基于Websocket接口的SQL注入利用

大幅度昨天在测某项目的时候发现前端中使用的Websocket协议(以下简称WS)传参,因为刚好那天群的某*行的老哥也在测内网的一个使用Websocket协议的应用,所以特意去了解了一下,研究测试后发现存在SQL注入,当时问表哥们sqlmap是否支持该注入,答案是否定的,但表哥给出了解决方案,我们后面讲。

Websocket是什么?

WebSocket是H5开始提供的一种在单个TCP连接上进行全双工通讯的协议,它使得client与server之间的数据交换变得更加简单,在websocketAPI 中浏览器和服务器只需做一个握手,两者之间就可以进行互相传送数据。

模拟环境搭建

因为测试目标的敏感,我将采用PHP模拟存在注入的环境并进行测试。PHP 使用 Websocket可以用第三方的扩展来实现 如:workerman,swoole因为 workerman搭建起来比较简单 且 支持 Linux和 Windows 环境所以使用 Workerman来搭建。去workerman官网下载好内核的包

下载后 放入 PHP项目下 查看 官方的 demo 代码

<?phpuse WorkermanWorker;require_once'./Workerman/Autoloader.php';//创建一个Worker监听2346端口,使用websocket协议通$ws_worker= new Worker("websocket://0.0.0.0:2346");//启动4个进程对外提供服务$ws_worker->count= 4;//当收到客户端发来的数据后返回hello$data给客户端$ws_worker->onMessage= function($connection,$data){//向客户端发送hello$data$connection->send('hello'. $data);};//运行Worker::runAll();

因为Workerman只支持 phpcli模式下运行 且 官方文档中提示在Windows中只能单进程运行所以 $ws_worker->count= 4;

这一行代码可以删除

新建一个 php 文件将 代码填入测试

在 命令行 输入 php -f server.php测试

这样 说明我们的 WS服务端 就已经搭建好了

使用我下载的 Websocket客户端工具 测试
成功交互

根据 demo 写一个与数据库交互的 并 存在 SQL Inject 的代码

ws 库 info 表结构

 

<?phpuse WorkermanWorker;require_once'./Workerman/Autoloader.php';//数据库连接字符串$username="root";$password="root";$add= "mysql:host=localhost;dbname=ws";$cdb= new PDO($add,$username,$password);//实例化PDO//创建一个Worker监听6666端口,使用websocket协议通讯$ws_worker= new Worker("websocket://0.0.0.0:6666");$ws_worker->onMessage= function($connection,$data){global $cdb;//设置$cdb为全局变量$res= '';$result=$cdb->query("SELECT email FROM info WHERE user = '$data'");while($row=$result->fetch()){$res= $row['email'];}$connection->send('YourSQL is: SELECT email FROM info WHERE user ='.$data);$connection->send('Recevieddata:'.$res);};Worker::runAll();?>

当遇到 使用 Websocket协议传参的应用时,可以使用ws 客户端测试工具

根据前端代码中传输的参数进行Fuzz测试,Burp也能抓取Websocket 的数据。

将代码跑起来 然后用ws客户端测试工具连接测试

可以看到 成功从数据库查询并返回数据

注入发现与利用

通过上面的代码我们不难判断出是有注入的

这里利用的话 我们有两种方法:

1.手工注入

即 利用 websocket客户端 与 服务端 进行交互的方法

在参数中 闭合插入SQL代码 从而执行恶意的sql语句

查看当前数据库

查看当前数据库用户
2.使用sqlmap

开头说到 sqlmap不能跑 websocket协议的注入

但是表哥给出了解决方法,即中转注入

这里我说一下原理 即通过 websocket 客户端包装sqlmap

注入的流量 然后通过客户端 与 服务端交互进行注入

这里 我画一张图来表示

这里需要自己编写中转的工具,比较 麻烦 本人又是脚本小子 

所以感到苦恼想到万能的Gayhub 于是去搜索一番

发现了 rr 师傅的 WebSocket中转注入工具

同时也支持 手工注入

在python 执行python main.py --port 服务端口

然后访问 就可以进行手工 注入

如果是手工注入的话直接下载 Websocket 客户端工具测试就可以了 没必要使用该功能

python web 搭建起来对小白真的不太友好。。

后话

对于Websocket这一块还有太多的技术没有完善,包括WAF对一些WS的流量并没有检测 导致以上安全问题没有得到很好的解决.

希望此篇文章能给大家一些思路,同时也感谢大家肯花时间耐心的看完整篇文章,文笔较水,如果文中有什么地方说得不对还望表哥们斧正,也欢迎各位一起交流技术共同进步。

标签: