V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
推荐学习书目
Learn Python the Hard Way
Python Sites
PyPI - Python Package Index
http://diveintopython.org/toc/index.html
Pocoo
值得关注的项目
PyPy
Celery
Jinja2
Read the Docs
gevent
pyenv
virtualenv
Stackless Python
Beautiful Soup
结巴中文分词
Green Unicorn
Sentry
Shovel
Pyflakes
pytest
Python 编程
pep8 Checker
Styles
PEP 8
Google Python Style Guide
Code Style from The Hitchhiker's Guide
fucker
V2EX  ›  Python

寻找热爱安全方面的朋友共同完成一个SQL注入的小项目

  •  
  •   fucker · 2013-07-27 17:40:07 +08:00 via iPhone · 6944 次点击
    这是一个创建于 4135 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前项目已经完成了前台注入,后台ip验证,后台上传的弱点模块。当然对于网络安全来说,仅仅这三个点也只是凤毛麟角。整个项目代码是采用webpy+sqlite+mako编写,还有很多弱点模块需要编写,也有很多代码需要完善。目前项目已经发布在sae上测试这三个功能 http://valo.sinaapp.com 但是sae条件限制,所以sae上的代码已经修改为webpy+mysql+jinja2。我做这个的目的是为了普及互联网安全的重要性,并且提供给初学者一个模拟学习的web平台,但它现在还很小很小,所以希望有人能够加入,和我一起完成它。再补一句,目前的代码已经被南邮采用作为他们下一届安全大赛的试题了!

    求加入!
    第 1 条附言  ·  2013-07-30 17:06:32 +08:00
    啊,有没有志同道合的朋友愿意一起来啊?看来有几点我得先说明一下。。。
    1,此项目beta版发布之后将对外开源,目前是alpha版
    2,本项目版权归所有参与开发的朋友,无轮你付出多少,都会留下你的名字
    3,是不是需要建个Q群之类的?


    求!加!入!
    第 2 条附言  ·  2013-07-31 11:08:44 +08:00
    项目群号:235991102
    希望能有3-5人加入,源码一共有两个版本,第一个版本是webpy+mako+sqlite,第二个版本是webpy+jinja2+mysql+sae。
    所有成员可以获得 webpy.net 或者 append.cn 的邮箱一枚,但是邮箱名不能是root,admin这样的关键词哈。
    73 条回复    1970-01-01 08:00:00 +08:00
    ttskym
        1
    ttskym  
       2013-07-27 19:46:52 +08:00
    帮顶,大南邮威武。
    janxin
        2
    janxin  
       2013-07-27 20:21:50 +08:00   ❤️ 1
    Web攻击模型可以试试OWASP出的webgoat,包含绝大部分的web常见攻击方式,不过是入门阶段的
    楼主的项目也不错 :)
    fucker
        3
    fucker  
    OP
       2013-07-27 21:13:21 +08:00
    @janxin 你说的没错,出名的还有DVWA,但现在大多数代码都是基于php的。这样的话,如果测试项目是自己用,还没什么人,如果是给一部分人用,那么即便仅仅是测试,测试程序的代码本身的安全性还是略为堪忧,如果再作为比赛试题的话,也有泄露源码的风险。如果是用python或者是perl、ruby、nodejs这样的来做,就可以从根源上避免作为比赛用题的尴尬境地。。。
    大神有性趣参与不?目前是我一个人在做,还有很多很多东西需要添加上去。
    fucker
        4
    fucker  
    OP
       2013-07-27 21:14:31 +08:00
    @ttskym 抱歉哈,刚才在无聊关注了一下昨天CJ的黄陶大战。。。
    ttskym
        5
    ttskym  
       2013-07-27 21:33:18 +08:00
    @fucker 你南邮的?
    panlilu
        6
    panlilu  
       2013-07-27 22:48:56 +08:00
    @fucker 好久没有玩这种了。。
    做到了这一步。。

    恭喜你获得了本关第二个KEY: (已隐去)
    接下来的挑战是得到一个webshell~
    tip:Valo大牛的服务器似乎是CentOS5.5 + Apache2.0.52 + php5.2

    话说。。sae的python环境不能这么玩吧。。
    fucker
        7
    fucker  
    OP
       2013-07-27 23:04:09 +08:00 via iPhone
    @ttskym 不不不,我朋友是
    fucker
        8
    fucker  
    OP
       2013-07-27 23:05:29 +08:00 via iPhone
    @panlilu 厉害啊!第一关就卡了不少人呢!代码还需要改进啊,包括设计思路,求加入啊!
    panlilu
        9
    panlilu  
       2013-07-27 23:12:02 +08:00   ❤️ 1
    @fucker 后面上传文件失败是不是目前属于这个游戏还没完善?
    我建议可以用一下社会工程学,登陆到某ssh或者拿到邮箱再通过邮箱找回哪儿的密码?(这是目前危险性最大的东西了吧我觉得。。)

    凑后台地址凑了好久。。
    binux
        10
    binux  
       2013-07-27 23:16:26 +08:00
    @fucker 这。。如果不说,这完全就是一个静态页。。太没有典型性了
    fucker
        11
    fucker  
    OP
       2013-07-27 23:48:58 +08:00
    @binux 也不能这么说吧,现在伪静态技术已经很成熟了,以前参加一比赛也是伪静态,更坑爹,直接给的是图片。。。
    fucker
        12
    fucker  
    OP
       2013-07-27 23:51:30 +08:00
    @panlilu 上传不是不完善,是做了文件后缀的验证和文件头验证,但是后台给了提示说是php的,那么就要加上php标签才可以,构造一个文件文件名可以是xxx.php.rar,文件内容是Rar!<?就可以了
    panlilu
        13
    panlilu  
       2013-07-27 23:58:19 +08:00
    @fucker zip被你华丽丽的忽略了=、=,好吧。。我从来没有在mac下压缩过rar
    fucker
        14
    fucker  
    OP
       2013-07-28 00:05:22 +08:00
    @panlilu 有没有性趣一起啊,大神。社工方面我也有考虑,现在很传统的比赛方式是给一个邮箱或者给一个xss,然后直接发xss平台构造好的链接,下一步就是进后台。我现在是在思考一种新的方式。还有,我原来设计的后台部分并不是通过一个注入拿两个key,但是南邮方面说是注入拿一个key,HTTP_X_FORWARDED_FOR一个key,上传一个key。我原来设计的是HTTP_X_FORWARDED_FOR注入。。。。
    panlilu
        15
    panlilu  
       2013-07-28 00:12:49 +08:00   ❤️ 1
    我想到一个idea是你可以用webapp包装一下,去sql注入restful的api。(虽然写个webapp停费工夫的,不过这样看上去就高端洋气了很多
    HTTP_X_FORWARDED_FOR注入 这个idea不错。。(有点偏了吧

    另外最近真的很忙,抽不出时间弄这个见谅。
    ps 不太喜欢把兴趣说成 “性趣”。但愿你不是故意的=。=
    binux
        16
    binux  
       2013-07-28 00:37:10 +08:00
    @fucker 谁知道你给的是不是真静态啊
    kojp
        17
    kojp  
       2013-07-28 00:52:03 +08:00 via Android
    @panlilu

    valo 是大牛? 好耳熟. . . 好像是个学生.
    panlilu
        18
    panlilu  
       2013-07-28 01:04:27 +08:00
    @kojp 不不不,中间那段是我到了那里显示的原话,我只是复制啊(忘了加引号了)
    valo。。我耳都不熟- -
    fucker
        19
    fucker  
    OP
       2013-07-28 01:06:18 +08:00
    @binux 所以才需要测试啊。。。其实测试一下就知道是不是真静态了,测试起来也很简单啊!
    fucker
        20
    fucker  
    OP
       2013-07-28 01:07:07 +08:00
    @kojp valo的确是一位神一样的大牛,是我的好朋友。如果你见过他,那么应该是在wooyun,习科或者其他著名论坛里面。
    mozutaba
        21
    mozutaba  
       2013-07-28 01:33:59 +08:00
    @fucker 都是大牛么,wooyun似乎没看到。如果我没瞎的话
    binux
        22
    binux  
       2013-07-28 01:42:00 +08:00
    @fucker 我还干过只有特定UA才会出现的后台,目录级ngnix转发不同后端什么的。。这事情就没完了
    不过主要是性格不喜欢吧。。这种猜测性的东西,猜中了就中了,没猜中进度永远是0%
    fucker
        23
    fucker  
    OP
       2013-07-28 01:44:27 +08:00
    @mozutaba Valo才是单牛哦哈哈哈哈
    fucker
        24
    fucker  
    OP
       2013-07-28 01:45:04 +08:00
    @binux 嗯,如果根本就不知道URLrewrite技术的话,那第一个key都拿不到的。
    mozutaba
        25
    mozutaba  
       2013-07-28 01:54:37 +08:00
    @fucker 我把它当你博客了。。原谅我
    fucker
        26
    fucker  
    OP
       2013-07-28 02:04:18 +08:00
    @mozutaba 我博客啊,想知道的话在我个人资料里有,刚重开一个月,不知道这里方不方便发链接。。。求友链!
    mozutaba
        27
    mozutaba  
       2013-07-28 02:22:33 +08:00
    @fucker 不会seo,一年了博客也没有被收录几页。过几天换个域名看看。
    fucker
        28
    fucker  
    OP
       2013-07-28 02:26:04 +08:00
    @mozutaba 有没有做过seo无所谓,纯属无聊做友链玩
    mozutaba
        29
    mozutaba  
       2013-07-28 02:31:14 +08:00
    @fucker 后天换个网银就去换域名。到时候记得给我做友链啊
    fucker
        30
    fucker  
    OP
       2013-07-28 02:39:50 +08:00
    @mozutaba 没问题,反正我也没做seo。。我前几天也注册了个域名,感觉还不错 append.cn
    mozutaba
        31
    mozutaba  
       2013-07-28 02:52:32 +08:00
    @fucker 囧,append我以前写个类,里面append函数全给拼错了。牢牢的记住了他
    mozutaba
        32
    mozutaba  
       2013-07-28 02:59:44 +08:00
    @fucker 不过cn域名没有好感,除非特别便宜,比如那个姓名域名。
    fucker
        33
    fucker  
    OP
       2013-07-28 03:04:15 +08:00
    @mozutaba 嗯,能捡到这个域名,哪怕是cn的,我也觉得值了。。。准备换邮箱域名了,装逼模式开启。。
    mozutaba
        34
    mozutaba  
       2013-07-28 03:11:10 +08:00
    @fucker 明年没续费的话,我就给续上了
    fucker
        35
    fucker  
    OP
       2013-07-28 03:19:59 +08:00
    @mozutaba webpy.net还没注册,刚查的,你要不要,你不要我就收了
    mozutaba
        36
    mozutaba  
       2013-07-28 03:51:03 +08:00
    @fucker 你收把,webpy不会,怎么你怎么老是找到这种好域名
    fucker
        37
    fucker  
    OP
       2013-07-28 04:08:27 +08:00
    @mozutaba 试了无数个才碰到。。。话说咱跑题了。哥们对这个小项目有性趣不?
    fucker
        38
    fucker  
    OP
       2013-07-28 09:03:30 +08:00
    @panlilu =。=抱歉我眼瞎才看到你的回复。。。对于你说的RESTful,我对它的理解和撸码能力还有限,所以即便是你这样的建议仅凭我,目前还做不到。我更没理解你说的用webapp包装一下的意思,好吧这个不怪我语文老师。。
    我很感谢你提了这些,不过既然没有时间那我也不勉强了,好可惜啊。
    xavierskip
        39
    xavierskip  
       2013-07-28 09:58:42 +08:00
    哈哈,注入被发现了!

    该怎么利用呢?
    ccbikai
        40
    ccbikai  
       2013-07-28 13:52:31 +08:00
    南邮……
    mozutaba
        41
    mozutaba  
       2013-07-28 14:44:15 +08:00
    @fucker 我就不说我能力不够了。
    fucker
        42
    fucker  
    OP
       2013-07-28 16:52:45 +08:00 via iPhone
    @xavierskip 和普通的注入一样,但是需要绕过注入检测,这也是一个难点啊
    fucker
        43
    fucker  
    OP
       2013-07-28 16:54:27 +08:00 via iPhone
    @mozutaba 这没什么,有想法有思路会python,其他不会的可以再学。如果你会一些其他的技术,那就更好了,可以再扩展。就看你有没有兴趣参与了
    shenyuanv
        44
    shenyuanv  
       2013-07-29 17:09:03 +08:00
    已经通过sql注入找到账号密码,这个账号密码就是第一个Key?找到后台地址也是游戏的一部分吗?
    fucker
        45
    fucker  
    OP
       2013-07-29 17:27:22 +08:00
    @shenyuanv 那倒不是,第一个key也在数据库里,拿到后台地址,也只是获得第二个key和第三个key的开始。。。
    fork3rt
        46
    fork3rt  
       2013-07-30 17:20:16 +08:00
    哈哈,注入被发现了! ....
    fucker
        47
    fucker  
    OP
       2013-07-30 17:46:25 +08:00
    @fork3rt 简单的注入关键词检测....
    shenyuanv
        48
    shenyuanv  
       2013-07-30 18:56:27 +08:00
    @fucker 过滤了好多函数,表名好难猜,没什么线索啊
    fucker
        49
    fucker  
    OP
       2013-07-30 19:06:18 +08:00
    @shenyuanv 啊哈,是啊,现在做的是针对sqlite的注入,要查询sqlite_master表的sql列哈~sae不支持sqlite,只能把mysql装的像一点sqlite了。。。以后想做多种数据库的注入,似乎不怎么容易实现。。。
    shenyuanv
        50
    shenyuanv  
       2013-07-30 19:16:16 +08:00
    @fucker 哈哈,惯性思维害死人!你帖子里写着用Mysql数据库,我就一直用Mysql的注入去找,崩溃啦!
    fucker
        51
    fucker  
    OP
       2013-07-30 19:18:54 +08:00
    @shenyuanv =。=我没有完整测试过sae上的mysql注入,information_schema库应该可以用的吧?!
    panlilu
        52
    panlilu  
       2013-07-30 19:28:14 +08:00
    = =.后台地址我真的是靠猜的,虽然猜的时间比较久毕竟还是猜出来了orz
    shenyuanv
        53
    shenyuanv  
       2013-07-30 19:29:10 +08:00
    @fucker information_schema还真用不了……难道是我打开方式不对
    fucker
        54
    fucker  
    OP
       2013-07-30 19:43:58 +08:00
    @panlilu 也可以啊,本来是想放进robots.txt里的,毕竟现在还是alpha无限内测,就暂时搁数据库里吧,可以通过注入查询到的。
    fucker
        55
    fucker  
    OP
       2013-07-30 19:44:40 +08:00
    @shenyuanv 你再测测,过滤的东西挺多的。我出门一趟,有啥你就写这,晚点我回来回复你。
    shenyuanv
        56
    shenyuanv  
       2013-07-30 20:05:53 +08:00
    @fucker 现在就是针对sqlite注入发现了key-is-here的表,但是没有猜出字段名,话说key和后台地址应该都在这个表里吧?卡在这儿了,有点头疼,有小提示吗?
    Ps:mysql的user()函数虽然过滤了,但是仍然可以绕过:44zlww****@10.67.**.**。这个属于游戏范围吗?
    fucker
        57
    fucker  
    OP
       2013-07-30 23:27:46 +08:00
    @shenyuanv sqlite_master表里面的字段是sql,但是别忘了加 ``。绕过了user()函数必然不在游戏范围之内啊,我没有详细测,只是大概过滤了一下。。
    ykennyy
        58
    ykennyy  
       2013-07-31 10:00:34 +08:00
    有意加入
    fucker
        59
    fucker  
    OP
       2013-07-31 10:50:37 +08:00
    @ykennyy 好的感谢加入,我去建群,群号一会公布在主题附言里面
    lvye
        60
    lvye  
       2013-07-31 11:16:14 +08:00
    你说的南邮的,不会指的是我吧??
    fucker
        61
    fucker  
    OP
       2013-07-31 11:18:08 +08:00
    @lvye 我次奥,傅总,在这都能碰到你!
    horryq
        62
    horryq  
       2013-07-31 11:18:15 +08:00
    python 新手不知道要不要…
    fucker
        63
    fucker  
    OP
       2013-07-31 11:21:25 +08:00
    @horryq 那你可以先看看webpy和数据库方面的东西,有没有web安全的基础无所谓的。
    lvye
        64
    lvye  
       2013-07-31 11:22:23 +08:00
    @fucker -_-不要泄露我的信息嘛
    fucker
        65
    fucker  
    OP
       2013-07-31 11:25:34 +08:00
    @lvye 这里是程序员射区,没人射你资料的放心哈 =。= 话说比赛什么时候办呢?完了有没有录像啥的?我想看看那些同学们做我这题时蛋疼的表情。。。
    ashin
        66
    ashin  
       2013-07-31 11:27:02 +08:00
    哈哈 不错 建议楼主把凤毛麟角换成九牛一毛
    lvye
        67
    lvye  
       2013-07-31 11:27:58 +08:00
    @fucker 至少也得等开学之后吧,而且办比赛还要宣传,准备啥的
    fucker
        68
    fucker  
    OP
       2013-07-31 11:42:35 +08:00
    @ashin 都差不多吧,我语文不好。。。
    fucker
        69
    fucker  
    OP
       2013-07-31 11:42:50 +08:00
    @lvye 好,坐等,国庆前吧?
    cppoba
        70
    cppoba  
       2013-08-16 00:36:40 +08:00
    我有兴趣。能否加一下我。
    目前进入到登录界面,但是IP限制,进不去~~
    itaotao
        71
    itaotao  
       2013-08-16 11:05:04 +08:00
    不明觉厉啊
    fucker
        72
    fucker  
    OP
       2013-08-16 15:50:50 +08:00
    @cppoba 欢迎加入
    fucker
        73
    fucker  
    OP
       2013-08-16 15:51:03 +08:00
    @itaotao =。=渣代码。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1217 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 58ms · UTC 23:16 · PVG 07:16 · LAX 15:16 · JFK 18:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.