写在前面
第17和18天都讲的sql注入,故合并
网络空间安全实训-渗透测试
-
Web渗透
-
定义
-
针对Web站点的渗透攻击,以获取网站控制权限为目的
-
-
Web渗透的特点
-
Web技术学习门槛低,更容易实现
-
Web的普及性决定了Web渗透更容易找到目标
-
网站程序开发者的技术参差不齐,更容易找到存在漏洞的网站
-
HTTP协议天然的安全缺陷,导致容易受到攻击
-
Web的身份识别技术存在天然的安全缺陷
-
通过入侵网站可以获得丰富的经济利益
-
-
OWASP TOP 10
-
SQL注入攻击
-
XSS攻击
-
CSRF攻击
-
Web暴力破解
-
文件包含攻击
-
命令注入攻击
-
Webshell文件上传攻击
-
-
-
SQL注入攻击
-
数据库基础
-
定义
-
数据库
-
存储数据的仓库,包含了若干张数据表
-
-
数据表
-
存储和记录数据的容器单位
-
-
行
-
描述一条数据
-
-
列
-
数据的某一个属性,又称字段
-
-
-
常见的数据库管理软件
-
MySQL
-
搭配PHP网站使用
-
-
Oracle
-
搭配Java应用使用
-
-
SQL Server
-
.NET开发的应用程序搭配使用
-
-
MariaDB
-
-
SQL
-
结构化查询语言,用于操纵数据库的语言
-
-
-
SQL注入定义
-
用户将自行构造的SQL查询代码插入或提交到系统执行的查询语言中,从而干扰和或影响到正常查询效果的攻击手段
-
-
SQL注入类型
-
普通SQL注入
-
手工注入
-
1.寻找存在SQL注入漏洞的页面
-
可以向系统后台提交信息的页面
-
寻找URL中以?的方式向服务器传递信息的页面
-
-
2.测试该页面是否存在SQL注入漏洞
-
在URL传递的参数后加上单引号
-
返回页面报错,则说明存在SQL注入漏洞
-
不报错,则说明网站有防御措施
-
-
-
3.验证漏洞是数字型还是字符型
-
在URL后分别加上1 and 1=1 和 1 and 1 =2
-
1 and 1=1 有结果返回,1 and 1 =2 无结果返回,则说明漏洞是数字型
-
-
在URL后分别加上1' and 1=1# 和 1' and 1=2#
-
1'and 1=1# 有结果返回, 1' and 1=2#无结果返回则说明漏洞是字符型
-
-
-
4.验证该页面查询的内容共有几个字段
-
在URL后加上order by 5
-
有结果返回则说明该页面查询出的字段不小于5个,继续增加猜测的数字,直到页面报错为止.报错数字的上一个数字就是字段总数
-
-
-
5.当前页面中显示了哪几个字段
-
在URL后加上 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15
-
当前页面中显示的数字就说明哪几个字段是被输出的
-
-
-
6.查询当前网站数据库的名称
-
在上一步的URL中,把有出场的数字替换成database()
-
-
7.查询当前数据库中所有的表名
-
在上一步的URL中,把有出场的数字替换成group_concat(table_name) ,在URL的最后加上 from information_schema.tables where table_schema = '当前数据库名'
-
-
8.查询表中字段名
-
在上一步的URL中,把有出场的数字替换成group_concat(column_name) ,在URL的最后加上 from information_schema.columns where table_name = '表名'
-
-
9.查询表中相应字段
-
子主题 1
-
在上一步的URL中,把有出场的数字替换成要查询的字段名 ,在URL的最后加上 from 表名
-
-
-
10.查询出的内容有md5加密,使用md5密文查询工具进行查询
-
-
SQLmap
-
1. sqlmap -u '存在漏洞的页面URL' --dbs
-
查询所有数据库名
-
-
2. sqlmap -u '存在漏洞的页面URL' -D 数据库名 --tables
-
查询某个数据库下的所有表名
-
-
3. sqlmap -u '存在漏洞的页面URL' -D 数据库名 -T表名 --columns
-
查询表中的所有列名
-
-
4. sqlmap -u '存在漏洞的页面URL' -D 数据库名 -T表名 -C字段名 --dump
-
查询表中对应字段的内容
-
-
-
-
盲注
-
手工盲注
-
1.寻找存在SQL注入漏洞的页面
-
可以向系统后台提交信息的页面
-
寻找URL中以?的方式向服务器传递信息的页面
-
-
2.测试该页面是否存在SQL注入漏洞
-
在URL传递的参数后加上单引号
-
返回页面报错,则说明存在SQL注入漏洞
-
不报错,则说明网站有防御措施
-
-
-
3.猜解数据库名的长度
-
在URL后加上'and length(database())=1',如果返回结果为假,说明数据库名的长度不止一位;继续增加猜解的数字,知道返回结果为真为止,此时的数字就是数据库名的长度
-
-
4.猜借数据库名的第一个字符
-
在URL后分别加上'and ascii(substr(database(),1,1))>97#,和 'and ascii(substr(database(),1,1))<122#,如果返回结果都为真,则说明第一个字符是小写字母
-
继续增加数字,直到返回结果为假,说明猜借的数字asccii码对应的字母就是数据库名的第一个字符
-
-
5.按照上一步的方法继续猜解数据库名的剩余字符
-
6.猜解数据库中包含的数据表的数量
-
在URL后加上'and (select count (table_name) from information_schema.tables where table where table_schema='dvwa' ) =1#
-
若返回结果为假,则继续增大数字;若为真,则猜解正确
-
-
7.在URL后加上'and length((select table_name form information_schema.tables where table_schema=database() limit0,1))=1# 若返回结果为missing,则继续增大数字直到返回exist,此时就是该表名的长度
-
8.按照猜借数据库名同样的方法猜解表名的每个字符内容
-
9.按照上述方法猜解表中字段名
-
10.按照上述方法猜解数据表中的数据内容
-
-
-
常见的SQL注入防范方法
-
1.对用户输入和提交的内容进行安全检查和过滤
-
单引号\双引号
-
括号
-
and、or、union、order by
-
-
2.在PHP中使用PDO技术
-
-
-
