WebGoat是一个基于java写的开源漏洞靶场,本期斗哥带来WebGoat的SQL注入攻击例子及相对应的JAVA源码审计。
0x01 String SQL Injection
这个注入页面是http://10.10.10.35/WebGoat/start.mvc#lesson/SqlInjection.lesson/6页面,该页面的主要功能是让我们输入用户名从而获取用户名的信息,此处存在SQL注入。
输入Smith得到Smith用户的账户信息。
输入Smith’ and 1=1 –+页面为正常查询结果。
输入Smith’ and 1=2 –+页面显示 No results matched,由此判断存在SQL注入。
输入Smith’ or 1=1 –+得到所有用户信息,完成实验要求。
进一步去利用这个SQLi,此处后端数据库使用的是HSQLDB,根据sqlmap的提示得到了更多的注入手段。
把请求的数据包保存成一个txt文件,叫url.txt。
python sqlmap.py -r url.txt
python sqlmap.py -r url.txt -D “PUBLIC” -T USER_DATA -C “USERID,FIRST_NAME,LAST_NAME,CC_NUMBER,CC_TYPE” –dump
该漏洞链接 :
http://10.10.10.35/WebGoat/SqlInjection/attack5a
漏洞文件 :
D:\myjava\WebGoat-8.0.0.M14\webgoat-lessons\sql-injection\src\main\java\org\owasp\webgoat\plugin\introduction\SqlInjectionLesson5a.java
该文件开头导入了sql的相关包。
在该文件的第48~67行,可以看到用到了该文件先是获取POST请求中文中account的值拼接到SQL语句,由executeQuery函数执行了该语句。
由于从获取值,到拼接查询整个过程,代码并未对用户输入做任何处理,导致输入用户可控从而造成SQL注入漏洞,另外此处的注入类型为字符型注入,由语句String query = “SELECT * FROM user_data WHERE last_name = ‘” + accountName + “‘”;便可知晓。
0x02 Numeric SQL Injection
这个注入页面是http://10.10.10.35/WebGoat/start.mvc#lesson/SqlInjection.lesson/7页面,该页面的主要功能是通过用户ID来获取用户信息。
输入101得到该ID账户的信息。
输入101 or 1=1得到该所有账户的信息。
此处为数字型的SQL注入,漏洞代码和字符型的代码漏洞几乎没什么区别。
漏洞文件 。
D:\myjava\WebGoat-8.0.0.M14\webgoat-lessons\sql-injection\src\main\java\org\owasp\webgoat\plugin\introduction\SqlInjectionLesson5b.java
0x03 Advanced SQL Injection
这个注入页面是http://10.10.10.35/WebGoat/start.mvc#lesson/SqlInjectionAdvanced.lesson/2页面,该页面的主要目的是让我们执行union查询获得Dave这个账号的密码。
根据所给的信息。
可知存在密码的表名为user_system_data,列为password
Smith’ order by 7–为正常页面。
Smith’ order by 8–报错,说明列数为7。
Smith’ union select null,null,null,null,null,null,null from user_system_data –联合查询判断数据回显列位置。
Smith’ union select null,user_name,password,null,null,null,null from user_system_data –获取用户名密码,得到dave密码是dave。
0x04 Blind SQL Injection
这个注入页面是http://10.10.10.35/WebGoat/start.mvc#lesson/SqlInjectionAdvanced.lesson/4页面,该页面有两个功能,一处是登陆,一处是注册功能。
此处文件为D:\myjava\WebGoat-8.0.0.M14\webgoat-lessons\sql-injection\src\main\java\org\owasp\webgoat\plugin\advanced\SqlInjectionChallenge.java
在代码的77~87行处,是对于登陆的后端代码处理。
先是获取POST请求正文username_login和password_login的值,然后使用prepareStatement()来预编译处理SQL语句,该函数可以防止SQL攻击。
该处PreparedStatement的使用说明
• 使用了connection的prepareStatement(String_sql)即创建时与一条SQL模版绑定。
• 调用PreparedStatement的setString()方法为?设置值。
• 调用executeQuery()方法执行。
在代码的40~63行处,是对于注册的后端代码处理。
可以发现,在注册之前做了一个用户名是否注册的判断,而该操作执行的是checkUserQuery这条拼接的SQL语句,此处存在SQL注入,注入参数为username_req。
username_reg=test提示用户创建。
username_reg=test再次发送提示用户已创建。
即构造语句为假,则创建用户,提示用户创建;构造语句为真,则提示用户已经创建。
username_reg=retest_01’and ‘1’=’1语句为假提示用户创建。
username_reg=retest_01’and ‘1’=’1再次发送语句为真,提示用户存在。
username_reg=retest_01’and ‘1’=’2构造语句为真,始终提示用户创建。
此处存在SQL盲注,需要了解HSQLDB的语句,进一步获取注入出更多的数据,下面是Sqlmap的POC建议。
0x05 Order by 绕过预编译
预编译的语句并不是能够防御住所有的SQL注入攻击,这边是HSQLDB的order by 语句的语法规范。
这意味这orderExpression可以是一个selectExpression也可以是一个函数。
例如使用一个case语句。
select * from users order by (case when (true) then lastname else firstname)
因此可以用任何布尔类型来替代when(…)的一部分,从而判断语句是否起作用。
这个我搭建了一个简单的HSQLDB的环境,根据这个http://how2j.cn/k/hsqldb/hsqldb-client/1129.html 地址教程搭建的。
select * from category
select * from category order by(case when (true) then NAME end)
在页面http://10.10.10.35/WebGoat/start.mvc#lesson/SqlInjectionMitigations.lesson/7存在类似的漏洞。
发起排序请求:
按照ID来排序:
按照IP来排序:
相对应的源代码文件是D:\myjava\WebGoat-8.0.0.M14\webgoat-lessons\sql-injection\src\main\java\org\owasp\webgoat\plugin\mitigation\Servers.java
在代码44~54行规定这个排序功能,采用的仍然是预编译的方式。
(case when (true) then id else ip end)的URL编码是:
%28case%20when%20%28true%29%20then%20id%20else%20ip%20end%29
(case when (false) then id else ip end)的URL编码是:
%28case%20when%20%28false%29%20then%20id%20else%20ip%20end%29
进一步了解HSQLDB的语法就可以利用order by 获取更多的数据了。
来源:freebuf.com 2018-04-25 11:32:40 by: 漏斗社区
请登录后发表评论
注册