• 网络文学专项整治 400余家违法违规网站被关闭 2019-09-06
  • 我们从无到有,从弱到强,从跟跑到领跑,几代人付出了无数的心血和汗水,才有了今天的成就。是你们流淌的每一滴汗水,汇聚成如今奔腾不息的洪流,向在祖国发展建设各条战线 2019-09-06
  • 蔡奇调研南部地区发展:打造北京未来发展的“金角银边” 2019-09-02
  • 紫光阁中共中央国家机关工作委员会 2019-09-02
  • 奇点金服获一亿元B轮融资 战略合作发布 2019-08-24
  • 用身份证号守大乐透揽得28万二等奖 2019-08-18
  • 武霞红的专栏作者中国国家地理网 2019-08-18
  • 三缸机,怎样做出了四缸机效果? 2019-08-12
  • 一带一路常州故事——中国常州网专题 2019-08-11
  • 李正印出席“传承红色基因,争做时代新人”主题教育活动启动仪式 2019-07-22
  • 巫山县大峡村:深度贫困村的脱贫之变 2019-07-22
  • 中国遥感卫星地面站成功接收高分六号卫星数据 2019-06-28
  • 乡镇纪委做指导 村务监督更有力 2019-06-27
  • 火爆!可兰白克两引冲突掀翻对手 杜锋直接换他下场 2019-06-27
  • 自然型社会和规则性社会,是会随着科技的改变而发生改变的,当然只有规矩也就是制度才能规范人的行为,所以国家是不会灭亡的,但国家的形式是会发生改变的。 2019-06-25
  • |
    |
    51CTO旗下网站
    |
    |
    移动端

    逆向路由器固件之SQL注入:web应用上的漏洞

    在前面的内容中,我们使用TEW-654TR路由器的tftp服务实现了获取目标的管理权限。但是要是tftp没有开放到外网怎么办?另寻他径:在这一篇中会我们来分析一个web应用上的漏洞。

    作者:xd_xd来源:FreeBuf|2015-09-02 12:36

    广东11选五精准计划 www.flxp.net 在前面的内容中,我们使用TEW-654TR路由器的tftp服务实现了获取目标的管理权限。但是要是tftp没有开放到外网怎么办?另寻他径:在这一篇中会我们来分析一个web应用上的漏洞。

    逆向路由器固件之SQL注入:web应用上的漏洞

    初步分析

    逆向路由器固件之SQL注入:web应用上的漏洞

    使用代理软件抓登录时候的数据包,可以看到发送的http请求如上图所示。数据发送给了my_cgi.cgi这个脚本。我们分析一下这个文件看看。

    ➜ rootfs git:(master) ✗ find . -name my_cgi.cgi
    ./usr/bin/my_cgi.cgi
    ➜ rootfs git:(master) ✗ file ./usr/bin/my_cgi.cgi
    ./usr/bin/my_cgi.cgi: ELF 32-bit LSB executable, MIPS, MIPS-II version 1 (SYSV), dynamically linked (uses shared libs), stripped

    通过抓包知道用户在登录页面输入的两个参数分别是’user_name’和’user_pwd’,那么我们在CGI脚本中搜索这两个字符串看看。

    逆向路由器固件之SQL注入:web应用上的漏洞

    有几行字符串看起来是SQL查询的语句,尤其是:

    select level from user where user_name='%s' and user_pwd='%s'

    看起来应该是根据用户名和密码去数据库查询,看密码是否正确。上一篇文章的分析我们可以知道,这个路由器是使用SQLite做数据库存储密码的。

    使用IDA载入my_cgi.cgi。查询”select level from user where user_name“字符串,可以定位到do_login函数。

    逆向路由器固件之SQL注入:web应用上的漏洞

    假设&猜想

    用户提交的用户名和密码大概是传递给sprintf函数生成SQL语句。存储在sql变量中,***进入exec_sql函数??雌鹄凑飧龉堂挥卸允萁凶?。除非数据在进入do_login函数之前或者在exec_sql中有做转义,不然很可能存在SQL注入的漏洞。如果我们的假设是正确的,数据没有经过处理进入了SQL语句中,那么我们可以使用最传统的***密码来绕过登录验证:

    ' or '1'='1

    ***执行的sql就会变成

    select level from user where user_name='admin' and user_pwd='' or '1'='1'

    这样查询语句就会返回成功的结果。

    验证猜想

    我们实验一下:

    逆向路由器固件之SQL注入:web应用上的漏洞

    果然跟我们预期的一样。这里需要注意的是能够以管理员身份登陆是需要一定运气的。我们构造的SQL语句where条件是or 1=1所以会返回所有的数据。恰好管理员的记录是***条所以以管理员的身份登陆了。如果***条是一个普通用户的数据,那么就会以普通用户的身份登陆了。为了确保一定以管理员身份登陆,可以构造如下语句:

    ' or level = (select level from user order by level desc limit 1)/*

    上面这个语句可以确保***查询出来的数据室level***的用户的数据。

    这次我们终于看到了逆向分析的冰山一角。下一篇将会讨论使用Qemu虚拟机运行路由器固件,动态调试相关的内容。

    【编辑推荐】

    【责任编辑:蓝雨泪 TEL:(010)68476606】

    点赞 0
    大家都在看
    猜你喜欢
    24H热文
    一周话题
    本月获赞

    订阅专栏+更多

    16招轻松掌握PPT技巧

    16招轻松掌握PPT技巧

    GET职场加薪技能
    共16章 | 晒书包

    289人订阅学习

    20个局域网建设改造案例

    20个局域网建设改造案例

    网络搭建技巧
    共20章 | 捷哥CCIE

    645人订阅学习

    WOT2019全球人工智能技术峰会

    WOT2019全球人工智能技术峰会

    通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
    共50章 | WOT峰会

    0人订阅学习

    读 书 +更多

    精通Spring 2.x——企业应用开发详解

    本书深刻揭示了Spring的技术内幕,对IoC、AOP、事务管理等根基性的技术进行了深度的挖掘。读者阅读本书后,不但可以熟练使用Spring的各项功...

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO服务号

    51CTO播客

    广东11选五精准计划
  • 网络文学专项整治 400余家违法违规网站被关闭 2019-09-06
  • 我们从无到有,从弱到强,从跟跑到领跑,几代人付出了无数的心血和汗水,才有了今天的成就。是你们流淌的每一滴汗水,汇聚成如今奔腾不息的洪流,向在祖国发展建设各条战线 2019-09-06
  • 蔡奇调研南部地区发展:打造北京未来发展的“金角银边” 2019-09-02
  • 紫光阁中共中央国家机关工作委员会 2019-09-02
  • 奇点金服获一亿元B轮融资 战略合作发布 2019-08-24
  • 用身份证号守大乐透揽得28万二等奖 2019-08-18
  • 武霞红的专栏作者中国国家地理网 2019-08-18
  • 三缸机,怎样做出了四缸机效果? 2019-08-12
  • 一带一路常州故事——中国常州网专题 2019-08-11
  • 李正印出席“传承红色基因,争做时代新人”主题教育活动启动仪式 2019-07-22
  • 巫山县大峡村:深度贫困村的脱贫之变 2019-07-22
  • 中国遥感卫星地面站成功接收高分六号卫星数据 2019-06-28
  • 乡镇纪委做指导 村务监督更有力 2019-06-27
  • 火爆!可兰白克两引冲突掀翻对手 杜锋直接换他下场 2019-06-27
  • 自然型社会和规则性社会,是会随着科技的改变而发生改变的,当然只有规矩也就是制度才能规范人的行为,所以国家是不会灭亡的,但国家的形式是会发生改变的。 2019-06-25
  • qq空间捕鱼大亨辅助 体彩p3开奖 星力9代打鱼客服 七乐彩开奖日 极速赛车号码走势图 平特一肖羊是什么意思 秒速时时是正规的吗 极速赛车168开奖网 胜负彩14场都中了 全民赢三张 gpk电子游戏以分 有玩天津时时平台 481开奖直播 最新单机斗牛破解版 江苏十一选五开奖查 浙江11选5开奖走势图一定牛