
图2注入payload导致资料库中所有数据泄露至此,本文向读者演示了一种基本SQL注入,下面笔者用BackTrack和Samurai等渗透测试发行版中自带的SQLmap工具向读者演示。要使用SQLmap,只需要打开终端,输入SQLmap并回车,如下图所示:
如果读者首次使用SQLmap,不需要什么预先操作。如果已经使用过该工具,需要使用—purge-output选项将之前的输出文件删除,如下图所示:
图3将SQLmapoutput目录中的原输出文件删除本文会演示一些比较独特的操作。通常人们使用SQLmap时会直接指定URL,笔者也是用该工具分析请求,但会先用Burp查看请求并将其保存到一个文本文件中,之后再用SQLmap工具调用该文本文件进行扫描。以上就是一些准备工作,下面首先就是先获取一个请求,如下所示:
这里必须在请求头中指定一个IP地址,使KALIlinux能与XP正常通信,修改如下图所示:
之后命令就能正常执行了,显示结果如下图所示:
基本上该工具做的就是分析请求并确定请求中的第一个参数,之后对该参数进行各种测试,以确定伺服器上运行的资料库类型。对每个请求,SQLmap都会对请求中的第一个参数进行各种测试。GET/chintan/index.php?page=user-info.php&username=jonnybravo&password=momma&user-info-php-submit-button=View+Account+DetailsHTTP/1.1SQLmap可以检测多种资料库,如MySQL、OracleSQL、PostgreSQL、MicrosoftSQLServer等。下图是笔者系统中SQLmap正在对指定的请求进行检测时显示的资料库列表:
首先它会确定给定的参数是否可注入。根据本文演示的情况,我们已经设置OWASPmutillidae的安全性为0,因此这里是可注入的,同时SQLmap也检测到后台资料库DBMS可能为MYSQL。
如上图所示,工具识别后台资料库可能为MYSQL,因此提示用户是否跳过其它类型资料库的检测。「由于本文在演示之前已经知道被检测资料库是MYSQL,因此这里选择跳过对其它类型资料库的检测。」之后询问用户是否引入(include)测试MYSQL相关的所有payload,这里选择「yes」选项:
测试过一些payloads之后,工具已经识别出GET参数上一个由错误引起的注入问题和一个Boolean类型引起的盲注问题。
<img src=http://www.2cto.com/uploadfile/2014/0411/20140411100656979.png!small" title="11.png"/></p>之后显示该GET参数username是一个基于MYSQLunion(union-based)类型的查询注入点,因此这里跳过其它测试,深入挖掘已经找出的漏洞。
至此,工具已经识别出应该深入挖掘的可能的注入点:
接下来,我把参数username传递给SQLmap工具,以对其进行深入挖掘。通过上文描述的所有注入点和payloads,我们将对username参数使用基于Boolean的SQL盲注技术,通过SQLmap中的–technique选项实现。其中选择如下列表中不同的选项表示选用不同的技术:B:基于Boolean的盲注(Booleanbasedblind)Q:内联查询(Inlinequeries)T:基于时间的盲注(timebasedblind)U:基于联合查询(Unionquerybased)E:基于错误(errorbased)S:栈查询(stackqueries)本例中也给出了参数名「username」,因此最后构造的命令如下:SQLmap–r~root/Desktop/header.txt–-techniqueB–-pusername–-current-user这里-p选项表示要注入的参数,「–current-user「选项表示强制SQLmap查询并显示登录MYSQL资料库系统的当前用户。命令得到输出如下图所示:
同时也可以看到工具也识别出了操作系统名,DBMS伺服器以及程序使用的编程语言。「」当前我们所做的就是向伺服器发送请求并接收来自伺服器的响应,类似客户端-伺服器端模式的交互。我们没有直接与资料库管理系统DBMS交互,但SQLmap可以仍识别这些后台信息。同时本次与之前演示的SQL注入是不同的。在前一次演示SQL注入中,我们使用的是前缀与后缀,本文不再使用这种方法。之前我们往输入框中输入内容并等待返回到客户端的响应,这样就可以根据这些信息得到切入点。本文我们往输入框输入永远为真的内容,通过它判断应用程序的响应,当作程序返回给我们的信息。「结果分析我们已经给出当前的用户名,位于本机,下面看看它在后台做了什么。前文已经说过,后台是一个if判断语句,它会分析该if查询,检查username为jonnybravo且7333=7333,之后SQLmap用不同的字元串代替7333,新的请求如下:
Self-CriticalEvaluation有时可能没有成功获取到密码,只得到一个NULL输出,那是因为系统管理员可能没有为指定的用户设定认证信息。如果用户是在本机测试,默认情况下用户root@localhost是没有密码的,需要使用者自己为该用户设置密码,可以在MySQL的user数据表中看到用户的列表,通过双击password区域来为其添加密码。或者可以直接用下图所示的命令直接更新指定用户的密码:
这里将密码设置为「sysadmin「,这样SQLmap就可以获取到该密码了,如果不设置的话,得到的就是NULL。通过以上方法,我们不直接与资料库伺服器通信,通过SQL注入得到了管理员的登录认证信息。总结本文描述的注入方法就是所谓的SQL盲注,这种方法更繁琐,很多情况下比较难以检测和利用。相信读者已经了解传统SQL注入与SQL盲注的不同。在本文所处的背景下,我们只是输入参数,看其是否以传统方式响应,之后凭运气尝试注入,与之前演示的注入完全是不同的方式。References1.http://en.wikipedia.org/wiki/SQL_injection2.http://www.SQLmap.org/3.https://github.com/SQLmapproject/SQLmap/wiki/usage4.http://dev.mysql.com/doc/refman/5.6/en/examples.html[via infosecinstitute]推荐阅读:
