php09

前言:

总算进入了自己喜欢的行业. 要时刻记得当初自己说过的话, 不忘初心. Come on!

资料:

感谢超哥分享的干货..  sqlmap干货点击直达

 

学习环境:

本次学习使用的是kali集成的sqlmap,包括后续的burp suite 不牵扯安装.此步略过.

 

sqlmap简介:

  • sqlmap是一款开源免费的漏洞检查、利用工具.
  • 可以检测页面中get,post参数,cookie,http头等.
  • 可以实现数据榨取
  • 可以实现文件系统的访问
  • 可以实现操作命令的执行
  • 还可以对xss漏洞进行检测

基本上可以说 安全从业人员必备的一款神器之软件.也是迈入安全圈的必要条件.

 

支持检测类型

sqlmap 支持5种漏洞检测类型:

  • 基于布尔的盲注检测  (如果一个url的地址为xxxx.php?id=1,那么我们可以尝试下的加上 and 1=1(和没加and1=1结果保持一致) 和 and 1=2(和不加and1=2结果不一致),则我们基本可以确定是存在布尔注入的. )
  • 基于时间的盲注检测(和基于布尔的检测有些类似.通过mysql的 sleep(int)) 来观察浏览器的响应是否等待了你设定的那个值 如果等待了,则表示执行了sleep,则基本确定是存在sql注入的
  • 基于错误的检测 (组合查询语句,看是否报错(在服务器没有抑制报错信息的前提下),如果报错 则证明我们组合的查询语句特定的字符被应用了,如果不报错,则我们输入的特殊字符很可能被服务器给过滤掉(也可能是抑制了错误输出.))
  • 基于union联合查询的检测(适用于如果某个web项目对查询结果只展示一条而我们需要多条的时候 则使用union联合查询搭配concat还进行获取更多的信息)
  • 基于堆叠查询的检测(首先看服务器支不支持多语句查询,一般服务器sql语句都是写死的,某些特定的地方用占位符来接受用户输入的变量,这样即使我们加and 也只能执行select(也不一定select,主要看应用场景,总之就是服务端写了什么,你就能执行什么)查询语句,如果能插入分号;则我们后面可以自己组合update,insert,delete等语句来进行进一步操作)

支持的数据库管理系统

  已知的有mysql,sql server,oracle,sqlite.............. 基本上全部支持了,如果某些小众的不支持,放心,我们一般也接触不到,目前还是以mysql为主流(个人见解,欢迎纠正)

 

其他特征

       这些好像都要版本>= 0.8之后才可以使用,  我本次使用的是1.0

  -d  如果你知道了对方数据库账号,密码,端口等一些信息,则可以通过sqlmap直接连接 不需要再装客户端管理软件 例 :Navicat

  可以与burp suite ,google搜索引擎,结合使用. 

  get,post,cookie,referer,user-agent 都可以指定和随机产生. (cookie过期后自动更新cookie)

  并发,延迟等修改.(比如设置间隔请求时间(避免被服务器发现),并发大一点,以达到追求速度的效果,)

  支持Basic,Digest,NTLM,CA等身份认证(但个人感觉还是web应用层的身份证多一点)

  包含密码破解模块..

  等.....

参数介绍

  因为参数太多,我这里分项学习做笔记

  options类:

    sqlmap --version       查看sqlmap版本信息.

    -h            查看功能参数(常用的)

    -hh             查看所有的参数 (如果有中文包 就最好了)

    -v            显示更详细的信息 一共7级, 从0-6.默认为1, 数值越大,信息显示越详细.

        Target(指定目标):

    -d            直接连接数据库侦听端口,类似于把自己当一个客户端来连接.

    -u               指定url扫描,但url必须存在查询参数. 例: xxx.php?id=1 

    -l            指定logfile文件进行扫描,可以结合burp 把访问的记录保存成一个log文件, sqlmap可以直接加载burp保存到log文件进行扫描

    -x            以xml的形式提交一个站点地图给sqlmap(表示不理解..)

    -m            如果有多个url地址,可以把多个url保存成一个文本文件 -m可以加载文本文件逐个扫描

    -r            把http的请求头,body保存成一个文件 统一提交给sqlmap,sqlmap会读取内容进行拼接请求体

    -g            利用谷歌搜索引擎搭配正则来过滤你想要的

    -c            加载配置文件,配置文件可以指定扫描目标,扫描方式,扫描内容等等.加载了配置文件sqlmap就会根据文件内容进行特定的扫描

实践

get扫描

    扫描目标是我本机对象Mutillidae,

    username | password  随便键入值,

得到url :http://192.168.21.134/mutillidae/index.php?page=user-info.php&username=1&password=1&user-info-php-submit-button=View+Account+Details

我们知道 在这段url中,有用的信息只有username & password 所以我们就可以对这两个变量进行注入测试

sqlmap :

  -u 指定一个带参数的url地址进行扫描.

  -p 只对特定的参数进行扫描(我们知道,page等是用不到的,在这串url中,只有password和username是有价值的信息,所以我们只对username进行扫描)

由于我kali python环境的问题, sqlmap的 字体和常规不一致..(常规绿色,),我也没有着手解决, 很快,sqlmap就扫描到了结果,疑似发现注入,并且发现了我们后端使用的是mysql数据库,问我们是否跳过数据库类型的检测,(总之就是这意思,原理我渣渣的英文读写能力...),既然已经知道数据库了,我们就没必要进行其他类型的检测了,常规跳过就好,:..

 

 之后又提示我们检测的级别(level)和风险值(risk), 级别,风险越高,对web造成的伤害性也就越高,常规为默认.(试想下,你帮客户做渗透,结果渗透没做好,把人家web给扫描出问题了....,如果黑客出于攻击行为来使用的话,肯定越高越好..个人理解..) 这里我们选择默认..

接下来sqlmap就会运用之前说的5种扫描方式来对我们指定的url种的特定参数 ,进行一系列的全自动注入,

遗憾的是通过sqlmap一系列的扫描和我不断的 尝试,好像并没有注入,但是sqlmap强烈建议我们提供扫描等级和风险等级...

 

 

 

那我们就提升下扫描等级和风险等级:

扫了一圈结果还是没发现注入(我晚上在好好研究下.)...

 

post扫描

sqlmap 支持2种post 扫描. 1, 请求文件. 2,busp suite log文件.

请求文件:

  首先需要设置浏览器代理.

 

 打开抓包工具,这里以burp suite为例

 

把我们抓到的数据包 全部复制下来 保存为一个txt文件

 

 接下来.. sqlmap启动, sqlmap -r request.txt -f 

还有一种方式 就是通过加载burp suite的日志文件进行扫描注入..

sqlmap -l xxx.txt  -f --dbs ... 

burp suite的日志文件生成方式为:

 

Request类参数

    --data         提交的时候要携带的参数. (get,post通用,最简单的post请求方式). 

    --users          获取数据库用户

    --dbs          获取所以数据库

    --param-del       变量分隔符,默认为&,

    --cookie        设置cookie头

    --user-agent      指定user-agent(防止对方服务器侦测到)

    --random-agent     随机agent

    --host          指定host头

    --level        安全级别 (1-5, >=3,检测anent,>=5,检测host头)

    --referer          指定referer头(level >=3才检测)

    --headers       指定额外的headers请求头(多个必须使用换\n,首字母必须大写)

    --method        指定请求方式, 默认为get,get请求不成功尝试post

    --auth-type      身份认证类型  (Basic,Digest,NTLM) ,

    --auth-cred      身份认证账号密码  "username:password"  , 完整demo: http://xxx.php?id=1 --auth-type  Basic  --auth-cred "u:p"  (个人认为不常用)

    --auth-cert / --auth-file  基于客户端证书进行校验,(个人感觉非常非常非常之不常用,略过...嘿嘿,放肆一把,就不学这个了)      

    --proxy       指定代理 

    --proxy-cred       指定代理的账号密码(代理需要账号密码的前提下)

    --ignore-proxy    忽略系统代理(我们设置的代理都是通过浏览器进行设置的,通常用于扫描本地系统)

    --delay       每次请求的延迟时间,单位秒,默认无延迟.

    --timeout      请求超时时间,默认30秒.

    --retries        连接超时重试次数 ,默认3次

    --randomize      长度,类型与原始值保持一致的情况下,指定每次请求随机取值的参数名 例: xxx.php?id=100, --randomize=\'\'id" 则id的值在100-999随机出现

    --scope        过滤日志内容,通过正则筛选扫描对象. 例: sqlmap -l burp.log --scope="(www)?\.aaa\.(com|net|org)" 则只会扫描以www开头.aaa.com或者net或者org

    --safe-url    \ --safe-freq  扫描的时候回产生大量的url,服务器可能会销毁session.每发送--safe-freq 次注入请求后 就发送一次正常请求.

    --safr-url          需要扫描的url.

    --safe-freq       出现错误(或者说带sql注入请求)的次数

    --skip-urlencode  get请求会对url进行编码. 某些web服务器不遵循标准编码 此参数就是不对get请求的url进行编码

    --eval         每次请求前指定执行特定的python代码.

    

     

       

sqlmap之cookie应用

对本机dvwa进行sql漏洞扫描. 首先这个网站是需要登录的.

登录过之后,在浏览器内获取cookie信息.

 

 复制cookie信息到sqlmap ,多个cookie之间用分号间隔分开

很快就直接把数据库给爆了出来,证明此url存在sql注入漏洞且sqlmap带入cookie成功.

 

optimization(优化参数)

      -0            后续3个参数的集合(除--threads)

      --predict-output      根据检测方法,比对返回值和统计表(/sqlmap/common-outputs.txt)内容,不断缩小检测范围,提高检测效率.(比对信息包括但不限于版本名,用户名,密码,表名,列名..等,与--threads参数不兼容)

      --keep-alive        使用http(s)长连接,新能好, 与--proxy参数不兼容.长连接避免重复简历连接的网络开销,但大量长连接会严重占用服务器资源

      --null-connection      只获取相应页面的大小值,而非页面具体内容.通常用于盲注判断真/假,降低网络带宽消耗. 与--text-only(基于页面内容的比较判断)不兼容

      --threads           最大并发线程,默认为1个线程,建议不要超过10个线程,否则可能影响站点可用性.与--predict-output参数不兼容

Injection(注射参数)

      -p             扫描指定的参数,例 xxx.php?id=2&name=root  -p id  只会扫描id变量的值 (可以指定多个变量名,多个变量名逗号隔开)

                    (在使用-p的时候会使--level失效,例如--level=3的时候才会扫描user-agent,但是我们使用手动指定了扫描参数user-agent 虽然没有指定--level=3,但此时也会扫描)

      --skip            排除指定的参数,例如--level=3 会扫描user-agent 但是我们不希望扫描useragent 可以使用--skip跳过此参数的扫描

      --dbms            指定后端数据库,在已知web应用的数据库前提下,略去sqlmap扫描判断后端数据库过程,提高效率.例: --dbms="mysql"(<5.0>指定版本)

      --os            指定目标操作系统

      --invalid-bignum/ --invalid-logical  默认使用负值使参数失效,bignum使用最大参数值使参数失效,logical使用布尔判断值使取值失效

      --no-cast          榨取数据时,sqlmap将所有结果转换为字符串,默认用空格替换null, 老版本可能不支持空格替换,使用--no-cast关闭替换

      --no-escape          不逃逸,也就是说当payload中用丹壹号界定字符串时,sqlmap使用char()编码逃逸的方法替换字符串,也就是说不然sqlmap对payload中 的单引号进行编码

      --prefix/ --suffix       前缀/后缀    

      --tamper          混淆脚本,用于绕过应用层过滤,IPS,WAF. 编写好的脚本存放于(sqlmap/tamper/...)使用的时候直接写出脚本名称即可,sqlmap会 自动去对应文件夹加载对应的文件      

Detection(检测)

      --level         检测级别,默认1级. 可设定1-5.级别不同,检测的细度不同./sqlmap/xml/payloads(检测级别不同,发送的payloads不同,)

      --risk           风险级别 1-4 默认1, 如果指数过高,可能会对数据造成伤害(如:更新,删除等)

Techniques(检测sql漏洞存在的技术类型)

      就是之前提到的sqlmap的五种检测类型, 默认是全部使用, 也可以手动指定.

      --time-sec        基于时间的注入检测相应延迟时间(默认5秒)

      --union-cols        默认联合查询1--10列,随着--level增加 最多检查50列.可以手动指定.

      --union-char       联合查询默认使用null,可能会出现失败,此时可以手动指定数值.  例: union select null  union select 1111

           --dns-domain        如果攻击了dns服务器,使用此功能可以提高数据榨取速度

Fingerprint(指纹信息)

      -f(--fingerprint)            数据库管理系统的指纹信息(数据库类型,操作系统,架构,补丁等)

      -b (--banner)              banner信息

Enumeration(枚举)

      --current-user            查询当前数据库管理系统账号

      --current-db             查询当前数据库昵称

      --hostname             查询当前主机名

      --users               查询数据库系统中所有的账号

      --peivileges-U xxx          -u 查询指定账号的权限 如果不跟指定用户名 则查询的是所有的用户, -CU 查询当前用户

      -D                   指定数据库

      --table               查询所有表

      -T                   指定表

      --columns              查询指定表的所有列

          -C                   指定某一列查询

      --exclude-sysdbs          忽略系统库

      --count               统计记录

      --batch              批处理,也就是系统默认选项(按照默认的选项 全自动执行)

dump数据

      --dump              保存数据到本地(配合一系列的指令)

      -C                指定columns  如果不指定,默认整表

      -T                指定表名,

      -D                指定数据库

      -start                数据起始位置 (按表的id进行取值)

      -stop                数据结束位置

      --dump-all            下载整表

      --sql-query            指定sql语句

 

Brute Force(暴力破解)

      在mysql <5.0的时候 ,是没有information_schema库的,这时候我们就不能根据数据源表进行一系列的操作

      还有一种情况是mysql>=5.0的时候,但无权限读取information_schema库,这时候可能就需要用到暴力破解

      在微软access数据库中,默认是无权读取MSysObjects库的

      --common-tables                  暴力破解表名(根据字典)

      --common-columns(Access系统表无列信息)      暴力破解表字段

Udf Injection(UDF注射)

      --udf-inject ,, --shared-lib

      --file-read              读取目标系统指定文件(值为具体文件的路径)

      --file-write              写入的文件  

      --file-dest               写入保存的路径

      --os-cmd                执行系统命令

      --os-shell                得到系统shell

      --sql-shell               得到sqlshell

Winwods RegisTory(windows注册表相关)

      --reg-read              读取注册表键值

      --reg-add               向注册表添加键值

      --reg-del                 删除注册表键值

      --reg-key --reg-value --reg-data --reg-type  辅助参数, 上面三个操作的时候可以缩小范围.

Genral(常规参数)

      -s          sqllite会话文件保存位置

      -t           记录流量文件保存位置

      --charset       强制字符编码

      --crawl        从起始位置爬站深度

      --csv-del       dump下来的数据默认存于","分割的csv文件中,--csv-del用来指定其他分隔符

      --dbms-cred       指定数据库账号

      --flush-session      清空session    

      --force-ssl        针对https的网站..

      --fresh-queries           忽略本地session  从新发送请求

      --output-dir      指定一个输出目录

      --parse-errors       分析和显示数据库中内建报错信息

      --save         将命令保存成配置文件

      --check-waf           检测waf.ips.ids

      --hpp          绕过WAF,IPS,IDS 尤其对ASP,/IIS.ASP.NET/IIS

       --identify-waf       更彻底的检查waf

Miscellaneous(杂项)

      --mobile        模拟只能手机设备(实现方式只是替换对应的user-agent)

      --purge-output      清除output文件夹

      --smart          当有大量检测目标时, 只选择基于错误的检测结果

      --wizard        向导模式. 

分类:

技术点:

相关文章: