作者:陳小兵
一般來講一旦網站存在sql注入漏洞,通過sql注入漏洞輕者可以獲取數據,嚴重的將獲取webshell以及服務器權限,但在實際漏洞利用和測試過程中,也可能因為服務器配置等情況導致無法獲取權限。
1.1php注入點的發現及掃描
1.使用漏洞掃描工具進行漏洞掃描
將目標url地址放在wvs中進行漏洞掃描,如圖1所示,掃描結果顯示存在SQL盲注和SQL注入,其漏洞存在的參數為同一頁面。
圖1使用wvs掃描目標網站
2.使用sqlmap工具對注入點進行漏洞驗證
如圖2所示,使用sqlmap注入檢查命令進行驗證:
驗證結果顯示該url確實存在sql注入漏洞,且數據庫為mysql。
圖2使用sqlmap工具對注入點進行漏洞驗證
1.2使用sqlmap進行sql注入測試
1.sql注入payload
如圖3所示,通過sqlmap或者該注入點存在boolean-based blind、 AND/OR time-based blind 、UNION query三種類型漏洞,跟wvs掃描結果一致。sqlmap漏洞測試完畢后會自動給出相應的payload,例如對第一個可以在瀏覽器中進行測試:
圖3 sql注入payload
2.獲取當前數據庫名稱
圖4獲取當前數據庫名稱
3.獲取當前用戶
命令直接獲取當前數據庫賬號為root@localhost,如圖5所示。
圖5獲取當前數據庫用戶賬號
4.查看數據庫用戶及密碼
由於本例注入點是mysql root賬號,因此可以通過sqlmap命令來查看數據庫用戶(–users)及數據庫密碼(–password),如圖6所示,執行命令如下:
圖6查看數據庫用戶及密碼
5.破解並獲取數據庫明文密碼
(1)在線破解並整理數據庫密碼
將密碼哈希值去掉前面的“*”號,將其復制到www.cmd5.com及somd5.com進行破解,注意該值需要選擇密碼類型mysql5,整理查詢結果如下所示:
(2)還可以通過–sql-shell直接查詢數據庫用戶及密碼
執行上面命令后,通過查詢命令來獲取密碼,如圖7所示:
圖7查詢mysql數據庫host、user及密碼
(3)對服務器端口進行掃描
masscan -p 3306 114.**.***.***
如果開放數據庫端口,則可以直接進行連接,掃描結果顯示僅僅開放80端口。
6.一些常用的sqlmap命令總結
1.3php網站webshell獲取
(4)后台文件上傳漏洞利用及獲取
通過注入點獲取管理員密碼及后台地址,登錄后台尋找上傳地址及上傳漏洞來獲取webshell。
(5)文件包含漏洞來獲取webshell
2.直接獲取webshell失敗
對於root賬號而言,一般情況都可以通過–os-shell命令來獲取webshell,如圖8所示,執行命令后,並未獲取shell。
圖8獲取shell失敗
3.獲取真實物理路徑
通過測試,在網站根目錄下發現存在phpinfo頁面,如圖9所示,在該頁面中可以看到數據庫為內網IP地址192.168.77.88,真實物理路徑為/usr/local/apache/htdocs
圖9獲取網站正式路徑
4.寫入文件測試
知道物理路徑,可以通過sqlmap進行文件讀取和寫入命令,執行命令:
sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 –file-write=”C:\tools\sqlmap\1.php” –file-dest=”/usr/local/apache/htdocs/happystudy/shell.php”
如圖10所示,sqlmap執行命令成功,通過url對文件進行訪問測試,頁面不存在。
圖10寫入文件測試
5.本地搭建環境測試寫入文件
前面寫入文件執行成功,懷疑是命令有問題,因此在本地搭建環境進行測試,測試命令為:
sqlmap.py -d mysql://root:123456@172.17.26.16:3306/mysql –file-write=”C:\tools\sqlmap\1.php” –file-dest=”C:\ComsenzEXP\wwwroot\shell.php”
結果在C:\ComsenzEXP\wwwroot\目錄下成功寫入shell.php文件,為此分析原因可能為:
(1)該目錄無寫入權限
(2)magic_quotes_gpc值為on
6.嘗試general_log文件獲取webshell方法
(1)查看genera文件配置情況
(2)關閉general_log
(3)通過general_log選項來獲取webshell
由於以上命令需要在mysql客戶端命令行或者phpmyadmin中進行執行,本案例中不具備,通過–sql-shell以及–sql-query命令均未能實現。
7.使用pangolin工具進行導出webshell
如圖11所示,通過pangolin對該sql注入地址進行測試,嘗試將webshell導出到網站根目錄/usr/local/apache/htdocs/xxx.php文件,結果顯示跟前面的分析情況一致。
圖11使用pangolin工具進行導出webshell失敗
8.讀取文件測試
(1)讀取文件
如圖12所示,依次執行命令,分別讀取/etc/passwd、/usr/local/apache/htdocs/index.php等文件
sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 –file-read=”/usr/local/apache/htdocs/index.php”[/align]
[align=left]sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 –file-read=”/etc/passwd” [/align]
[align=left]
圖12讀取系統文件及其他文件
(2)獲取數據庫密碼
sqlmap會將獲取的文件自動保存到當前系統用戶下C:\Users\john\.sqlmap\output\www.****.com.cn\files,如圖13所示,讀取conn.php文件的內容,成功獲取數據庫root賬號密碼。
圖13讀取源代碼獲取root密碼
1.4艱難的后台地址獲取
1.使用havij對后台進行掃描
如圖14所示,通過havij等工具對目標后台地址進行獲取,在本例中獲取的是普通用戶的登錄地址,未獲取真正的后台地址。
圖14使用havij對后台地址進行掃描
2.通過google成功獲取后台地址
后面使用百度對該url地址進行查詢“site:somesite.com 后台管理”未能獲取相關信息,但在google中成功獲取其后台地址,如圖15所示。有時候google黑客技術還是挺管用的。從url中可以看到該管理地址很難掃描獲取。
圖15成功獲取后台管理地址
3.獲取真正的管理表
通過sqlmap對該數據庫中所有的表進行查詢,發現存在多個涉及密碼的表,admin、admin_files、admin_groups、tb_admin,依次進行和密碼破解,將其進行后台登陸,均為成功登錄。后面通過讀取登錄地址的源代碼成功獲取,其真正的管理員表為tygb,如圖16所示,通過sql-shell進行查詢:select * from tygb
圖16獲取真正的管理表
4.登錄后台管理
如圖17所示,登錄成功后,可以看到其cms系統存在多個系統,對每個管理入口進行查看和測試,雖然某些模塊存在上傳,經過測試,無寫入權限。
圖17登錄后台進行管理
5.fckeditor漏洞驗證
在后台中發現其使用了fckeditor編輯器,成功找到其fckeditor編輯器文件測試頁面,並對其進行測試,如圖18,有無文件權限問題,該漏洞無法利用。
圖18文件上傳漏洞無法利用
6.網站旁注漏洞利用失敗
后面對該目標網站進行同IP地址域名反查,發現該IP下存在多個域名,通過仔細的核對,發現前面的sql注入點可以讀取其數據庫,通過獲取后台密碼,成功進入后台,但也無用,系統存在錯誤,fckeditor無法上傳文件,也無法寫入文件。
1.5php網站sql注入防御及總結
1.滲透總結
(1)本次滲透主要在於對mysql+php架構下sql注入點注入漏洞sqlmap的利用
(2)利用sqlmap的文件讀取和寫入功能寫入webshell
(3)有些情況下即使存在漏洞,也可能無法獲取webshell
2.php網站sql注入防御
(1)過濾一些常見的數據庫操作關鍵字,例如對select ,insert,update,delete,and,*等或通過系統函數addslashes對內容進行過濾。
(2)php配置文件php.ini中register_globals=off;設置為關閉狀態
(3)對於sql語句加以封裝,避免直接暴漏SQL語句
(4)開啟PHP安全模式safe_mode=on
(5)打開magic_quotes_gpc來防止SQL注入,默認為關閉,開啟后自動把用戶提交sql查詢語句進行轉換把”‘”轉換成”\’”
(6)控制錯誤信息輸出,關閉錯誤信息提示,將錯誤信息寫到系統日志。
(7)網站安裝waf防護軟件
有問題大家可以留言哦,也歡迎大家到春秋論壇中來耍一耍 >>>點擊跳轉