写在前面
第17和18天都讲的sql注入,故合并
网络空间安全实训-渗透测试
Web渗透
-
定义
- 针对Web站点的渗透攻击,以获取网站控制权限为目的
-
Web渗透的特点
-
Web技术学习门槛低,更容易实现
-
Web的普及性决定了Web渗透更容易找到目标
-
网站程序开发者的技术参差不齐,更容易找到存在漏洞的网站
-
HTTP协议天然的安全缺陷,导致容易受到攻击
-
Web的身份识别技术存在天然的安全缺陷
-
通过入侵网站可以获得丰富的经济利益
-
#### OWASP TOP 10
* SQL注入攻击
* XSS攻击
* CSRF攻击
* Web暴力破解
* 文件包含攻击
* 命令注入攻击
* Webshell文件上传攻击
SQL注入攻击
### 数据库基础
* 定义
* 数据库
* 存储数据的仓库,包含了若干张数据表
* 数据表
* 存储和记录数据的容器单位
* 行
* 描述一条数据
* 列
* 数据的某一个属性,又称字段
*
#### 常见的数据库管理软件
* MySQL
* 搭配PHP网站使用
* Oracle
* 搭配Java应用使用
* SQL Server
* .NET开发的应用程序搭配使用
* MariaDB
* SQL
* 结构化查询语言,用于操纵数据库的语言
### SQL注入定义
* 用户将自行构造的SQL查询代码插入或提交到系统执行的查询语言中,从而干扰和或影响到正常查询效果的攻击手段
### SQL注入类型
* 普通SQL注入
*
#### 手工注入
* 1.寻找存在SQL注入漏洞的页面
* 可以向系统后台提交信息的页面
* 寻找URL中以?的方式向服务器传递信息的页面
* 2.测试该页面是否存在SQL注入漏洞
* 在URL传递的参数后加上单引号
* 返回页面报错,则说明存在SQL注入漏洞
* 不报错,则说明网站有防御措施
* 3.验证漏洞是数字型还是字符型
* 在URL后分别加上1 and 1=1 和 1 and 1 =2
* 1 and 1=1 有结果返回,1 and 1 =2 无结果返回,则说明漏洞是数字型
* 在URL后分别加上1' and 1=1# 和 1' and 1=2#
* 1'and 1=1# 有结果返回, 1' and 1=2#无结果返回则说明漏洞是字符型
* 4.验证该页面查询的内容共有几个字段
* 在URL后加上order by 5
* 有结果返回则说明该页面查询出的字段不小于5个,继续增加猜测的数字,直到页面报错为止.报错数字的上一个数字就是字段总数
* 5.当前页面中显示了哪几个字段
* 在URL后加上 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
* 当前页面中显示的数字就说明哪几个字段是被输出的
* 6.查询当前网站数据库的名称
* 在上一步的URL中,把有出场的数字替换成database()
* 7.查询当前数据库中所有的表名
* 在上一步的URL中,把有出场的数字替换成group_concat(table_name) ,在URL的最后加上 from information_schema.tables where table_schema = '当前数据库名'
* 8.查询表中字段名
* 在上一步的URL中,把有出场的数字替换成group_concat(column_name) ,在URL的最后加上 from information_schema.columns where table_name = '表名'
* 9.查询表中相应字段
* 子主题 1
* 在上一步的URL中,把有出场的数字替换成要查询的字段名 ,在URL的最后加上 from 表名
* 10.查询出的内容有md5加密,使用md5密文查询工具进行查询
*
#### SQLmap
* 1. sqlmap -u '存在漏洞的页面URL' --dbs
* 查询所有数据库名
* 2. sqlmap -u '存在漏洞的页面URL' -D 数据库名 --tables
* 查询某个数据库下的所有表名
* 3. sqlmap -u '存在漏洞的页面URL' -D 数据库名 -T表名 --columns
* 查询表中的所有列名
* 4. sqlmap -u '存在漏洞的页面URL' -D 数据库名 -T表名 -C字段名 --dump
* 查询表中对应字段的内容
*
### 盲注
*
#### 手工盲注
* 1.寻找存在SQL注入漏洞的页面
* 可以向系统后台提交信息的页面
* 寻找URL中以?的方式向服务器传递信息的页面
* 2.测试该页面是否存在SQL注入漏洞
* 在URL传递的参数后加上单引号
* 返回页面报错,则说明存在SQL注入漏洞
* 不报错,则说明网站有防御措施
* 3.猜解数据库名的长度
* 在URL后加上'and length(database())=1',如果返回结果为假,说明数据库名的长度不止一位;继续增加猜解的数字,知道返回结果为真为止,此时的数字就是数据库名的长度
* 4.猜借数据库名的第一个字符
* 在URL后分别加上'and ascii(substr(database(),1,1))\>97#,和 'and ascii(substr(database(),1,1))\<122#,如果返回结果都为真,则说明第一个字符是小写字母
* 继续增加数字,直到返回结果为假,说明猜借的数字asccii码对应的字母就是数据库名的第一个字符
* 5.按照上一步的方法继续猜解数据库名的剩余字符
* 6.猜解数据库中包含的数据表的数量
* 在URL后加上'and (select count (table_name) from information_schema.tables where table where table_schema='dvwa' ) =1#
* 若返回结果为假,则继续增大数字;若为真,则猜解正确
* 7.在URL后加上'and length((select table_name form information_schema.tables where table_schema=database() limit0,1))=1# 若返回结果为missing,则继续增大数字直到返回exist,此时就是该表名的长度
* 8.按照猜借数据库名同样的方法猜解表名的每个字符内容
* 9.按照上述方法猜解表中字段名
* 10.按照上述方法猜解数据表中的数据内容
*
### 常见的SQL注入防范方法
* 1.对用户输入和提交的内容进行安全检查和过滤
* 单引号\\双引号
* 括号
* and、or、union、order by
* 2.在PHP中使用PDO技术