2017-2018 Exp8 Web基础 20155214

Exp8 Web基础


实验内容

实验环境

  • 主机 Kali
  • 靶机 Kali

实验工具

  • 后台语言 'PHP'
  • 服务器 'Apache'
  • 数据库 'Mysql'

建站过程

本次实验,利用Kali内的Apache服务器建站

首先,利用

root@Kali:~# sudo apt-get install apache2
  • 下载安装apache
root@Kali:~# apachectl start
  • 打开Apache服务
root@Kali:~# netstat -aptn
  • 查看一下端口占用

Web前端:HTML基础

root@Kali:~# cd var/www/html
  • 找到Apache的工作目录,之后需要在该目录下创建一个前端页面login.html。

具体代码见知识点

<meta charset="UTF-8"> //设置页面编码格式,可以解决乱码情况
···
<form method ="POST" action="login_controller.php" name="loginform"  > //表单属性,表单名称loginform,通过POST传输到后台,调用login_controller.php这一后台文件 
···
<td>
<input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" />
//文本框,名称username,长度为20,默认值为Your name,当为默认值时,提交null。
</td>  
···
<td>
<input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" />
//密码框,名称为password,长度为20,默认值为Your password,当为默认值时,提交null。
</td>
···
<script language="javascript">  //js脚本,通过onclick()调用
    function validateLogin(){  
        var sUserName = document.loginform.username.value ;  
        var sPassword = document.loginform.password.value ; 
        //获取表单中用户名密码值
        if ((sUserName =="") || (sUserName=="Your name")){  
            alert("请输入用户名!");  
            return false ;  
        }  
       
        if ((sPassword =="") || (sPassword=="Your password")){  
            alert("请输入密码!");  
            return false ;  
        }  
    //判断为空,弹出alert提示
    }   
</script>  

  • 效果如下

数据库:MySQL基础

  • 为了能够储存用户名密码,我们需要建立一个账号数据库。
root@Kali:~# /etc/init.d/mysql start
  • 打开Kali的mysql服务
root@Kali:~# mysql -u root -p

  • 登录mysql,默认密码为p@ssw0rd
MariaDB [(none)]> use mysql //使用mysql
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
MariaDB [mysql]> update user set password=PASSWORD("密码") where user='root';//更新用户密码

MariaDB [mysql]> flush privileges;//提权
Query OK, 0 rows affected (0.00 sec)

MariaDB [mysql]> quit//退出后重新登录

  • 设置mysql
MariaDB [mysql]> create database exp8_login_db;
//创建一个数据库
Query OK, 1 row affected (0.01 sec)

MariaDB [mysql]> use exp8_login_db;
Database changed

MariaDB [exp8_login_db]> create table exp8_login_table (login_username VARCHAR(20),login_pwd VARCHAR(20));
Query OK, 0 rows affected (0.04 sec)
//创建一个数据表并设置字段

MariaDB [exp8_login_db]> show tables;
+-------------------------+
| Tables_in_exp8_login_db |
+-------------------------+
| exp8_login_table        |
+-------------------------+

  • 需要建立一个数据库,在新建一张数据表,表中有账号,密码字段
MariaDB [exp8_login_db]> insert into exp8_login_table values('admin','test1234');//插入一条数据
Query OK, 1 row affected (0.01 sec)

MariaDB [exp8_login_db]> select * from exp8_login_table;
+----------------+-----------+
| login_username | login_pwd |
+----------------+-----------+
| admin          | test1234  |
+----------------+-----------+
1 row in set (0.00 sec)

  • 为网站提供一对账号,密码。

Web后台:PHP基础

  • 有了前端页面,数据库之后,我们需要用PHP语言写一个后台,用以处理接受到的前端数据,并链接数据库,比对前端接受的账号密码与数据库中是否匹配。

  • 在/var/www/html目录下新建一个PHP文件login_controller.php

具体代码见知识点

$uname=($_POST["username"]);
$pwd=($_POST["password"]);

 echo $uname; 
 echo $pwd;
  • 用POST方法获取前端username,password并储存在变量中,可以用echo查看返回值。
  • 这里注意前后台方法必须相同,否则接收不到数据。

GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够从任何函数、类或文件访问它们。

  • $_GET 是通过 URL 参数传递到当前脚本的变量数组。
  • $_POST 是通过 HTTP POST 传递到当前脚本的变量数组。

何时使用 GET?
通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过,由于变量显示在 URL 中,把页面添加到书签中也更为方便。

GET 可用于发送非敏感的数据。

注释:绝不能使用 GET 来发送密码或其他敏感信息!

何时使用 POST?

通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制。
此外 POST 支持高阶功能,比如在向服务器上传文件时进行 multi-part 二进制输入。

不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。

提示:开发者偏爱 POST 来发送表单数据。

$query_str=
"SELECT * FROM exp8_login_table where login_username='{$uname}' and login_pwd='{$pwd}';";
  • 设计一条SQL语句,查询对应账号密码的数据
$con = mysql_connect("localhost:3306","root","toor");
mysql_select_db("exp8_login_db", $con);
  • 链接本地数据库,依次是地址账号密码,并选择数据库
if ($result = $mysql_query($query_str)) {
    if ($result->num_rows > 0 ){
        echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";
    } else {
        echo "<br> login failed!!!! <br> " ;
    }

  • 接受数据库返回查询结果,非零则返回登陆成功,否则登录失败。

由于php缺少mysql扩展模块,最终后台连接mysql失败。

SQL注入

Tip: 这边利用一下之前写的java网站,尝试注入

1.在用户名输入框中输入' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为select * from lxmtable where username='' or 1=1#' and password='',#相当于注释符,会把后面的内容都注释掉,而1=1是永真式,所以这个条件肯定恒成立,所以能够成功登陆:

并没有成功,原因其实很简单,因为登录的账号类型是数字,而注入的是字符串,造成了错误抛出。

2.sqlmap攻击

(1)判断当前用户是否是dba:  ./sqlmap.py -u "url" --is-dba -v 1
(2)列出数据库管理系统用户:./sqlmap.py -u "url" --users -v 0
(3)数据库用户密码(hash):  
./sqlmap.py -u "url" --passwords -v 0
./sqlmap.py -u "url" --passwords -U sa -v 0
(4)查看用户权限: 
./sqlmap.py -u "url" --privileges -v 0
./sqlmap.py -u "url" --privileges -U postgres -v 0
(5)列出数据库:
./sqlmap.py -u "url" --dbs -v 0
(6)列出数据库表:
./sqlmap.py -u "url" --tables -D "information_scheam"
(7)列出表中的列名:
./sqlmap.py -u "url" --columns -T "user" -D "mysql" -v 1
(8)列出指定列的内容:
./sqlmap.py -u "url" --dump -T "users" -D "testdb" -C “指定字段”  

找到自己的注入点
mybatis的mapper中getUsers函数

但是注入被过滤了,通过后台可以看到sqlmap的字典注入字段,以及后台的抛出日志。


知识点

1.前端HTML文件 login.html

<html>  
<head>  
<meta charset="UTF-8">
<title>test</title>   
</head> 
<body>           
<table>  
    <form method ="POST" action="login_controller.php" name="loginform"  >  
    <tr>  
    <td>用户名:</td>  
    <td><input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" /></td>  
    <td> </td>  
    <td> </td>  
    </tr>  
    <tr>  
    <td>密  码:</td>  
    <td><input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" /></td>  
    <td> </td>  
    <td> </td>  
    </tr>  
    <tr>  
    <td><input type="checkbox" name="zlogin" value="1">自动登录</td>  
    </tr>     
    <table>  
    <tr>  
        <td><input type="submit" name="login" value="登录" onClick="return validateLogin()"/></td>  
            <td><input type="reset" name="rs" value="重置" /></td>  
        </tr>
    </table>    
    </form> 
</table>   
 
<script language="javascript">  
    function validateLogin(){  
        var sUserName = document.loginform.username.value ;  
        var sPassword = document.loginform.password.value ;    
        if ((sUserName =="") || (sUserName=="Your name")){  
            alert("请输入用户名!");  
            return false ;  
        }  
       
        if ((sPassword =="") || (sPassword=="Your password")){  
            alert("请输入密码!");  
            return false ;  
        }  
    
    }   
</script>  
</body>  
</html>  

2.后台文件login_controller.php

<?php

$uname=($_POST["username"]);
$pwd=($_POST["password"]);

 echo "<br>$uname<br>"; 
 echo "<br>$pwd<br>";

$query_str="SELECT * FROM exp8_login_table where login_username='{$uname}' and login_pwd='{$pwd}';";

$con = mysql_connect("localhost:3306","root","toor");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }
echo "connect ok!";

mysql_select_db("exp8_login_db", $con);

/* Select queries return a resultset */
if ($result = mysql_query($query_str)) {
    if ($result->num_rows > 0 ){
        echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";
    } else {
        echo "<br> login failed!!!! <br> " ;
    }

    /* free result set */
    $result->close();
}


mysql_close($con);

?>

posted @ 2018-05-20 21:32  曾士轩  阅读(229)  评论(0编辑  收藏  举报