實(shí)訓(xùn)項(xiàng)目1：Web安全應(yīng)用分析之SQL注入及防護(hù)配置

尋真求是格物致知信息安全發(fā)展態(tài)勢(shì)與知識(shí)拓展實(shí)訓(xùn)項(xiàng)目指導(dǎo)手冊(cè)V1.0目錄TOC\o"1-2"\h\u11700Web安全應(yīng)用分析之SQL注入及防護(hù)配置 223041實(shí)驗(yàn)概述 231094實(shí)驗(yàn)環(huán)境 24340前提條件 223實(shí)驗(yàn)流程 23146實(shí)驗(yàn)?zāi)繕?biāo) 311147任務(wù)1環(huán)境準(zhǔn)備 320521任務(wù)2判斷注入點(diǎn) 512640任務(wù)3猜測(cè)字段數(shù) 724058任務(wù)4執(zhí)行Union聯(lián)合查詢 928449任務(wù)5獲取數(shù)據(jù) 108122任務(wù)6SQL注入防護(hù) 13

Web安全應(yīng)用分析之SQL注入及防護(hù)配置實(shí)驗(yàn)概述SQL注入是比較常見(jiàn)的網(wǎng)絡(luò)攻擊方式之一，它不是利用操作系統(tǒng)的BUG來(lái)實(shí)現(xiàn)攻擊，而是針對(duì)程序員編寫時(shí)的疏忽，通過(guò)SQL語(yǔ)句，實(shí)現(xiàn)無(wú)賬號(hào)登錄，甚至篡改數(shù)據(jù)庫(kù)。凡有SQL注入漏洞的程序，都是因?yàn)槌绦蛞邮軄?lái)自客戶端用戶輸入的變量或URL傳遞的參數(shù)，并且這個(gè)變量或參數(shù)是組成SQL語(yǔ)句的一部分。DVWA(DamVulnerableWebApplication)是用PHP+Mysql編寫的一套用于常規(guī)Web漏洞教學(xué)和檢測(cè)的Web脆弱性測(cè)試程序。提供Low、Medium、High、Impossible四個(gè)安全級(jí)別，包含了SQL注入、XSS、CSRF等常見(jiàn)的Web安全漏洞。HackBar是Firefox提供的插件，主要功能有：網(wǎng)址的載入訪問(wèn)、聯(lián)合查詢、各種編碼/解碼、數(shù)據(jù)加密等。HackBar可以幫助安全人員測(cè)試SQL注入、XSS、CSRF等安全漏洞以及網(wǎng)站的安全性。實(shí)驗(yàn)環(huán)境攻擊機(jī)：WindowsServer2016（01-Windows攻擊機(jī)），IP：30靶機(jī)：WindowsServer2016（01-Windows攻擊機(jī)），IP：30集成環(huán)境：PhpStudy網(wǎng)站：DVWA-v1.10，low安全級(jí)別前提條件本實(shí)驗(yàn)要求：熟悉Windows基本操作熟悉基本的SQL語(yǔ)句實(shí)驗(yàn)流程實(shí)驗(yàn)?zāi)繕?biāo)完成本實(shí)驗(yàn)后，將能夠：了解SQL注入原理掌握基本SQL注入方法掌握SQL注入漏洞防護(hù)方法任務(wù)1環(huán)境準(zhǔn)備【任務(wù)目標(biāo)】啟動(dòng)動(dòng)態(tài)網(wǎng)站集成環(huán)境，并訪問(wèn)SQL注入站點(diǎn)?！救蝿?wù)步驟】啟動(dòng)動(dòng)態(tài)網(wǎng)站集成環(huán)境雙擊桌面的”phpstudy”集成環(huán)境，并單擊”啟動(dòng)”按鈕，運(yùn)行網(wǎng)站。瀏覽器訪問(wèn)SQL注入站點(diǎn)雙擊桌面的”火狐瀏覽器”，在URL地址欄中輸入：/dvwa/login.php輸入默認(rèn)賬號(hào)和密碼登錄網(wǎng)站：賬號(hào)：admin密碼：password單擊左側(cè)菜單導(dǎo)航欄的”SQLInjection”，進(jìn)入SQL注入頁(yè)面。任務(wù)2判斷注入點(diǎn)【任務(wù)目標(biāo)】利用加單引號(hào)等方式，判斷頁(yè)面是否存在注入點(diǎn)。【任務(wù)步驟】判斷是否存在注入點(diǎn)在輸入框中，輸入：1并單擊“Submit”按鈕提交。頁(yè)面回顯了ID為1的用戶姓名信息，說(shuō)明頁(yè)面正常。繼續(xù)在輸入框中，輸入：1’并單擊“Submit”按鈕提交。頁(yè)面報(bào)錯(cuò)并顯示了錯(cuò)誤信息，根據(jù)錯(cuò)誤信息可以了解到此錯(cuò)誤為語(yǔ)法錯(cuò)誤，數(shù)據(jù)庫(kù)類型為MySQL。注：因?yàn)樵撜军c(diǎn)為字符型注入漏洞，所以需要構(gòu)造閉合語(yǔ)句。構(gòu)造如下閉合邏輯語(yǔ)句：1'and1=1#可以看到語(yǔ)句能夠成功被服務(wù)器執(zhí)行，并顯示正常的頁(yè)面信息。繼續(xù)構(gòu)造閉合邏輯語(yǔ)句：1'and1=2#可以看到語(yǔ)句能夠成功被服務(wù)器執(zhí)行，但頁(yè)面沒(méi)有正常信息回顯。根據(jù)以上執(zhí)行結(jié)果判斷，該頁(yè)面確定存在SQL注入漏洞。任務(wù)3猜測(cè)字段數(shù)【任務(wù)目標(biāo)】通過(guò)orderby猜測(cè)查詢的字段數(shù)量?！救蝿?wù)步驟】猜測(cè)字段數(shù)為10構(gòu)造如下閉合語(yǔ)句：1'orderby10#頁(yè)面報(bào)錯(cuò)，并顯示不存在10個(gè)長(zhǎng)度的字段，說(shuō)明字段數(shù)小于10。因此范圍在1到10之間。猜測(cè)字段數(shù)為5一般采用“二分”方法來(lái)猜測(cè)字段數(shù)，如：第一次猜測(cè)為100，下一次為50，再下一次為25以此類推，直到猜出正確的字段數(shù)。繼續(xù)構(gòu)造：1'orderby5#，同樣顯示錯(cuò)誤，說(shuō)明數(shù)量不為5。猜測(cè)字段數(shù)為3繼續(xù)構(gòu)造：1'orderby3#，同樣顯示錯(cuò)誤，說(shuō)明數(shù)量不為3。猜測(cè)字段數(shù)為2繼續(xù)構(gòu)造：1'orderby2#，頁(yè)面顯示正常，說(shuō)明字段數(shù)量為2。任務(wù)4執(zhí)行Union聯(lián)合查詢【任務(wù)目標(biāo)】通過(guò)執(zhí)行union聯(lián)合查詢，確定回顯位置?！救蝿?wù)步驟】構(gòu)造聯(lián)合查詢語(yǔ)句確定查詢字段數(shù)量后，可以通過(guò)聯(lián)合查詢語(yǔ)句來(lái)確定數(shù)據(jù)回顯的位置，最后通過(guò)該位置獲取數(shù)據(jù)庫(kù)中的敏感信息。構(gòu)造如下語(yǔ)句：1'unionselect1,2#，有多少個(gè)字段數(shù)，select后面就加上對(duì)應(yīng)的數(shù)字。任務(wù)5獲取數(shù)據(jù)【任務(wù)目標(biāo)】通過(guò)構(gòu)造并執(zhí)行unionselect查詢語(yǔ)句，獲取數(shù)據(jù)庫(kù)中的數(shù)據(jù)信息。【任務(wù)步驟】獲取數(shù)據(jù)庫(kù)相關(guān)信息通過(guò)內(nèi)嵌函數(shù)version()，database()等獲取數(shù)據(jù)庫(kù)版本信息和數(shù)據(jù)庫(kù)名。構(gòu)造語(yǔ)句：1'unionselectversion(),database()#得到數(shù)據(jù)庫(kù)名為：dvwa，MySQL數(shù)據(jù)庫(kù)版本為5.5.53。獲取數(shù)據(jù)庫(kù)表名在MySQL版本大于5時(shí)，默認(rèn)存在information_schema庫(kù)，該庫(kù)中存在其他庫(kù)的所有數(shù)據(jù)。根據(jù)已經(jīng)獲得的信息，繼續(xù)構(gòu)造語(yǔ)句，獲取數(shù)據(jù)庫(kù)表名：1'unionselecttable_name,2frominformation_schema.tableswheretable_schema='dvwa'#可以看到，在1的回顯位置上，顯示了兩張數(shù)據(jù)庫(kù)表名：guestbook，users。其中users表名存在管理員帳號(hào)密碼可能性最大。獲取字段名繼續(xù)構(gòu)造聯(lián)合查詢語(yǔ)句，獲取users表的字段名：1'unionselectcolumn_name,2frominformation_schema.columnswheretable_schema='dvwa'andtable_name='users'#得到8個(gè)字段名，猜測(cè)user和password字段分別存在賬號(hào)和密碼。獲取字段內(nèi)容構(gòu)造SQL查詢語(yǔ)句，獲取字段user和password里面的內(nèi)容：1'unionselectuser,passwordfromusers#最終得到5個(gè)用戶的賬號(hào)和密碼，其中包括管理員賬號(hào)和密碼：admin/5f4dcc3b5aa765d61d8327deb882cf99密碼解密由于多數(shù)站點(diǎn)的默認(rèn)數(shù)據(jù)庫(kù)用戶密碼加密方式為：MD5哈希算法，而dvwa站點(diǎn)默認(rèn)也是采用此算法進(jìn)行密碼加密。因此，可以將密碼放到在線解密網(wǎng)站進(jìn)行解密。例如：最終得到admin用戶的密碼為password任務(wù)6SQL注入防護(hù)【任務(wù)目標(biāo)】通過(guò)在頁(yè)面中加入防護(hù)代碼，實(shí)現(xiàn)對(duì)SQL注入漏洞的代碼級(jí)防護(hù)效果?！救蝿?wù)步驟】mysql_real_escape_string()函數(shù)mysql_real_escape_string()函數(shù)可以將用戶輸入的特殊字符進(jìn)行轉(zhuǎn)義。轉(zhuǎn)義的特殊字符包括：\x00\n\r\'（單引號(hào)）"（雙引號(hào)）\x1a進(jìn)入C:\phpStudy\PHPTutorial\WWW\DVWA\vulnerabilities\sqli\source\文件夾，編輯low.php文件。將 $id=$_REQUEST['id'];修改為$id=mysql_real_escape_string($_REQUEST['id']);保存并退出編輯。驗(yàn)證漏洞修復(fù)結(jié)果在SQL注入頁(yè)面中，執(zhí)行1’and1=1#語(yǔ)句?？梢钥吹巾?yè)面已經(jīng)不再顯示任何內(nèi)容，也沒(méi)有報(bào)錯(cuò)提示，說(shuō)明漏洞已經(jīng)修復(fù)成功。addslashes()函數(shù)addslashes()函數(shù)同樣可以將特定字符進(jìn)行轉(zhuǎn)義，從而達(dá)到修復(fù)效果。進(jìn)入C:\phpStudy\PHPTutorial\WWW\DVWA\vulnerabilities\sqli\source\文件夾，編輯low.php文件。將 $id