如何使用加密的Payload来识别并利用SQL注入漏洞

写在前面的话

密码学具有诸多优点,信息的保密性同样离不开密码学,但是从历史经验来看,在保护应用和数据安全方面我们绝对不能过分依赖于密码学。在这篇文章中,安全教育培训专家SunilYadav将会讨论一个案例,并介绍如何通过一个加密的Payload来发现并利用SQL注入漏洞。

请注意:我们在此不打算讨论密码学方面的问题(例如如何破解加密算法),我们讨论的是应用程序的安全缺陷,这方面问题是很多开发者最容易忽略的问题,而本文所描述的这个漏洞将允许我们通过一个加密的Payload来识别并利用程序中的SQL注入漏洞。

实际上,这个漏洞是我们在一次真实的渗透测试过程中所发现的。为了给大家进行演示,我们在实验环境中对该漏洞进行了复现,接下来我们会讨论整个测试过程的具体细节。

漏洞发现

近期,我们对一个电子商务应用进行了渗透测试。我们发现,其中绝大多数的请求参数值都经过了加密处理。当请求参数值被加密之后,我们是很难对应用进行渗透测试/模糊测试的,除非我们能够破解它所使用的加密算法。如果在时间有限的黑盒测试过程中遇到这样的问题,那绝对是一个噩耗。

下面这张图片显示的就是这个测试项目中的订单详情页面,其中的订单ID(orderid)参数就是以加密形式发送的:

地址栏中的参数值“BDKfx3xNKsc=”是经过加密的,虽然加密后的ID参数值为base64编码格式,但这里不仅仅只采用了base64编码。除此之外我们还发现,如果我们登出了应用,并使用相同的用户账号重新登录,然后再次访问相同的页面。此时,这个经过加密的参数值就变成了“nPBri1km2ic=”,具体如下图所示:

由此可以看出,加密过程要么使用了一个随机密钥,要么就是加密密钥中有一部分数据是由会话ID构成的。从表面上看,这个应用是非常安全的,没错吧?但是我们都知道,这世界上没有绝对安全的程序,所以我们仍然要想办法找出其中有可能存在的一些加密缺陷。

首先,我们尝试在多个地方注入单引号(’)来测试系统是否能够对用户的输入进行有效验证。但是,由于这些输入必须以加密格式提供给系统,所以我们的请求参数被系统拒绝了。

接下来,我们注意到了该应用的购物车分享功能。这个功能允许用户将自己购物车里的商品分享给好友,当用户保存好购物车里的商品并点击分享之后,系统会生成一个带有随机令牌的链接。通过访问这个链接(URL),用户就可以直接查看好友的购物车了。而且在保存购物车商品之前,用户还需要给购物车命名。

由于这是一个使用频率非常低的文本输入域,所以我们的模糊测试打算从这里入手,并尝试找出SQL注入漏洞或XSS漏洞,但这一次仍然一无所获。不过,我们意识到了一件事情,那就是我们所发现的这个分享地址和购物车命名框也许会成为我们的突破口。在进一步分析之后,我们发现购入车分享地址中所使用的令牌就是购物车名称加密后所得到的密文。

虽然这个购物车分享功能并不会受到任何网络攻击的影响,但是我们却能够利用这个功能并根据输入的信息(明文,即购物车名称)来生成加密Payload(密文)。现在,我们就可以利用这个功能来生成一个攻击Payload,并利用它来检查应用程序中可能存在的漏洞,例如SQL注入漏洞以及身份认证绕过等等。为了检测SQL注入漏洞,我们需要生成单引号(’)所对应的加密值,具体如下图所示:

这样一来,对于那些只接受加密值作为输入数据的文本域,我们就可以使用这种加密Payload来进行模糊测试了。虽然寻找注入点的过程花费了我们不少的时间,但最终我们还是找到了一个SQL注入漏洞。具体如下图所示,我们在测试订单物品(orderitem)页面的IP参数时,系统返回了一个SQL错误信息:

从错误信息中可以看出,这个电子商务应用生成了动态查询语句,这里就有可能存在一个SQL注入漏洞,而我们可以利用这个漏洞从数据库中提取出有价值的信息。在这里,我们准备使用SQL
UNION查询语句来从数据库中提取数据,而UNION操作符可以合并两条或多条select子句。

接下来,我们需要确定数据库表中的列数。在进行了一系列测试之后,我们从返回信息中得知了列数(30)。现在,我们就可以从数据库中提取有效信息了。我们创建了一个加密Payload,具体如下所示:

通过上面这条SQL语句所生成的Payload(ID参数),我们得到了系统所使用的数据库版本信息。

最后,我们还利用这个漏洞攻下了数据库系统,并拿到了后台服务器的Shell。

总结

这个电子商务应用程序使用了加密参数来实现安全保护,这也是通过信息隐匿来实现安全性的一个例子,但是这种做法并不能保证软件的安全。只有在密钥得到有效保护的情况下,采用健壮加密算法进行加密的数据才能够真正地保证安全。实际上,密码学以及信息加密手段已经成为了我们防止隐私消息被窃听或篡改的一种常用方法,但是由于系统在实现加密过程中的错误以及开发人员对加密手段的使用不当,往往会导致更加严重的安全漏洞出现。

作者:Alpha_h4ck
来源:51CTO

时间: 2024-08-01 06:58:44

如何使用加密的Payload来识别并利用SQL注入漏洞的相关文章

如何使用加密的Payload来识别并利用SQL注入漏洞?

本文讲的是如何使用加密的Payload来识别并利用SQL注入漏洞?,不可否认,密码学具有各种各样的优点,比如信息的机密性,但是对于密码过分的依赖,利用其保护应用程序俨然是一个坏主意.在这篇文章中我们app安全的首席培训师森尔·亚达夫,将针对一个案例进行研究,其中有一个SQL注入漏洞是通过加密的payload来进行识别和利用的. 注意:我们在本文中讨论的问题并不是加密(即如何破解密码),而是应用程序自身的缺陷,并且能够由开发人员进行监督,使我们生成加密的有效负载(即任何给定明文的密文),然后将其用

如何识别和利用用户情绪

在日常的可用性测试.深访.座谈会等调研中,无论是作为主持人还是观察员,我们会发现一些有意思的现象:用户在参与的过程中,有做沉思状态.有茫然感.有皱眉等,除此之外,还会出现一些肢体动作,如耸肩.双手交叉等;以及伴随一些语气语调的变化,如咦.哦.啧等.用户展现出的如此丰富.有意思的面部表情.肢体动作以及语气语调,和我们的调研项目很多方面存在直接的关系. 调研中常见情绪情景 在日常调研中,和用户的交流主要在用户招募.定性调研执行阶段: 1)在招募用户过程中,尤其是只闻其声不见其人的电话招募,我们会发现

用户情绪应该怎么识别和利用

在日常的可用性测试.深访.座谈会等调研中,无论是作为主持人还是观察员,我们会发现一些有意思的现象:用户在参与的过程中,有做沉思状态.有茫然感.有皱眉等,除此之外,还会出现一些肢体动作,如耸肩.双手交叉等;以及伴随一些语气语调的变化,如咦.哦.啧等.用户展现出的如此丰富.有意思的面部表情.肢体动作以及语气语调,和我们的调研项目很多方面存在直接的关系. 调研中常见情绪情景 在日常调研中,和用户的交流主要在用户招募.定性调研执行阶段: 1)在招募用户过程中,尤其是只闻其声不见其人的电话招募,我们会发现

一个简单的后台与数据库交互的登录与注册[sql注入处理、以及MD5加密]_mssql2008

一.工具:  vs2013[因为我现在用的也是2013,版本随便你自己开心]  sql2008[准备过久升级]  二.用到的语言 HTML+CSS+Jquery+Ajax+sqlserver HTML[相当于一个人] css[要穿衣服] Jquery[人要做一些动作,Jquery是对js一些常用方法的封装] Ajax[建立前端页面与数据库的交互] sqlserver[数据库]  三.过程html部分代码: <body> <div id="header"> <

利用Burp“宏”自动化另类 SQLi

本文讲的是利用Burp"宏"自动化另类 SQLi,有许多工具可用于Web应用程序自动化测试.最著名的工具可能是sqlmap. 通过一些简单的命令,Sqlmap就可以轻松地识别和利用SQL注入漏洞.然而,诸如CSRF令牌或一些简单的反自动化技术,例如在表单中包含一个唯一的隐藏字段,就可以防止自动化工具正确工作. Burp Suite中的宏是绕过这些防护措施以便能够执行自动化测试的好方法,尽管那些防护措施实现起来可能很复杂. 在这篇文章中,我们会使用一个示例应用程序,用户可以在此应用程序中

热榜:2015 年度渗透测试神器 TOP 10

现在,安全研究者对网站或者应用程序进行渗透测试而不用任何自动化工具似乎已越来越难.因此选择一个正确的工具则变得尤为重要,正确的选择甚至占去了渗透测试成功半壁江山. 如果你在网络上搜索渗透测试工具,你会找到一大堆,其中不乏付费的.免费的.商业的以及开源的.但是,热门的测试工具都有哪些呢?这里我们将为大家梳理出2015年度十大最佳渗透测试工具. 之所以强调是本年度的,这点尤为重要,因为研究者使用的工具年复一年的都在发生着变化. Metasploit -- 独一无二,不可取代 Metasploit 自

SQL注入攻击的原理及其防范措施

攻击 ASP编程门槛很低,新手很容易上路.在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到.那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了.在界面的友好性.运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点.而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题.用NBSI 2.0对网上的一些ASP网站稍加扫描,就能发现许多ASP网站存在SQL注入漏洞,教育网里高校内部机构的一些网站这种漏洞

10大关系数据库SQL注入工具一览

  BSQL Hacker BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入. BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群.BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构. The Mole The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入

渗透挑战赛:从SQL注入到管理员权限

本文讲的是渗透挑战赛:从SQL注入到管理员权限, 在本文中,Sudhanshu Chauhan探索了一条利用SQL注入漏洞获取Windows企业管理员权限的开发路径.读到这你可能会想Sudhanshu 用的是哪种方法呢?OSINT.弱凭据.密码破解.不安全配置.跳板攻击(Pivoting).绕过杀毒软件或pwnage. 要说明的是,从SQL注入到管理员权限是Sudhanshu在参加一个黑客挑战比赛时的一个项目,而且挑战的前提是,他只知道攻击企业的名称.另外,在比赛的初始阶段是禁止进行采用枚举的,