劉紅崗Web漏洞掃描器初探

1、360360泄密事件泄密事件2010年最后一天，普通用戶(hù)可以在google網(wǎng)站上搜索指定關(guān)鍵字，可以搜2010年索到大量中國(guó)互聯(lián)網(wǎng)用戶(hù)使用互聯(lián)網(wǎng)的隱私記錄，甚至包括用戶(hù)登陸網(wǎng)站或郵箱的用戶(hù)名、密碼等 CSDNCSDN泄密事件泄密事件 2011年12月，CSDN的安全系統(tǒng)遭到黑客攻擊，600萬(wàn)用戶(hù)的登錄名、密碼及郵箱遭到泄漏。 隨后，CSDN密碼外泄門(mén)持續(xù)發(fā)酵，天涯、世紀(jì)佳緣等網(wǎng)站相繼被曝用戶(hù)數(shù)據(jù)遭泄密。天涯網(wǎng)于12月25日發(fā)布致歉信，稱(chēng)天涯4000萬(wàn)用戶(hù)隱私 遭到黑客泄露。QQQQ泄密事件泄密事件2013年11月日，互聯(lián)網(wǎng)攻防實(shí)驗(yàn)室研究員安揚(yáng)通過(guò)迅雷，下載到了此次被曝光的“群數(shù)據(jù)庫(kù)”，并通過(guò)簡(jiǎn)

2、單測(cè)試驗(yàn)證了數(shù)據(jù)的真實(shí)性。“解壓后達(dá)多，大概有多萬(wàn)個(gè)群，億多個(gè)部分重復(fù)的號(hào)碼。 廣西大學(xué)玉林師范學(xué)院玉林師范學(xué)院西安郵電大學(xué)中國(guó)知網(wǎng)?有什么問(wèn)題惡意攻擊者往Web頁(yè)面里插入惡意html代碼，當(dāng)用戶(hù)瀏覽該頁(yè)之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意用戶(hù)的特殊目的。?有什么問(wèn)題?有什么問(wèn)題?有什么問(wèn)題SQL注入（Sql Injection）是這樣一種漏洞：應(yīng)用程序在向后臺(tái)數(shù)據(jù)庫(kù)傳遞SQL(Structured Query language,結(jié)構(gòu)化查詢(xún)語(yǔ)言)查詢(xún)時(shí)，如果為攻擊者提供了影響該查詢(xún)的能力，則會(huì)引發(fā)SQL注入。攻擊者通過(guò)影響傳遞給數(shù)據(jù)庫(kù)的內(nèi)容來(lái)修改SQL自身的語(yǔ)法和能力，

3、并且會(huì)影響SQL所支持?jǐn)?shù)據(jù)庫(kù)和操作數(shù)的功能靈活性。SQL注入不只是一種會(huì)影響Web應(yīng)用的漏洞；對(duì)于任何不可信源獲取輸入的代碼來(lái)說(shuō)，如果使用該輸入來(lái)構(gòu)造SQL語(yǔ)句，那么就有可能也會(huì)受到攻擊（例如，客戶(hù)端/服務(wù)器框架中的“胖客戶(hù)端”程序)語(yǔ)義和行為：即使一個(gè)單引號(hào)不會(huì)產(chǎn)生錯(cuò)誤，應(yīng)用程序也并非不會(huì)受到SQL注入的攻擊。系統(tǒng)管理員可能對(duì)其進(jìn)行了設(shè)置，是錯(cuò)誤發(fā)生時(shí)，以一個(gè)默認(rèn)的頁(yè)面作為反映?；跀?shù)字的加，求模，十六進(jìn)制，八進(jìn)制等，基于字符的十六進(jìn)制，連接字符串，返回最小、最大值等改變流程：假如一個(gè)登陸的sql語(yǔ)句為Strng sql=“select * from UserTable where user

4、name=”+username+”and password=”+password+”;可以輸入框中輸入：用戶(hù)名：a or a=a密碼：任意；即可登陸查詢(xún)替換數(shù)據(jù)：使用Union操作符把兩個(gè)不同的SELECT語(yǔ)句結(jié)果聯(lián)合起來(lái)，這使得開(kāi)發(fā)者可以?xún)H用一個(gè)單獨(dú)的查詢(xún)，便能獲得來(lái)自不同表中的數(shù)據(jù)。如下：http:/localhost:8080/TestPath/search.action?account=admin%27union+select+CustomerName%2CAddress%2Cnull%2Cnull%2Cnull%2Cnull%2Cnull%2Cnull%2Cnull%2Cnull%2

5、Cnull+from+customer%20%20where%20%27a%27=%27a掃描器在解析應(yīng)用程序內(nèi)容后，將瀏覽它的功能，在每個(gè)請(qǐng)求的每個(gè)參數(shù)中提交一系列的測(cè)試字符串，然后分析應(yīng)用程序的響應(yīng)，從中查找常見(jiàn)漏洞的簽名。接下來(lái)，掃描器生成一個(gè)報(bào)告，掃描它發(fā)現(xiàn)的每一個(gè)漏洞。通常，這份報(bào)告包括用于診斷被發(fā)現(xiàn)漏洞的請(qǐng)求與響應(yīng)，允許經(jīng)驗(yàn)豐富的用戶(hù)對(duì)他們進(jìn)行手工調(diào)查，確認(rèn)漏洞是否存在。使用掃描器可以相當(dāng)可靠的探測(cè)到幾種常見(jiàn)的漏洞。這些漏洞有非常明顯的簽名，這些簽名就在應(yīng)用程序的請(qǐng)求與響應(yīng)中。還有些情況下，如果確定漏洞已經(jīng)存在，掃描器會(huì)發(fā)送一個(gè)專(zhuān)門(mén)設(shè)計(jì)的請(qǐng)求，以觸發(fā)它的簽名。如果簽名出現(xiàn)在應(yīng)用程序

6、中，那么掃描器可據(jù)此推斷，漏洞確實(shí)存在。常見(jiàn)的漏洞簽名，請(qǐng)參考黑客攻防技術(shù)寶典Web實(shí)戰(zhàn)篇SQL注入攻擊與防御整個(gè)程序是這樣運(yùn)作的：Scheduler不斷從Queue取出URL，如果發(fā)現(xiàn)可用的爬蟲(chóng)（空閑線(xiàn)程），那么就將URL分給一只爬蟲(chóng)。然后爬蟲(chóng)完成下載網(wǎng)頁(yè)，抽取URL，保存網(wǎng)頁(yè)的工作后就回歸Scheduler（變回空閑線(xiàn)程）。直到Queue沒(méi)有待爬取的URL，并且所有爬蟲(chóng)都空閑下來(lái)，就停止程序。 Scheduler的主要工作就是建立線(xiàn)程池，從Queue中取出URL，分配URL給線(xiàn)程。容易出錯(cuò)的地方是退出條件。如果只是判斷Queue為空就退出是不行的。因?yàn)檫@時(shí)可能還有爬蟲(chóng)在工作中，而它可能提取

7、到新的URL加到Queue中。所以退出條件應(yīng)該是Queue為空且線(xiàn)程池的線(xiàn)程全部空閑為空且線(xiàn)程池的線(xiàn)程全部空閑。 Queue負(fù)責(zé)保存URL，判斷URL重復(fù)出現(xiàn)與否。目前的保存方式是先使用Hash判斷URL是否已經(jīng)保存過(guò)，然后再將完整的URL整個(gè)保存到list中。從Queue中取出URL時(shí)使用廣度優(yōu)先原則。獲取Html源碼，可是使用HtmlUnitDriver的API來(lái)完成，并且可以得到JS動(dòng)態(tài)解析的內(nèi)容但是使用的同時(shí)，也失去了很多的靈活性，因?yàn)樵诜治雎┒磿r(shí)，會(huì)需要分析響應(yīng)頭，狀態(tài)碼等信息JS的動(dòng)態(tài)解析，也許可是自己實(shí)現(xiàn)JS引擎，還未實(shí)現(xiàn)。綜上考慮，選用Socket直接獲取源碼，實(shí)現(xiàn)如下：首先構(gòu)

8、造頁(yè)面請(qǐng)求：使用Socket發(fā)送請(qǐng)求：解析Html源碼：使用正則表達(dá)式，提取響應(yīng)碼status,長(zhǎng)度length,body中的內(nèi)容因?yàn)樾枰鶕?jù)頁(yè)面內(nèi)容，來(lái)提取form,input,textarea,method,等，其用到的正則表達(dá)式如下：提取超鏈接的正則表達(dá)式：(?i)(?s)提取Base標(biāo)簽的正則表達(dá)式：+?s*?Input標(biāo)簽：+?)s*?)Select標(biāo)簽：+?)s*?(.*?)Textarea標(biāo)簽：+?)s*?(.*?)Form標(biāo)簽：+?)s*?(.*?)1.解析URL，分離出所需參數(shù)，如果沒(méi)有結(jié)束2.判斷主機(jī)是否存活，不存活，結(jié)束3.取出當(dāng)前參數(shù)，如果已經(jīng)沒(méi)有，結(jié)束4.使用有效負(fù)載

9、與當(dāng)前參數(shù)組合，發(fā)送請(qǐng)求。如果負(fù)載已經(jīng)沒(méi)有，結(jié)束。5.比較原始頁(yè)面，與加入負(fù)載后得到的頁(yè)面，如果無(wú)漏洞簽名，使負(fù)載指向下一個(gè)負(fù)載，轉(zhuǎn)向4.6.使當(dāng)前參數(shù)指向下一個(gè)參數(shù)，轉(zhuǎn)向3.（1）、測(cè)試主機(jī)是否存活，也就是判斷網(wǎng)頁(yè)是否可以瀏覽到。如果是用戶(hù)直接輸入的網(wǎng)址，在大部分情況下都是可以訪問(wèn)的。如果是由爬蟲(chóng)爬到的網(wǎng)址，就會(huì)有一部分過(guò)期的網(wǎng)址無(wú)法訪問(wèn)。通過(guò)測(cè)試連接決定是否繼續(xù)進(jìn)行SQL注入掃描可以節(jié)省很多時(shí)間。思路：根據(jù)端口號(hào)和主機(jī)名，使用socket套接字，判斷主機(jī)是否連接過(guò)且沒(méi)有關(guān)閉，來(lái)判斷主機(jī)存活。（2）、測(cè)試網(wǎng)頁(yè)是否穩(wěn)定，也就是測(cè)試網(wǎng)頁(yè)是否有隨時(shí)間變化的東西，比如滾動(dòng)的廣告等。 思路：在間隔比較

10、短的時(shí)間內(nèi)各取一次同一個(gè)網(wǎng)頁(yè),然后測(cè)試兩次所取到的內(nèi)容是否相同。如果不同則說(shuō)明頁(yè)面內(nèi)容是動(dòng)態(tài)變化的。（3）、測(cè)試URL中的某一個(gè)參數(shù)是否是動(dòng)態(tài)的，也就是說(shuō)這個(gè)參數(shù)是否是決定頁(yè)面內(nèi)容的關(guān)鍵參數(shù)。原理是：使用一個(gè)隨機(jī)數(shù)或者隨機(jī)字符串（取決于需要替換的參數(shù)類(lèi)型）來(lái)替換原來(lái)的參數(shù)，然后和原來(lái)的頁(yè)面進(jìn)行對(duì)比。如果不同，則說(shuō)明此參數(shù)是關(guān)鍵參數(shù)并可以用來(lái)進(jìn)行sql注入掃描。否則忽略這個(gè)參數(shù)。 注：在一些頁(yè)面參數(shù)中，可能某些參數(shù)是固定不變的。這樣的參數(shù)無(wú)法用來(lái)進(jìn)行sql注入掃描。忽略一些靜態(tài)參數(shù)可以節(jié)省很多時(shí)間。識(shí)別注入類(lèi)型：基本的注入類(lèi)型有三類(lèi)：字符型注入、數(shù)字型注入，查詢(xún)結(jié)構(gòu)型注入。判斷字符注入的基本思路

11、是：（1）構(gòu)造 上引號(hào)“”注入，取回返回頁(yè)面（2）構(gòu)造and a=a注入，取回返回頁(yè)面（3）構(gòu)造and a=b注入，取回返回頁(yè)面如果（原）！=(1)&（原）=(2)&（原）！=（3）,可斷定存在字符型注入識(shí)別注入類(lèi)型：數(shù)字型注入，和字符型注入類(lèi)型基本相同，構(gòu)造一下語(yǔ)句（1）上引號(hào)語(yǔ)句（）,取回頁(yè)面（2）and 1=1 取回頁(yè)面（3）and 1=2取回頁(yè)面（原）！=（1）&(原)=（2）&(原)！=（3）,成立，則存在數(shù)字型注入指紋識(shí)別數(shù)據(jù)庫(kù)：一種可靠的方法是根據(jù)數(shù)據(jù)庫(kù)連接字符串的不同方式進(jìn)行識(shí)別。在控制某個(gè)字符串?dāng)?shù)據(jù)項(xiàng)的查詢(xún)中，可以在一個(gè)請(qǐng)求中提交一個(gè)特殊的值，

12、然后測(cè)試連接方法，以生成那個(gè)字符串。如果各道相同的結(jié)果，就可以確定所使用的數(shù)據(jù)庫(kù)類(lèi)型。下面示例說(shuō)明常用的數(shù)據(jù)庫(kù)如何構(gòu)建services字符串Oracle:serv|icesMS-SQL:serv+icesMySQL:serv ices(注意中間的空格)如果是數(shù)字?jǐn)?shù)據(jù)，則可以使用下面的攻擊字符串來(lái)識(shí)別數(shù)據(jù)庫(kù)。每個(gè)數(shù)據(jù)項(xiàng)在目標(biāo)庫(kù)中的求值結(jié)果為0,在其他數(shù)據(jù)庫(kù)中則會(huì)導(dǎo)致錯(cuò)誤Oracle:BITAND(1,1)-BITAND(1,1)MS-SQL:PACK_RECEIVEC-PACK_RECEIVEDMy-SQL:CONNECTION_ID()-CONNECTION_ID()指紋識(shí)別數(shù)據(jù)庫(kù)：確定查詢(xún)影

13、響的列：攻擊的首要任務(wù)是查明應(yīng)用程序執(zhí)行的最初查詢(xún)所返回的列數(shù)?？梢岳肗ULL被轉(zhuǎn)換為認(rèn)可數(shù)據(jù)類(lèi)型的事實(shí)，系統(tǒng)性地注入包含不同列數(shù)的查詢(xún)，直到注入的查詢(xún)得到執(zhí)行，例如：union select null union select null ,null union select null,null,null,-查詢(xún)得到執(zhí)行就說(shuō)明使用了正確的類(lèi)書(shū)。如果應(yīng)用程序不返回?cái)?shù)據(jù)庫(kù)錯(cuò)誤消息，仍然可以了解注入查詢(xún)是否執(zhí)行，因?yàn)闀?huì)受到另外一行數(shù)據(jù)，其中包含null或一個(gè)空字符串。注意，注入行可能只包含空單元格，因此不容易知道何時(shí)以html提交。所以，需要查看行的反應(yīng)。確定列屬性：確定所需的列數(shù)后，下一項(xiàng)任務(wù)就

14、是找到一個(gè)使用字符串?dāng)?shù)據(jù)類(lèi)型的列，以便從數(shù)據(jù)庫(kù)中取出任意數(shù)據(jù)。和前面一樣，可以通過(guò)注入一個(gè)包含null值的查詢(xún)，并系統(tǒng)地用a代替每個(gè)null,從而完成這個(gè)任務(wù)。例如，如果知道查詢(xún)返回3列，可以注入以下查詢(xún)：union select a ,null,null union select null,a,null - union select null,null,a-如果注入的查詢(xún)得到執(zhí)行，將看到另外一行包含a值的數(shù)據(jù)，然后就可以使用相關(guān)列從數(shù)據(jù)庫(kù)提取數(shù)據(jù)。注：如果是oracle,每個(gè)select語(yǔ)句必須包含一個(gè)from屬性?？梢赃@樣構(gòu)造：union select null from dual;(du

15、al是全局可訪問(wèn)的表)提取有效數(shù)據(jù)：如果已經(jīng)確定注入的查詢(xún)所需的列數(shù)，并且已經(jīng)找到一個(gè)使用字符串的數(shù)據(jù)類(lèi)型的列，就可以提取任意數(shù)據(jù)。一個(gè)簡(jiǎn)單的概念驗(yàn)證測(cè)試是提取數(shù)據(jù)庫(kù)的版本字符串，可以對(duì)任何數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）進(jìn)行測(cè)試。例如如果查詢(xún)一共有三列，第一列可以提取字符串?dāng)?shù)據(jù)，可以在MS-SQL和MySQL中注入以下語(yǔ)句提取查詢(xún)數(shù)據(jù)庫(kù)版本：union select version,null,null對(duì)Oracle注入以下查詢(xún)語(yǔ)句得到相同的結(jié)果union select banner,null,null,null from v$version-1.爬蟲(chóng)時(shí)還有好多動(dòng)態(tài)的頁(yè)面不能獲得2.頁(yè)面提交數(shù)據(jù)可能

16、使用ajax提交，對(duì)ajax的邏輯判斷，是一個(gè)挑戰(zhàn)3.依然很難找到一個(gè)標(biāo)準(zhǔn)來(lái)確認(rèn)漏洞存在4.沒(méi)有任何知覺(jué)，只是靠載荷加載攻擊，而不能憑知覺(jué)來(lái)判斷漏洞的催在5.還沒(méi)有找出判斷二階sql注入的有效方法6.如果突然斷電，則全部進(jìn)程終止，這樣浪費(fèi)了大量時(shí)間爬蟲(chóng)結(jié)果：注入測(cè)試：SqlmapSqlmap：sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. It comes with a powerful detection engine, many niche features f