Burpsuite+SQLMAP双璧合一绕过Token保护的应用进行注入攻击
来源:互联网 发布:会计软件的合法性 编辑:程序博客网 时间:2024/05/02 00:05
0×00 带有token 保护的应用
有这样的一个应用(自己写的一个, 后面会附上代码),你手动去注入的时候,发现是有注入点的
加上一个单引号,报错了
确实是有注入
但是用sqlmap跑的时候却没有
Burpsuite 重放失败
查看页面源代码 ,发现有个隐藏的token字段
说明后端对token进行了校验,每次请求之后都会重新生成一个新的token, 因为SQLMAP 每次都是提交的旧的token,每次都会校验失败,所以根本没走到业务逻辑那块,就被302重定向了,所以永远注入不出来, 但是我们知道这里是可以注入的。
0×01. 使用burpsuite的Macros功能协助SQLMAP成功注入
burpsuite 中的Macros 就是在那些经过代理的报文经过burpsuite发送之前被发送到服务器中的一些HTTP的请求(可以是一个HTTP请求,也可以是一系列HTTP请求),Macros 发送的最后一个HTTP请求的响应报文中的参数(具体是哪个参数或者哪些参数是要在配置Macros的时候设置的),的值会被截取回来,然后自动替换经过代理的报文请求中的参数的值(这个参数也需要设置),当然这个过程是透明的,我们感觉不到,在proxy的http history中我们也看不到请求报文的修改过程(不过我们可以打开Macros的跟踪日志观察到这一过程),这样我们既可以让SQLMAP请求报文中的token(假设是我们需要更新的那个参数)自动更新,从而通过服务端的token验证,达到自动化注入的目的。
下面我们开始我们的测试吧
首先我们需要访问一下,带有token 响应的http url,这里为http://localhost/csrf.php (这是我本地自己编写的一个简单的测试页面,你的也许可能不同,不过道理都是一样的, 后面会附上源代码)
我们从响应报文中可以看到,响应报文中含有一个隐藏字段的token,这个token每次请求后都会更新,然后返回给用户,我们就需要让Macros替我们在SQLMAP报文被发送到server端之前去请求这个URL获取最新的token,然后更新到SQLMAP的请求报文,这样SQLMAP的请求报文每次都会验证通过,从而可以自动化的注入
首先设置一个Macros
切换到 Burpsuite 的 Project options 选项卡,点击Macros下的add按钮
这时候弹出两个窗口,一个是Macro 记录器,一个是Macro编辑器,Macro记录器是记录发送那些HTTP请求,Macro编辑器是编辑一些参数,比如具体截取响应报文中的哪一个参数等等
我们首先操作Macro记录器,点击选择我们要发送HTTP请求,然后点击右下角的OK按钮即可(如上图)
然后我们开始操作Macro编辑器, 选择Configure item, 在弹出的界面中找到’Custom parameter locations in response’区域,然后点击右侧的 Add按钮
在弹出的窗口中,首先给要截取得参数值命名,这里就叫做token ,然后用鼠标选择我们要截取的内容,这里就把token的值选取了即可,如果出现如下界面就表示OK了
然后点击右下角的OK,然后在所有回到的界面中继续点击右下角的OK
至此,我们就配置完毕了Macros,总结一下,就是Macros 记录器记录了发送哪一个HTTP请求,Macros编辑器确定了截取response中的那个参数内容,然后给截取后的参数值命名
好了,下面我们开始让Burpsuite 自动调用Macros,并替换经过代理的请求中的token的值
我们切换回Project options 的选项卡,找到Session Handling Rules
点击Add 按钮,在弹出的界面中找到Rules Action区域,点击下方的Add按钮,在弹出的下拉列表中选择Run as Macros
在弹出的界面中进行如下配置
选择我们要使用的Macros(这里为我们上面配置的Macro2),我们在跟新请求报文参数配置中,我们选择仅更新我们指定的参数即可,我们点击’Update only following parameters’, 然后点击右下侧的Edit,在弹出的界面中的输入框中输入我们要更新请求报文中的哪个参数(这里我们选择我们需要的token),点击点击Add,点击close
如果出现下面的界面,说明配置OK
点击Ok,回到上一个界面,切换到Scope标签,进行如下配置
选中 proxy ,点击 Use custom scope,在Include in scope区域增加一个我们需要应用的scope,这里配置为作用于所有本机的流量,点击Ok,然后回到上一个界面继续点击Ok
至此我们配置完毕,下面开始使用SQLMAP自动注入了
在注入之前我们可以开启Macros 的日志,看看这个过程发生哪些变化
好了,开始SQLMAP注入吧(注意SQLMAP要挂代理经过burpsuite哦)
python sqlmap.py -r 100 –dbms=mysql –flush-session –proxy=http://127.0.0.1:8090
–flush-session 这个参数是刷新以前的记录,因为我已经跑过一遍了,所以要想观察所有的注入过程,需要重新来过,所以要加上这个参数,如果你没有跑过,是不需要加上的
–proxy=http://127.0.0.1:8090 ,这个是burpsuite的代理,sqlmap支持HTTP[S] ,socks代理
看到了吧,SQLMAP自动注入成功!
0×02. 附录
参看的英文原文: https://www.cyberis.co.uk/burp_macros.html
英文原文并没有提供代码,下面的代码是我自己测试用的
<?php/** * Created by PhpStorm. * User: ForrestX386 * Date: 2017/3/3 * Time: 21:19 */session_start();if(isset($_SESSION['token']) && isset($_POST['username'])){if(empty($_POST['token']) || $_POST['token'] != $_SESSION['token']){ header('Location: http://localhost/error.php?token='. $_SESSION['token']); exit(-1);}} $token = md5(time()); $_SESSION['token'] = $token;?> <html> <head> <title>sqlmap with csrf token</title> </head> <body> <form method="post" action="/csrf.php" id="form1"> <div> <input name="username" type="text" id="username" style="width:270px;"/> <input type="submit" name="btnSearch" value="Search" id="btnSearch" /> <input type="hidden" name="token" id="token" value="<?php echo $token ?>" /> </div> </form> <br/> </body> </html><?phpif (isset($_POST['username'])) { $conn = mysql_connect('127.0.0.1', 'root', 'root'); if (!$conn) { die('数据库连接错误' . mysql_error()); } else { mysql_select_db('test', $conn); $user_name = $_POST['username']; $sql = "select * from user where username='$user_name'"; $result = mysql_query($sql) or die('error' . mysql_error()); while($row=mysql_fetch_array($result)){ $username = $row['username']; $age = $row['age']; $sex = $row['sex']; echo $username .'   '; echo $age . '   '; echo $sex; echo "<br />"; } } mysql_close($conn);} else {echo "username is null";}?>
*本文作者:ForrestX386,转载请注明来自FreeBuf
- 上一篇:一款好用的php webshell检测工具
- 下一篇: 如何手写一款SQL injection tool?
已有 20 条评论
- test 2017-03-10回复8楼
厉害了
亮了(0) - 小牛 2017-03-11回复13楼
@ evil7 手注的时候还是有用的
亮了(0)
- Burpsuite+SQLMAP双璧合一绕过Token保护的应用进行注入攻击
- Burpsuite+SQLMAP绕过Token保护(Burpsuite Macros应用)
- 使用sqlmap 绕过防火墙进行注入测试
- 使用sqlmap 绕过防火墙进行注入测试
- 使用sqlmap 绕过防火墙进行注入测试
- 使用Burpsuite辅助Sqlmap进行POST注入测试
- Burpsuite与sqlmap结合进行sql注入渗透测试
- csrf配合sqlmap绕过token
- (转载)使用sqlmap 绕过防火墙进行注入测试
- SQLmap数据库注入攻击
- 使用SQLMAP对网站和数据库进行SQL注入攻击
- 如何编写burpsuite联动sqlmap的插件
- Burpsuite导出log配合Sqlmap批量扫描注入点
- burpsuite,对web网站进行Intruder攻击
- 利用SQLMap进行cookie注入
- 使用sqlmap进行sql注入
- 使用sqlmap进行sql注入
- SQL注入攻击之SQLMap渗透测试
- [P3144][USACO16OPEN]关闭农场Closing the Farm
- 关于Subline text3的input问题
- stm32笔记:记一次超频
- pssh基础
- ConnectivityManager 判断网络是否可用
- Burpsuite+SQLMAP双璧合一绕过Token保护的应用进行注入攻击
- 设计模式 -- 建造者模式和工厂(类)模式的区别
- JavaIO简单摘要(二)
- Spring Cloud Eureka
- sql语句的简单优化
- 2017/8/4
- 【物联网】技术导论(入门介绍篇)
- 设置H5页面适应手机屏幕
- main函数参数及可变参数列表
这些评论亮了
不知道我有么有打错参数,撸主自己多看看 -hh 多用 -v 吧,图里的地址,举个栗子:
sqlmap -u "http://localhost/csrf.php" --data="id=1&token=" --csrf-token="token" --csrf-url="http://localhost/csrf.php" --flush-session --batch -v 6
好了,迷途的小熊弟,加油研究,我继续上班。