【Seed-Labs】SQL Injection Attack Lab

news2024/11/26 14:22:18

Overview

SQL 注入是一种代码注入技术,利用的是网络应用程序与数据库服务器之间接口的漏洞。当用户输入的信息在发送到后端数据库服务器之前没有在网络应用程序中进行正确检查时,就会出现这种漏洞。

许多网络应用程序从用户那里获取输入,然后使用这些输入构建 SQL 查询,以便从数据库中获取信息。网络应用程序还使用 SQL 查询将信息存储到数据库中。这些都是开发网络应用程序的常见做法。如果不仔细构造 SQL 查询,就会出现 SQL 注入漏洞。SQL 注入是对网络应用程序最常见的攻击之一。

在本实验室中,我们创建了一个易受 SQL 注入攻击的网络应用程序。我们的网络应用程序包含许多网络开发人员常犯的错误。学生的目标是找到利用 SQL 注入漏洞的方法,演示攻击可能造成的破坏,并掌握有助于防御此类攻击的技术。本实验涵盖以下主题:

  • SQL 语句: SELECT 和 UPDATE 语句
  • SQL 注入
  • 预编译语句(Prepared statement)

LabEnvironment.

  • 虚拟机环境:SEED-labs-ubuntu 20.04
  • 使用软件:Oracle VM VirtualBox7.1.0

LabEnvironment Setup

说在前面:
在开始之前请确认自己的实验环境中是否有其他的docker镜像或是mysql数据库。有的话建议先删除再开始实验。

1.DNS 定向确认。打开 /etc/hosts 查看是否建立正确的映射。

在这里插入图片描述

2.使用docker建立网络环境。

在这里插入图片描述

3.查看docker的id。

在这里插入图片描述

4.启动网络服务。

在这里插入图片描述

5.启动过程中发现有报错,如下图所示。随即打开对应的网站,发现是默认网页。

在这里插入图片描述
在这里插入图片描述

这个报错的解决方案参考satckoverflow的帖子得出:
apache - Getting message AH00558: apache2: - Stack Overflow
注: 这个错误消息表示 Apache HTTP 服务器无法确定其完全合格域名(FQDN)。要解决这个问题并消除警告,我们需要在apache的配置文件中写清楚我们的 ServerName 为 10.9.0.5。

6.修改 image_www/apache_sql_injection.conf 将ServerName 换成已建立DNS定向映射的网站后保存。

在这里插入图片描述

7.进入docker后找到apache2的配置文件 etc/apache2/apache2.conf,在文件的最后加上我们使用的 10.9.0.5

在这里插入图片描述
8.全部保存后,成功打开网页。

在这里插入图片描述

Task 1: Get Familiar with SQL Statements

Part1:熟悉mysql的基本操作.

1.进入装载mysql的docker,然后登录root账号,进入mysql client。

在这里插入图片描述
2.加载已存在的 sqllab_users 数据库,并查看该数据库中的表。
在这里插入图片描述

Part2:使用SQL命令打印Alice的所有信息。

1.使用SQL语句打印 Alice的所有信息。

SELECT * FROM credential WHERE Name=’Alice’;

在这里插入图片描述

Task 2: SQLInjection Attack on SELECT Statement

Task 2.1: SQL Injection Attack from webpage.

任务: 在不知道admin的密码的情况下,登录进该账号并查看。

1.因为我们只知道账号 admin,因此在username的输入上思考,查看原始代码,注意到逻辑的登录逻辑是同时对账号和密码在数据库中进行匹配。我们应该想办法通过输入username来忽略输入密码的部分。

在这里插入图片描述

2.“忽略”的实现可以通过注释掉后面输入密码的部分来实现,因此尝试输入admin’#,以构造目标结构,结构如下:

WHERE name=’admin’# ’ and Password=’$hased_pwd’”;

3.尝试输入 admin’ #

在这里插入图片描述

4.成功登录,能够查看到所有的数据。

在这里插入图片描述

Task 2.2: SQL Injection Attack from command line.

任务: 不使用web页面,只用shell界面进行2.1任务。

1.参考题目提供代码,使用shell发送请求,成功获得返回值。为方便阅读将结果保存下来,这样可以更清晰的看见结果。

在这里插入图片描述
注:题目上提到要将所有的符号进行编码,#的编码形式为%23。

Task 2.3: Append a new SQL statement.

任务 一次执行两个sql语句实现对数据库的内容进行更改。

1.输入admin’; UPDATE credential SET Name=’Austin’ WHERE ID = '1’;#

在这里插入图片描述

2.发现无法成功达成预期效果,观察题目提供的原始代码,可知程序使用的是query() 函数运行我们输入的sql语句, 然而PHP 中 mysqli 扩展的 query() 函数不允许在数据库服务器中运行多条语句,所以我们会执行失败,这也是本网站的针对sql注入攻击的一种countermeasure。

在这里插入图片描述

3.为解决该问题,最直接的方法就是不使用 query() 函数,换成能够执行多条语句的函数。进入docker,找到var/www/SQL_Injection/目录下的unsafe_home.php,在其中更改 query() 函数为 multi_query() 函数(共有两处)。

PHP: mysqli::multi_query - Manual

第一处修改
在这里插入图片描述
第二处修改
在这里插入图片描述

4.保存更改后,重新使用之前的语句进行攻击,可以看到成功执行输入的两条sql语句,数据库的内容成功被篡改。

输入的语句:admin'; update credential set `Name`='AUSTIN' Where `Name`='Alice'; #
欲实现将 `Name`=’Alice’的行的’Alice’改为’Austin’

在这里插入图片描述
注:此处应在mysql中直接查看credential数据库的值,因为query()和multi_query()的函数返回值不同,所以执行新的语句后,不会有信息显示在webpage上。

Task 3: SQLInjection Attack on UPDATE Statement

Task 3.1: Modify your own salary.

任务: 使用Alice的账号,在个人信息编辑页面利用update增加salary的值。

1.观察题目所给代码,发现我们可以按照TASK2的思路,使用’使上一句闭合后,嵌入我们想要的语句。随即找一个注入点,修改salary=10000000

在这里插入图片描述

2.注入完成后,查看salary确实修改成功。

在这里插入图片描述

Task 3.2: Modify other people’ salary.

任务:Bobysalary降为1。

1.观察参考代码,发现定位用的 WHERE 语句我们无法直接修改,所以参考 TASK2 的思路将后面的语句直接用#注释掉。

在这里插入图片描述

2.随机找一个注入点输入下面的内容后保存。

在这里插入图片描述

3.可以看到BobySalay已被成功更改。

在这里插入图片描述

Task 3.3: Modify other people’ password.

任务:BobyPassword修改成我们设定的值。

1.根据题目提示,在数据库中存储的password是经过SHA1加密后的结果。所以我们应将我们设定的Passwordplaintext经过SHA1加密后的结果存进数据库。我们设定 AustinPasswordplaintext

在线SHA1加密工具:SHA1 在线加密工具 | 菜鸟工具

在这里插入图片描述

2.将对应的密码存入数据库。

在这里插入图片描述

3.成功使用修改后的密码登录进入Boby的账号。

在这里插入图片描述

Task 4: Countermeasure — Prepared Statement

预处理语句 (Prepared Statement)的工作方式

SQL 注入漏洞的根本问题在于未能将代码与数据分开。在编写 SQL 语句时,程序(如 PHP 程序)知道哪一部分是数据,哪一部分是代码。不幸的是,当 SQL 语句被发送到数据库时,边界已经消失;SQL 解释器看到的边界可能与开发人员设置的原始边界不同。要解决这个问题,必须确保服务器端代码和数据库中的边界视图保持一致。最安全的方法是使用准备语句。

要了解准备语句如何防止 SQL 注入,我们需要了解 SQL 服务器接收查询时会发生什么。执行查询的高级工作流程如图 3 所示。在编译步骤中,查询首先要经过解析和规范化阶段,即根据语法和语义检查查询。下一阶段是编译阶段,在这一阶段,关键字(如 SELECT、FROM、UPDATE 等)被转换成机器可以理解的格式。基本上,在这一阶段,查询会被解释。在查询优化阶段,会考虑多种不同的查询执行计划,从中选出最佳优化计划。被选中的计划会存储在缓存中,因此每当有下一个查询进来时,就会根据缓存中的内容进行检查;如果缓存中已经存在该计划,则会跳过解析、编译和查询优化阶段。然后,编译后的查询将被传递到执行阶段,并在那里得到实际执行。

预处理语句出现在编译之后,执行步骤之前。预编译语句将经过编译步骤,并变成一个预编译查询,其中的数据占位符为空。要运行这个预编译查询,需要提供数据,但这些数据不会经过编译步骤,而是直接插入预编译查询,然后发送到执行引擎。因此,即使数据中包含 SQL 代码,在不经过编译步骤的情况下,代码也会被简单地视为数据的一部分,没有任何特殊含义。这就是准备语句防止 SQL 注入攻击的方法。

下面是一个如何在 PHP 中编写准备语句的示例。在下面的示例中,我们使用了 SELECT 语句。我们展示了如何使用准备语句重写易受 SQL 注入攻击的代码。

 $sql = "SELECT name, local, gender
	 	FROM USER_TABLE
	 	WHERE id = $id AND password =’$pwd’ ";
 $result = $conn->query($sql)

上述代码容易受到 SQL 注入攻击。可将其重写如下

$stmt = $conn->prepare("SELECT name, local, gender
 		FROM USER_TABLE
		 WHERE id = ? and password = ? ");
 // Bind parameters to the query
 $stmt->bind_param("is", $id, $pwd);
 $stmt->execute();
 $stmt->bind_result($bind_name, $bind_local, $bind_gender);
 $stmt->fetch();

利用预处理语句机制,我们将向数据库发送 SQL 语句的过程分为两步。第一步是只发送代码部分,即不包含实际数据的 SQL 语句。这就是准备步骤。从上面的代码片段中我们可以看到,实际数据被问号(?) 完成这一步后,我们使用 bindparam() 将数据发送到数据库。数据库只会将这一步发送的所有数据视为数据,而不再是代码。它会将数据与准备语句中相应的问号绑定。在 bindparam() 方法中,第一个参数 “is ”表示参数的类型: i “表示 $id 中的数据为整数类型,”s "表示 $pwd 中的数据为字符串类型。

在这里插入图片描述

任务: 进入 www.seedlabsqlinjection.com/defense,通过修改 unsafe.php使该网站能够防御SQL注入攻击。

1.进入该网站,对其进行SQL攻击测试,发现其能够被SQL注入攻击。

在这里插入图片描述
在这里插入图片描述

2.选择题目中的第二个方法在运行中的容器中进行修改,进入docker,进入/var/www/SQL_Injection/defense,编辑unsafe.php

修改前:
在这里插入图片描述
修改后:
在这里插入图片描述
3. 再次尝试使用单引号攻击,发现攻击失败,成功防御。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2236174.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

linux笔记(DNS)

一、概念 DNS(Domain Name System)DNS 是一种分布式网络目录服务,主要用于将人类易于记忆的域名(如 www.example.com)转换为计算机可识别的 IP 地址(如 192.168.1.1)。它就像是互联网的电话簿&a…

【计网】实现reactor反应堆模型 --- 框架搭建

没有一颗星, 会因为追求梦想而受伤, 当你真心渴望某样东西时, 整个宇宙都会来帮忙。 --- 保罗・戈埃罗 《牧羊少年奇幻之旅》--- 实现Reactor反应堆模型 1 前言2 框架搭建3 准备工作4 Reactor类的设计5 Connection连接接口6 回调方法 1 …

minikube 的 Kubernetes 入门教程--(五)

本文记录 Minikube 在 Kubernetes 上安装 WordPress 和 MySQL。 这两个应用都使用 PersistentVolumes 和 PersistentVolumeClaims 保存数据。 在深入这些步骤之前,先分享来自kubernetes.io教程。 链接>>使用持久卷部署 WordPress 和 MySQL | Kubernetes 获…

算法详解——链表的归并排序非递归解法

算法详解——链表的归并排序非递归解法 本文使用倍增法加上归并排序操作实现了对链表的快速排序,比起一般的递归式归并排序要节省空间并且实现要简单的多,比起一般的迭代式归并排序实现也要简单。 1. 题目假设 给定链表的头结点 head ,请将其…

【网络-交换机】生成树协议、环路检测

路由优先级 路由优先级决定了在多种可达的路由类型中,哪种路由将被用来转发数据包。路由优先级值越低,对应路由的优先级越高,优先级值255表示对应的路由不可达。一般情况下,静态路由的优先级为1,OSPF路由优先级为110&a…

确定图像的熵和各向异性 Halcon entropy_gray 解析

1、图像的熵 1.1 介绍 图像熵(image entropy)是图像“繁忙”程度的估计值,它表示为图像灰度级集合的比特平均数,单位比特/像素,也描述了图像信源的平均信息量。熵指的是体系的混乱程度,对于图像而言&#…

数字后端零基础入门系列 | Innovus零基础LAB学习Day9

Module 16 Wire Editing 这个章节的学习目标是学习如何在innovus中手工画线,切断一根线,换孔,更改一条net shape的layer和width等等。这个技能是每个数字IC后端工程师必须具备的。因为项目后期都需要这些技能来修复DRC和做一些手工custom走线…

除草机器人算法以及技术详解!

算法详解 图像识别与目标检测算法 Yolo算法:这是目标检测领域的一种常用算法,通过卷积神经网络对输入图像进行处理,将图像划分为多个网格,每个网格生成预测框,并通过非极大值抑制(NMS)筛选出最…

ProCalun卡伦纯天然万用膏,全家的皮肤健康守护

受季节交替、生活环境变化、空气污染等方面因素的影响,加上作息不规律导致的免疫力降低,我们或多或少会出现一些如湿疹、痤疮、瘙痒之类的皮肤问题,且反复概率很高。很多人盲目用药,甚至诱发激素依赖性皮炎。所以近年来&#xff0…

Vue 自定义icon组件封装SVG图标

通过自定义子组件CustomIcon.vue使用SVG图标&#xff0c;相比iconfont下载文件、重新替换更节省时间。 子组件包括&#xff1a; 1. Icons.vue 存放所有SVG图标的path 2. CustomIcon.vue 通过icon的id索引对应的图标 使用的时候需要将 <Icons></Icons> 引到使用的…

wireshark工具使用

复制数据 1.右键展开整帧数据 2.复制“所有可见项目” mark标记数据 标记&#xff1a; 跳转&#xff1a; 保存成文件&#xff1a; 文件–>导出特定分组—>Marked packets only

【SpringCloud】SpringBoot集成Swagger 常用Swagger注解

概述&#xff1a;SpringBoot集成Swagger 常用Swagger注解 导语 相信无论是前端还是后端开发&#xff0c;都或多或少地被接口文档折磨过。前端经常抱怨后端给的接口文档与实际情况不一致。后端又觉得编写及维护接口文档会耗费不少精力&#xff0c;经常来不及更新。其实无论是前…

Webserver(4.9)本地套接字的通信

目录 本地套接字 本地套接字 TCP\UDP实现不同主机、网络通信 本地套接字实现本地的进程间的通信&#xff0c;类似的&#xff0c;一般采用TCP的通信流程 生成套接字文件 #include<arpa/inet.h> #include<stdio.h> #include<stdlib.h> #include<unistd.h&…

[spring源码]spring配置类解析

解析配置类 在启动Spring时&#xff0c;需要传入一个AppConfig.class给ApplicationContext&#xff0c;ApplicationContext会根据AppConfig类封装为一个BeanDefinition&#xff0c;这种BeanDefinition我们把它称为配置类BeanDefinition AnnotationConfigApplicationContext a…

uni-app跨域set-cookie

set-cookie的值是作为一个权限控制的 首先&#xff0c;无论什么接口都会返回一个set-cookie&#xff0c;但未登录时&#xff0c;set-cookie是没有任何权限的 其次&#xff0c;登录接口请求时会修改set-cookie&#xff0c;并且在后续其他接口发起请求时&#xff0c;会在请求头…

chrdevbase驱动之Makefile优化(指定路径复制、删除文件)

对于学习嵌入式linux驱动篇的chrdevbase虚拟设备驱动时&#xff0c;需要将chrdevbase.c编译成.ko文件&#xff0c;应用层程序里需要把chrdevbaseAPP编译成chrdevbaseAPP可执行文件&#xff0c;此外还需要将生成的*.ko *APP文件拷贝至指定目录下&#xff0c;每次修改或者编译代码…

kafka实时返回浏览数据

在安装完kafka(Docker安装kafka_docker 部署kafka-CSDN博客)&#xff0c;查看容器是否启动&#xff1a; docker ps | grep -E kafka|zookeeper 再用python开启服务 from fastapi import FastAPI, Request from kafka import KafkaProducer import kafka import json import …

使用QtWebEngine的Mac应用如何发布App Store

前言 因为QtWebEngine时第三方包,苹果并不直接支持进行App Store上签名和发布,所以构建和发布一个基于使用QtWebEngine的应用程序并不容易,这里我们对Qt 5.8稍微做一些修改,以便让我们的基于QtWeb引擎的应用程序并让签名能够得到苹果的许可。 QtWebEngine提供了C++和Qml的…

C++虚继承演示

在继承中如果出现&#xff1a; 这种情况&#xff0c;B和C都继承了A&#xff0c;D继承了B、C 在D中访问A的成员会出现&#xff1a; 这样的警告 是因为在继承时A出现两条分支&#xff1a;ABD、ACD 编译器不知道访问的A中的元素是经过B继承还是C继承 所以B、C在继承A时要用到…

【赵渝强老师】Redis的RDB数据持久化

Redis 是内存数据库&#xff0c;如果不将内存中的数据库状态保存到磁盘&#xff0c;那么一旦服务器进程退出会造成服务器中的数据库状态也会消失。所以 Redis 提供了数据持久化功能。Redis支持两种方式的持久化&#xff0c;一种是RDB方式&#xff1b;另一种是AOF&#xff08;ap…