源：阿里云大學——開發(fā)者課堂——Python自學手冊

什么是CGI？

CGI 目前由NCSA維護，NCSA定義CGI如下：

CGI(Common Gateway Interface),通用網關接口,它是一段程序,運行在服務器上如：HTTP服務器，提供同客戶端HTML頁面的接口。

網頁瀏覽

為了更好的了解CGI是如何工作的，我們可以從在網頁上點擊一個鏈接或URL的流程：

1、使用你的瀏覽器訪問URL并連接到HTTP web 服務器。

2、Web服務器接收到請求信息后會解析URL，并查找訪問的文件在服務器上是否存在，如果存在返回文件的內容，否則返回錯誤信息。

3、瀏覽器從服務器上接收信息，并顯示接收的文件或者錯誤信息。

CGI程序可以是Python腳本，PERL腳本，SHELL腳本，C或者C++程序等。

CGI架構圖

Web服務器支持及配置

在你進行CGI編程前，確保您的Web服務器支持CGI及已經配置了CGI的處理程序。

Apache 支持CGI 配置：

設置好CGI目錄：

		ScriptAlias /cgi-bin/ /var/www/cgi-bin/

所有的HTTP服務器執(zhí)行CGI程序都保存在一個預先配置的目錄。這個目錄被稱為CGI目錄，并按照慣例，它被命名為/var/www/cgi-bin目錄。

CGI文件的擴展名為.cgi，python也可以使用.py擴展名。

默認情況下，Linux服務器配置運行的cgi-bin目錄中為/var/www。

如果你想指定其他運行CGI腳本的目錄，可以修改httpd.conf配置文件，如下所示：

		<Directory "/var/www/cgi-bin">
 		 AllowOverride None
 		 Options +ExecCGI
 		Order allow,deny
 		Allow from all</Directory>

在 AddHandler 中添加 .py 后綴，這樣我們就可以訪問 .py 結尾的 python 腳本文件：

		AddHandler cgi-script .cgi .pl .py

來自：阿里云大學——開發(fā)者課堂——Python自學手冊

點擊“了解更多”開始自學?。?！

么是CGI

CGI 目前由NCSA維護，NCSA定義CGI如下：

CGI(Common Gateway Interface),通用網關接口,它是一段程序,運行在服務器上如：HTTP服務器，提供同客戶端HTML頁面的接口。

網頁瀏覽

為了更好的了解CGI是如何工作的，我們可以從在網頁上點擊一個鏈接或URL的流程：

1、使用你的瀏覽器訪問URL并連接到HTTP web 服務器。

2、Web服務器接收到請求信息后會解析URL，并查找訪問的文件在服務器上是否存在，如果存在返回文件的內容，否則返回錯誤信息。

3、瀏覽器從服務器上接收信息，并顯示接收的文件或者錯誤信息。

CGI程序可以是Python腳本，PERL腳本，SHELL腳本，C或者C++程序等。

CGI架構圖

Web服務器支持及配置

在你進行CGI編程前，確保您的Web服務器支持CGI及已經配置了CGI的處理程序。

所有的HTTP服務器執(zhí)行CGI程序都保存在一個預先配置的目錄。這個目錄被稱為CGI目錄，并按照慣例，它被命名為/var/www/cgi-bin目錄。

CGI文件的擴展名為.cgi，python也可以使用.py擴展名。

默認情況下，Linux服務器配置運行的cgi-bin目錄中為/var/www。

如果你想指定其他運行CGI腳本的目錄，可以修改httpd.conf配置文件，如下所示：

<Directory "/var/www/cgi-bin">

AllowOverride None

Options ExecCGI

Order allow,deny

Allow from all

</Directory>

<Directory "/var/www/cgi-bin">

Options All

</Directory>

第一個CGI程序

我們使用Python創(chuàng)建第一個CGI程序，文件名為hellp.py，文件位于/var/www/cgi-bin目錄中，內容如下，修改文件的權限為755：

#!/usr/bin/python

print "Content-type:text/html\r\n\r\n"

print '<html>'

print '<head>'

print '<title>Hello Word - First CGI Program</title>'

print '</head>'

print '<body>'

print '<h2>Hello Word! This is my first CGI program</h2>'

print '</body>'

print '</html>'

以上程序在瀏覽器訪問顯示結果如下：

Hello Word! This is my first CGI program

這個的hello.py腳本是一個簡單的Python腳本，腳本第一的輸出內容"Content-type:text/html\r\n\r\n"發(fā)送到瀏覽器并告知瀏覽器顯示的內容類型為"text/html"。

HTTP頭部

hello.py文件內容中的" Content-type:text/html\r\n\r\n"即為HTTP頭部的一部分，它會發(fā)送給瀏覽器告訴瀏覽器文件的內容類型。

HTTP頭部的格式如下：

HTTP 字段名: 字段內容

例如

Content-type: text/html\r\n\r\n

以下表格介紹了CGI程序中HTTP頭部經常使用的信息：

頭

描述

Content-type: 請求的與實體對應的MIME信息。例如: Content-type:text/html

Expires: Date 響應過期的日期和時間

Location: URL 用來重定向接收方到非請求URL的位置來完成請求或標識新的資源

Last-modified: Date 請求資源的最后修改時間

Content-length: N 請求的內容長度

Set-Cookie: String 設置Http Cookie

CGI環(huán)境變量

所有的CGI程序都接收以下的環(huán)境變量，這些變量在CGI程序中發(fā)揮了重要的作用：

變量名

描述

CONTENT_TYPE 這個環(huán)境變量的值指示所傳遞來的信息的MIME類型。目前，環(huán)境變量CONTENT_TYPE一般都是：application/x-www-form-urlencoded,他表示數(shù)據(jù)來自于HTML表單。

CONTENT_LENGTH 如果服務器與CGI程序信息的傳遞方式是POST，這個環(huán)境變量即使從標準輸入STDIN中可以讀到的有效數(shù)據(jù)的字節(jié)數(shù)。這個環(huán)境變量在讀取所輸入的數(shù)據(jù)時必須使用。

HTTP_COOKIE 客戶機內的 COOKIE 內容。

HTTP_USER_AGENT 提供包含了版本數(shù)或其他專有數(shù)據(jù)的客戶瀏覽器信息。

PATH_INFO 這個環(huán)境變量的值表示緊接在CGI程序名之后的其他路徑信息。它常常作為CGI程序的參數(shù)出現(xiàn)。

QUERY_STRING 如果服務器與CGI程序信息的傳遞方式是GET，這個環(huán)境變量的值即使所傳遞的信息。這個信息經跟在CGI程序名的后面，兩者中間用一個問號'?'分隔。

REMOTE_ADDR 這個環(huán)境變量的值是發(fā)送請求的客戶機的IP地址，例如上面的192.168.1.67。這個值總是存在的。而且它是Web客戶機需要提供給Web服務器的唯一標識，可以在CGI程序中用它來區(qū)分不同的Web客戶機。

REMOTE_HOST 這個環(huán)境變量的值包含發(fā)送CGI請求的客戶機的主機名。如果不支持你想查詢，則無需定義此環(huán)境變量。

REQUEST_METHOD 提供腳本被調用的方法。對于使用 HTTP/1.0 協(xié)議的腳本，僅 GET 和 POST 有意義。

SCRIPT_FILENAME CGI腳本的完整路徑

SCRIPT_NAME CGI腳本的的名稱

SERVER_NAME 這是你的 WEB 服務器的主機名、別名或IP地址。

SERVER_SOFTWARE 這個環(huán)境變量的值包含了調用CGI程序的HTTP服務器的名稱和版本號。例如，上面的值為Apache/2.2.14(Unix)

以下是一個簡單的CGI腳本輸出CGI的環(huán)境變量：

#!/usr/bin/python

import os

print "Content-type: text/html\r\n\r\n";

print "<font size=+1>Environment</font><\br>";

for param in os.environ.keys():

print "<b>%20s</b>: %s<\br>" % (param, os.environ[param])

GET和POST方法

瀏覽器客戶端通過兩種方法向服務器傳遞信息，這兩種方法就是 GET 方法和 POST 方法。

使用GET方法傳輸數(shù)據(jù)

GET方法發(fā)送編碼后的用戶信息到服務端，數(shù)據(jù)信息包含在請求頁面的URL上，以"?"號分割, 如下所示：

http://www.test.com/cgi-bin/hello.py?key1=value1&key2=value2

有關 GET 請求的其他一些注釋：

GET 請求可被緩存

GET 請求保留在瀏覽器歷史記錄中

GET 請求可被收藏為書簽

GET 請求不應在處理敏感數(shù)據(jù)時使用

GET 請求有長度限制

GET 請求只應當用于取回數(shù)據(jù)

簡單的url實例：GET方法

以下是一個簡單的URL，使用GET方法向hello_get.py程序發(fā)送兩個參數(shù)：

/cgi-bin/hello_get.py?first_name=ZARA&last_name=ALI

以下為hello_get.py文件的代碼：

#!/usr/bin/python

# CGI處理模塊

import cgi, cgitb

# 創(chuàng)建 FieldStorage 的實例化

form=cgi.FieldStorage()

# 獲取數(shù)據(jù)

first_name=form.getvalue('first_name')

last_name=form.getvalue('last_name')

print "Content-type:text/html\r\n\r\n"

print "<html>"

print "<head>"

print "<title>Hello - Second CGI Program</title>"

print "</head>"

print "<body>"

print "<h2>Hello %s %s</h2>" % (first_name, last_name)

print "</body>"

print "</html>"

瀏覽器請求輸出結果：

Hello ZARA ALI

簡單的表單實例：GET方法

以下是一個通過HTML的表單使用GET方法向服務器發(fā)送兩個數(shù)據(jù)，提交的服務器腳本同樣是hello_get.py文件，代碼如下：

<form action="/cgi-bin/hello_get.py" method="get">

First Name: <input type="text" name="first_name"> <br />

Last Name: <input type="text" name="last_name" />

<input type="submit" value="Submit" />

</form>

使用POST方法傳遞數(shù)據(jù)

使用POST方法向服務器傳遞數(shù)據(jù)是更安全可靠的，像一些敏感信息如用戶密碼等需要使用POST傳輸數(shù)據(jù)。

以下同樣是hello_get.py ，它也可以處理瀏覽器提交的POST表單數(shù)據(jù):

#!/usr/bin/python

# 引入 CGI 模塊

import cgi, cgitb

# 創(chuàng)建 FieldStorage 實例

form=cgi.FieldStorage()

# 獲取表單數(shù)據(jù)

first_name=form.getvalue('first_name')

last_name=form.getvalue('last_name')

print "Content-type:text/html\r\n\r\n"

print "<html>"

print "<head>"

print "<title>Hello - Second CGI Program</title>"

print "</head>"

print "<body>"

print "<h2>Hello %s %s</h2>" % (first_name, last_name)

print "</body>"

print "</html>"

以下為表單通過POST方法向服務器腳本hello_get.py提交數(shù)據(jù):

<form action="/cgi-bin/hello_get.py" method="post">

First Name: <input type="text" name="first_name"><br />

Last Name: <input type="text" name="last_name" />

<input type="submit" value="Submit" />

</form>

通過CGI程序傳遞checkbox數(shù)據(jù)

checkbox用于提交一個或者多個選項數(shù)據(jù)，HTML代碼如下：

<form action="/cgi-bin/checkbox.cgi" method="POST" target="_blank">

<input type="checkbox" name="maths" value="on" /> Maths

<input type="checkbox" name="physics" value="on" /> Physics

<input type="submit" value="Select Subject" />

</form>

以下為 checkbox.cgi 文件的代碼：

#!/usr/bin/python

# 引入 CGI 處理模塊

import cgi, cgitb

# 創(chuàng)建 FieldStorage的實例

form=cgi.FieldStorage()

# 接收字段數(shù)據(jù)

if form.getvalue('maths'):

math_flag="ON"

else:

math_flag="OFF"

if form.getvalue('physics'):

physics_flag="ON"

else:

physics_flag="OFF"

print "Content-type:text/html\r\n\r\n"

print "<html>"

print "<head>"

print "<title>Checkbox - Third CGI Program</title>"

print "</head>"

print "<body>"

print "<h2> CheckBox Maths is : %s</h2>" % math_flag

print "<h2> CheckBox Physics is : %s</h2>" % physics_flag

print "</body>"

print "</html>"

通過CGI程序傳遞Radio數(shù)據(jù)

Radio只向服務器傳遞一個數(shù)據(jù)，HTML代碼如下：

<form action="/cgi-bin/radiobutton.py" method="post" target="_blank">

<input type="radio" name="subject" value="maths" /> Maths

<input type="radio" name="subject" value="physics" /> Physics

<input type="submit" value="Select Subject" />

</form>

radiobutton.py 腳本代碼如下：

#!/usr/bin/python

# Import modules for CGI handling

import cgi, cgitb

# Create instance of FieldStorage

form=cgi.FieldStorage()

# Get data from fields

if form.getvalue('subject'):

subject=form.getvalue('subject')

else:

subject="Not set"

print "Content-type:text/html\r\n\r\n"

print "<html>"

print "<head>"

print "<title>Radio - Fourth CGI Program</title>"

print "</head>"

print "<body>"

print "<h2> Selected Subject is %s</h2>" % subject

print "</body>"

print "</html>"

通過CGI程序傳遞 Textarea 數(shù)據(jù)

Textarea向服務器傳遞多行數(shù)據(jù)，HTML代碼如下：

<form action="/cgi-bin/textarea.py" method="post" target="_blank">

<textarea name="textcontent" cols="40" rows="4">

Type your text here...

</textarea>

<input type="submit" value="Submit" />

</form>

textarea.cgi腳本代碼如下：

#!/usr/bin/python

# Import modules for CGI handling

import cgi, cgitb

# Create instance of FieldStorage

form=cgi.FieldStorage()

# Get data from fields

if form.getvalue('textcontent'):

text_content=form.getvalue('textcontent')

else:

text_content="Not entered"

print "Content-type:text/html\r\n\r\n"

print "<html>"

print "<head>";

print "<title>Text Area - Fifth CGI Program</title>"

print "</head>"

print "<body>"

print "<h2> Entered Text Content is %s</h2>" % text_content

print "</body>"

通過CGI程序傳遞下拉數(shù)據(jù)

HTML下拉框代碼如下：

<form action="/cgi-bin/dropdown.py" method="post" target="_blank">

<select name="dropdown">

<option value="Maths" selected>Maths</option>

<option value="Physics">Physics</option>

</select>

<input type="submit" value="Submit"/>

</form>

dropdown.py 腳本代碼如下所示：

#!/usr/bin/python

# Import modules for CGI handling

import cgi, cgitb

# Create instance of FieldStorage

form=cgi.FieldStorage()

# Get data from fields

if form.getvalue('dropdown'):

subject=form.getvalue('dropdown')

else:

subject="Not entered"

print "Content-type:text/html\r\n\r\n"

print "<html>"

print "<head>"

print "<title>Dropdown Box - Sixth CGI Program</title>"

print "</head>"

print "<body>"

print "<h2> Selected Subject is %s</h2>" % subject

print "</body>"

print "</html>"

CGI中使用Cookie

在http協(xié)議一個很大的缺點就是不作用戶身份的判斷，這樣給編程人員帶來很大的不便，

而cookie功能的出現(xiàn)彌補了這個缺憾。

所有cookie就是在客戶訪問腳本的同時，通過客戶的瀏覽器，在客戶硬盤上寫入紀錄數(shù)據(jù) ，當下次客戶訪問腳本時取回數(shù)據(jù)信息，從而達到身份判別的功能，cookie常用在密碼判斷中 。

cookie的語法

http cookie的發(fā)送是通過http頭部來實現(xiàn)的，他早于文件的傳遞，頭部set-cookie的語法如下：

Set-cookie:name=name;expires=date;path=path;domain=domain;secure

name=name: 需要設置cookie的值(name不能使用"；"和"，"號),有多個name值時用"；"分隔例如：name1=name1;name2=name2;name3=name3。

expires=date: cookie的有效期限,格式： expires="Wdy,DD-Mon-YYYY HH:MM:SS"

path=path: 設置cookie支持的路徑,如果path是一個路徑，則cookie對這個目錄下的所有文件及子目錄生效，例如： path="/cgi-bin/"，如果path是一個文件，則cookie指對這個文件生效，例如：path="/cgi-bin /cookie.cgi"。

domain=domain: 對cookie生效的域名，例如：domain="www.chinalb.com"

secure: 如果給出此標志，表示cookie只能通過SSL協(xié)議的https服務器來傳遞。

cookie的接收是通過設置環(huán)境變量HTTP_COOKIE來實現(xiàn)的，CGI程序可以通過檢索該變量獲取cookie信息。

Cookie設置

Cookie的設置非常簡單，cookie會在http頭部單獨發(fā)送。以下實例在cookie中設置了UserID 和 Password：

<pre>

#!/usr/bin/python

print "Set-Cookie:UserID=XYZ;\r\n"

print "Set-Cookie:Password=XYZ123;\r\n"

print "Set-Cookie:Expires=Tuesday, 31-Dec-2007 23:12:40 GMT";\r\n"

print "Set-Cookie:Domain=www.ziqiangxuetang.com;\r\n"

print "Set-Cookie:Path=/perl;\n"

print "Content-type:text/html\r\n\r\n"

...........Rest of the HTML Content....

以上實例使用了 Set-Cookie 頭信息來設置Cookie信息，可選項中設置了Cookie的其他屬性，如過期時間Expires，域名Domain，路徑Path。這些信息設置在 "Content-type:text/html\r\n\r\n"之前。

檢索Cookie信息

Cookie信息檢索頁非常簡單，Cookie信息存儲在CGI的環(huán)境變量HTTP_COOKIE中，存儲格式如下：

key1=value1;key2=value2;key3=value3....

以下是一個簡單的CGI檢索cookie信息的程序：

#!/usr/bin/python

# Import modules for CGI handling

from os import environ

import cgi, cgitb

if environ.has_key('HTTP_COOKIE'):

for cookie in map(strip, split(environ['HTTP_COOKIE'], ';')):

(key, value )=split(cookie, '=');

if key=="UserID":

user_id=value

if key=="Password":

password=value

print "User ID=%s" % user_id

print "Password=%s" % password

以上腳本輸出結果如下：

User ID=XYZ

Password=XYZ123

文件上傳實例：

HTML設置上傳文件的表單需要設置enctype 屬性為multipart/form-data，代碼如下所示：

<html>

<body>

<form enctype="multipart/form-data"

action="save_file.py" method="post">

<p>File: <input type="file" name="filename" /></p>

<p><input type="submit" value="Upload" /></p>

</form>

</body>

</html>

save_file.py腳本文件代碼如下：

#!/usr/bin/python

import cgi, os

import cgitb; cgitb.enable()

form=cgi.FieldStorage()

# 獲取文件名

fileitem=form['filename']

# 檢測文件是否上傳

if fileitem.filename:

# 設置文件路徑

fn=os.path.basename(fileitem.filename)

open('/tmp/' + fn, 'wb').write(fileitem.file.read())

message='The file "' + fn + '" was uploaded successfully'

else:

message='No file was uploaded'

print """\

Content-Type: text/html\n

<html>

<body>

<p>%s</p>

</body>

</html>

""" % (message,)

如果你使用的系統(tǒng)是Unix/Linux，你必須替換文件分隔符，在window下只需要使用open()語句即可：

fn=os.path.basename(fileitem.filename.replace("\", "/" ))

文件下載對話框

如果我們需要為用戶提供文件下載鏈接，并在用戶點擊鏈接后彈出文件下載對話框，我們通過設置HTTP頭信息來實現(xiàn)這些功能，功能代碼如下：

#!/usr/bin/python

# HTTP Header

print "Content-Type:application/octet-stream; name=\"FileName\"\r\n";

print "Content-Disposition: attachment; filename=\"FileName\"\r\n\n";

# Actual File Content will go hear.

fo=open("foo.txt", "rb")

str=fo.read();

print str

# Close opend file

fo.close()

更多技巧請《轉發(fā) + 關注》哦！

、前言

在Burp上，我們可以使用多種方法來配置宏（macro），以繞過HTML表單上的CSRF tokens，這樣一來，我們就可以使用Burp Active Scans、Burp Intruder、Burp Repeater，甚至也可以使用Burp Proxy進行滲透測試。我們也可以找到專為Intruder模塊設計的Grep-Extract以及pitchfork攻擊類型。當然，如果我們愿意的話，也可以開發(fā)自己的Burp Extension。Sqlmap上也有-csrf-token以及-csrf-url參數(shù)來應付類似場景，如果不使用這些命令，我們可以按照之前描述的方法來配置Burp，然后在sqlmap中通過-proxy參數(shù)與Burp配合使用。

在本文中，我們會介紹另一種辦法，那就是使用python中的CGIHTTPServer來完成這一任務。

二、實驗環(huán)境

我們構造了一個非常簡單的PHP/mysql環(huán)境，登錄后，你可以訪問某個受限區(qū)域。你可以訪問此鏈接獲取實驗所用的PHP代碼，以便在其他場景做些修改或調整。不要在意代碼細節(jié)，畢竟我并不是PHP專家，只是熱衷于搭建滿足需求的測試環(huán)境而已。實驗環(huán)境有助于我們理解測試過程，在現(xiàn)實場景中尋找真正目標。

實驗所用的CSRF tokens為一串隨機生成的SHA256散列字符串，每個HTTP請求都對應一個不同的tokens。

三、面臨的問題

不經過特殊配置時，Burp不會檢測到這個問題。

同理，沒有使用-csrf-token參數(shù)時，sqlmap也無能為力：

我使用了–technique、–dbms以及-p參數(shù)來加快掃描速度。由于這是一個簡單的基于布爾值的SQL注入（boolean-based SQLi），我們只需要使用默認的-level 1參數(shù)即可。但我們需要將-risk設置為3，因為只有使用較高的風險數(shù)值，我們才能測試OR類型的SQL注入（OR boolean-based SQLi）場景。OR類型的SQL注入非常危險，因為這種語句可以使任何條件的結果為真。比如，在使用WHERE子句的UPDATE或DELETE語句中，使用這種注入方式，你很有可能會不小心更新數(shù)據(jù)庫中所有用戶的密碼，或者導出用戶的憑據(jù)表，而這正是你在滲透測試中應該盡力避免的結果。

在sqlmap中，我們可以使用–csrf-token=”mytoken”參數(shù)檢測到OR類型的SQL注入：

由于這是一個登錄驗證表單，很明顯會對應一條SELECT語句，這意味著使用最高的風險等級3不會帶來任何風險。

當然，如果你有有效的憑據(jù)（實際滲透測試中你很難具備這個條件），此時該場景也會受AND類型的SQL注入（AND boolean-based SQLi）影響。然而，即使我擁有有效的憑據(jù)，我首先還是會使用另一個（有效的）用戶名來尋找可用的OR類型SQLi，以免不小心鎖定賬戶（如果存在賬戶鎖定機制的話）。

在sqlmap中，我們可以使用–csrf-token=”mytoken”來檢測AND類型的SQL注入：

四、使用CGIHTTPServer

創(chuàng)建如下CGI腳本：

我們將該腳本命名為mask.py，存放在xxx/cgi-bin/目錄中，同時請確保.py文件為可執(zhí)行文件。創(chuàng)建該文件后，我們需要在xxx目錄中運行python -m CGIHTTPServer命令。默認情況下，服務器會在8000/tcp端口上監(jiān)聽。

首先，使用正確的密碼測試這個服務器：

然后，測試一下錯誤的密碼：

現(xiàn)在，無需特殊配置，我們就可以使用Burp以及sqlmap來檢測SQL注入漏洞。

這就好像我們添加了一個中間層，可以簡化CSRF tokens給我們測試過程所帶來的復雜度，現(xiàn)在我們無需刻意去提交這個token信息了。

五、參考文獻

[1] Sqlmap

[2] 另外我們還可以使用Mechanizer來完成類似功能，以便掃描器能夠檢測到響應數(shù)據(jù)中存在的差異。

[3] Burp宏

[4] 對滲透測試人員較為實用的Python代碼