如何使用加密的Payload来识别并利用SQL注入漏洞
写在前面的话
密码学具有诸多优点,信息的保密性同样离不开密码学,但是从历史经验来看,在保护应用和数据安全方面我们绝对不能过分依赖于密码学。在这篇文章中,安全教育培训专家SunilYadav将会讨论一个案例,并介绍如何通过一个加密的Payload来发现并利用SQL注入漏洞。
请注意:我们在此不打算讨论密码学方面的问题(例如如何破解加密算法),我们讨论的是应用程序的安全缺陷,这方面问题是很多开发者最容易忽略的问题,而本文所描述的这个漏洞将允许我们通过一个加密的Payload来识别并利用程序中的SQL注入漏洞。
实际上,这个漏洞是我们在一次真实的渗透测试过程中所发现的。为了给大家进行演示,我们在实验环境中对该漏洞进行了复现,接下来我们会讨论整个测试过程的具体细节。
漏洞发现
近期,我们对一个电子商务应用进行了渗透测试。我们发现,其中绝大多数的请求参数值都经过了加密处理。当请求参数值被加密之后,我们是很难对应用进行渗透测试/模糊测试的,除非我们能够破解它所使用的加密算法。如果在时间有限的黑盒测试过程中遇到这样的问题,那绝对是一个噩耗。
下面这张图片显示的就是这个测试项目中的订单详情页面,其中的订单ID(orderid)参数就是以加密形式发送的:
地址栏中的参数值“BDKfx3xNKsc=”是经过加密的,虽然加密后的ID参数值为base64编码格式,但这里不仅仅只采用了base64编码。除此之外我们还发现,如果我们登出了应用,并使用相同的用户账号重新登录,然后再次访问相同的页面。此时,这个经过加密的参数值就变成了“nPBri1km2ic=”,具体如下图所示:
由此可以看出,加密过程要么使用了一个随机密钥,要么就是加密密钥中有一部分数据是由会话ID构成的。从表面上看,这个应用是非常安全的,没错吧?但是我们都知道,这世界上没有绝对安全的程序,所以我们仍然要想办法找出其中有可能存在的一些加密缺陷。
首先,我们尝试在多个地方注入单引号(’)来测试系统是否能够对用户的输入进行有效验证。但是,由于这些输入必须以加密格式提供给系统,所以我们的请求参数被系统拒绝了。
接下来,我们注意到了该应用的购物车分享功能。这个功能允许用户将自己购物车里的商品分享给好友,当用户保存好购物车里的商品并点击分享之后,系统会生成一个带有随机令牌的链接。通过访问这个链接(URL),用户就可以直接查看好友的购物车了。而且在保存购物车商品之前,用户还需要给购物车命名。
由于这是一个使用频率非常低的文本输入域,所以我们的模糊测试打算从这里入手,并尝试找出SQL注入漏洞或XSS漏洞,但这一次仍然一无所获。不过,我们意识到了一件事情,那就是我们所发现的这个分享地址和购物车命名框也许会成为我们的突破口。在进一步分析之后,我们发现购入车分享地址中所使用的令牌就是购物车名称加密后所得到的密文。
虽然这个购物车分享功能并不会受到任何网络攻击的影响,但是我们却能够利用这个功能并根据输入的信息(明文,即购物车名称)来生成加密Payload(密文)。现在,我们就可以利用这个功能来生成一个攻击Payload,并利用它来检查应用程序中可能存在的漏洞,例如SQL注入漏洞以及身份认证绕过等等。为了检测SQL注入漏洞,我们需要生成单引号(’)所对应的加密值,具体如下图所示:
这样一来,对于那些只接受加密值作为输入数据的文本域,我们就可以使用这种加密Payload来进行模糊测试了。虽然寻找注入点的过程花费了我们不少的时间,但最终我们还是找到了一个SQL注入漏洞。具体如下图所示,我们在测试订单物品(orderitem)页面的IP参数时,系统返回了一个SQL错误信息:
从错误信息中可以看出,这个电子商务应用生成了动态查询语句,这里就有可能存在一个SQL注入漏洞,而我们可以利用这个漏洞从数据库中提取出有价值的信息。在这里,我们准备使用SQL UNION查询语句来从数据库中提取数据,而UNION操作符可以合并两条或多条select子句。
接下来,我们需要确定数据库表中的列数。在进行了一系列测试之后,我们从返回信息中得知了列数(30)。现在,我们就可以从数据库中提取有效信息了。我们创建了一个加密Payload,具体如下所示:
通过上面这条SQL语句所生成的Payload(ID参数),我们得到了系统所使用的数据库版本信息。
最后,我们还利用这个漏洞攻下了数据库系统,并拿到了后台服务器的Shell。
总结
这个电子商务应用程序使用了加密参数来实现安全保护,这也是通过信息隐匿来实现安全性的一个例子,但是这种做法并不能保证软件的安全。只有在密钥得到有效保护的情况下,采用健壮加密算法进行加密的数据才能够真正地保证安全。实际上,密码学以及信息加密手段已经成为了我们防止隐私消息被窃听或篡改的一种常用方法,但是由于系统在实现加密过程中的错误以及开发人员对加密手段的使用不当,往往会导致更加严重的安全漏洞出现。
作者:Alpha_h4ck
来源:51CTO
如何使用加密的Payload来识别并利用SQL注入漏洞相关推荐
- SQL注入漏洞测试(参数加密)
SQL注入漏洞测试(参数加密) <此WEB业务环境对参数进行了AES加密,为了防止参数产生SQL注入,也是防止SQL注入产生的一种方法,但是这种方式就安全了么?1.掌握信息泄露的方式:2.了解A ...
- SQL注入防御之参数加密
AES加密SQL参数靶场练习 资源路径: 墨者学院-在线靶场-数据库安全-SQL注入漏洞测试(参数加密) 技能要求: 信息泄露方式+AES加解密+PHP语法+手工SQL注入+mysql数据库结构 目标 ...
- SQL注入之什么是加密注入|二次漏洞注入|DNSlog注入
加密注入.二次漏洞注入.DNSlog注入 加密注入: 什么是加密注入??下面将由一个例子阐述: 以sqlilabs-less-21为例 1.在登录界面输入账户密码提交抓包 2.在抓到这条数据,将uma ...
- Codeigniter 利用加密Key(密钥)的对象注入漏洞
http://drops.wooyun.org/papers/1449 原文链接:http://www.mehmetince.net/codeigniter-object-injection-vuln ...
- SQL Server安全-加密术和SQL注入攻击
SQL Server上的加密术 SQL Server上内置了加密术用来保护各种类型的敏感数据.在很多时候,这个加密术对于你来说是完全透明的:当数据被存储时候被加密,它们被使用的时候就会自动加密.在其他 ...
- ASP.NET会员注册登录模块(MD5加密,Parameters防止SQL注入,判断是否注册)
MD5加密,Parameters防止SQL注入: protected void btnLog_Click(object sender, EventArgs e) { //获取验 ...
- sql server 加密_SQL Server机密–第II部分– SQL Server加密功能
sql server 加密 透明数据加密(TDE) ( Transparent Data Encryption (TDE) ) SQL Server has two ways of encryptin ...
- ML之K-means:基于(完整的)手写数字图片识别数据集利用K-means算法实现图片聚类
ML之K-means:基于(完整的)手写数字图片识别数据集利用K-means算法实现图片聚类 目录 输出结果 设计思路 核心代码 输出结果 设计思路 核心代码 metrics.adjusted_ran ...
- 一卡通综合管理平台中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库怎么用达思SQL数据库修复软件完美修复?
用达思SQL数据库修复软件怎么修复中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库?(一卡通综合管理平台) 2.33GB的sql数据库被后缀.[mr.hacker@tu ...
最新文章
- 在node.js中一次读取一行文件?
- 有线路由器与无线路由器混合使用
- jenkins php build,PHP+Jenkins 持续集成
- arcgis 字段计算器 条件赋值_ArcGIS中属性表的常用操作汇总
- 使用 session_destroy() 销毁session文件时 报 Trying to destroy uninitialized session 错误解决办法
- PHP中file_exists()判断中文文件名无效的解决方法
- IDEA快捷键整理(最详细的)
- 如何查看计算机有无无线连接功能,如何查看电脑是否支持miracast_怎么判断电脑是否支持MIRACAST无线连接功能...
- 基于STM32F4的NRF24L01驱动程序
- maven的生命周期,插件介绍(二)
- oppo云服务器怎么卸载,oppo手机小布助手卸载方法_oppo手机小布助手怎么卸载-硬件之家...
- python选题背景_选题背景和意义
- 元宵节代码,元宵节快乐代码,元宵节祝福代码
- 【算法】高精度(加减乘除)包含高精度*高精度高精度/高精度
- 饿了么input框的使用
- SpringBoot+Vue搭建前后端分离的轻博客
- Linux下的文本编辑器和Windows的编辑器
- 深圳市注册新公司的流程
- Xml和Json之间相互转化知多少?
- 2008年北京奥运会:出现可能性极高的十句话