1.测试环境搭建
LNMP架构的话,肯定就是linux、nginx、mysql、php四大组件。在后面的复现中我们还会用到https的一部分知识,故这里的nginx就需要使用虚拟主机并且配置https证书,且具有php解析功能。
1.1 基础nginx配置
#1.创建web目录
mkdir -p /var/www/aaa/
#2.配置nginx配置文件
/usr/local/nginx/conf/nginx.conf
#3.文件内容添加server模块
server {
listen 80;
server_name www.aaa.com;
root “/var/www/aaa/nginxhost/web”;
index index.html index.php;
location / {
try_files $uri $uri/ /index.php;
}
location ~ \.php(.*)$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_split_path_info ^((?U).+\.php)(/?.+)$;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
include fastcgi_params;
}
}
1.2 代码部署+数据库配置
#1.将代码部署到指定位置(源码在评论区给出)
mv /home/batman/nginxhost .
#2.测试页面
#3.给tmp文件赋权
[root@blackstone web]# chmod 777 /var/www/aaa/nginxhost/protected/tmp
1
2
再次测试:
#4. 数据库对接 在对应目录下输入mysql -uroot -p密码 即可
[root@blackstone nginxhost]# cd /var/www/aaa/nginxhost
mysql> create database security;
Query OK, 1 row affected (0.00 sec)
mysql> use security;
Database changed
mysql> source initialize.sql
在开始之前我们浅浅分析一下数据库的大致结构,并插入flag
#flags就是我们需要获取的数据,两个字段构成
mysql> show columns from flags;
±------±-----------------±-----±----±--------±---------------+
| Field | Type | Null | Key | Default | Extra |
±------±-----------------±-----±----±--------±---------------+
| id | int(10) unsigned | NO | PRI | NULL | auto_increment |
| flag | varchar(256) | YES | | NULL | |
±------±-----------------±-----±----±--------±---------------+
2 rows in set (0.00 sec)
#这里是一个用户注册的数据表,四个字段,id、username、passsword、email
mysql> show columns from users;
±---------±-----------------±-----±----±--------±---------------+
| Field | Type | Null | Key | Default | Extra |
±---------±-----------------±-----±----±--------±---------------+
| id | int(10) unsigned | NO | PRI | NULL | auto_increment |
| username | varchar(256) | NO | UNI | NULL | |
| password | varchar(32) | NO | | NULL | |
| email | varchar(256) | YES | | NULL | |
±---------±-----------------±-----±----±--------±---------------+
4 rows in set (0.00 sec)
#我们插入flag
mysql> insert into flags (flag) values (‘mygod,you are a hacker!’);
Query OK, 1 row affected (0.01 sec)
mysql> select * from flags;
±—±------------------------+
| id | flag |
±—±------------------------+
| 2 | mygod,you are a hacker! |
±—±------------------------+
1 row in set (0.00 sec)
测试登陆页面的功能:
运气好的话会有一个报错:Fatal error: Class ‘MySQLi’ not found in /var/www/aaa/nginxhost/protected/lib/core.php on line 280
这是因为当前的php内部没有mysqli这个模块需要扩展安装,首先我们需要确定php的安装版本,下载对应的源码包进行重新安装:
php官网:https://www.php.net/releases/
1.3 https配置
随着越来越多的网站接入HTTPS,因此Nginx中仅配置HTTP还不够,往往还需要监听443端口的请求,但在以前学习过HTTP/HTTPS的朋友知道,HTTPS为了确保通信安全,所以服务端需配置对应的数字证书,当项目使用Nginx作为网关时,那么证书在Nginx中也需要配置,接下来简单聊一下关于SSL证书配置过程:
1.先去CA机构或从云控制台中申请对应的SSL证书,审核通过后下载Nginx版本的证书。
这里没有申请证书,由于是测试环境我们就使用openssl生成一个自签名证书
2.下载数字证书后,完整的文件总共有三个: .crt、.key、.pem
.crt:数字证书文件,.crt是.pem的拓展文件,因此有些人下载后可能没有。
.key:服务器的私钥文件,及非对称加密的私钥,用于解密公钥传输的数据。
.pem:Base64-encoded编码格式的源证书文本文件,可自行根需求修改拓展名。
3.在Nginx目录下新建certificate目录,并将下载好的证书/私钥等文件上传至该目录。
#这里的配置在1.3.1 中已经自己生成了对应的配置
4.最后修改一下nginx.conf文件即可,如下:
测试访问效果:
2.sql注入漏洞挖掘
这里由于暂时未系统的了解sql注入,故对其进行一个简单的叙述即可,重点我们放在host字段绕过上。
2.1 sql注入基本原理
这里用sqllab第一关来进行示例。第一关模拟了我们很常见的一个功能就是查询显示。我们从前端通过get传参,将id传递到后端php代码,后端的php代码接收到了参数。将参数不加任何过滤的拼接进入sql语句内部,由此引发的安全漏洞会导致恶意的数据库语句执行,小到窃取敏感数据,大到恶意删库跑路。实际环境中会有严密的过滤函数处理数据,而今天我们体会一下其原理即可:
我们加入单引号:产生了报错,则说明此参数被代入sql语句了,有安全风险。也可以说此处存在注入点
2.2 本例中的注入点
本着找注入点的目的,我们查看这套源码的控件,看里面有没有可以利用的sql语句。
我们找到controller里面的maincontroller.php可以看到,此处有三个功能函数,session验证、登陆验证、注册新用户。
我们只能后面两个函数,首先是这里的actionlogin函数。
2.3 FILTER_VALIDATE_EMAIL绕过
RFC 3696规定,邮箱地址分为local part和domain part两部分。local part中包含特殊字符,需要如下处理:
将特殊字符用\转义,如Joe’Blow@example.com
或将local part包裹在双引号中,如"Joe’Blow"@example.com
local part长度不超过64个字符
虽然PHP没有完全按照RFC 3696进行检测,但支持上述第2种写法。所以,我们可以利用之绕过FILTER_VALIDATE_EMAIL的检测。
因为代码中邮箱是用户名、@、Host三者拼接而成,但用户名是经过了转义的,所以单引号只能放在Host中。我们可以传入用户名为"name,Host为is’“@.aaa.com,最后拼接出来的邮箱为"nameis’”@aaa.com。这个邮箱是合法的。
3.HOST绕过
我们看看上面修改该过host之后接收到的数据时什么样的:
3.1 冒号号分割host字段
Nginx在处理Host的时候,会将Host用冒号分割成hostname和port,port部分被丢弃。所以,我们可以设置Host为www.aaa.com:'"@aaa.com即可绕过。
查看效果:很明显产生了报错,我们的注入点应当已经注入成功
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
