Web安全（三）sqlmap自动化攻击[一]

gclome

原文链接：Web安全（三）sqlmap自动化攻击[一]

1、简介


一款功能强大集成了多种数据库识别及注入方式，多用于识别和利用 Web 应用程序注入漏洞的工具。

sqlmap支持五种不同的注入模式：
1、基于布尔的盲注，即可以根据返回页面判断条件真假的注入。
2、基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
3、基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。
4、联合查询注入，可以使用union的情况下的注入。
5、堆查询注入，可以同时执行多条语句的执行时的注入。



2、安装及靶场

Python黑客攻防（六）安装sqlmap及创建sqlmap快捷方式
靶场环境安装见历史文章

3、参数详解

1. -u 指定目标URL (可以是http协议也可以是https协议)
   
2. 
   
3. -d 连接数据库
   
4. 
   
5. --proxy（重要）
   
6.   允许 sqlmap 的请求都通过我们设置的 proxy 进行发送，
   
7.   可以隐藏自身 IP 地址和绕过 IP 限制。
   
8. 
   
9. --tor, --tor-port, --tor-type
   
10.    通过配置 Tor Client 以及 Privoxy，可以启用 –tor 选项。
    
11.   该选项可使sqlmap 的请求通过 Tor 网络进行发送，以达到匿名的目的。
    
12.   同时，我们还可以通过 --tor-port 以及 --tor-type 设置所使用的的 Tor Proxy 类型。
    
13. 
    
14. --check-tor
    
15.   检测 Tor 网络是否配置且连接正常
    
16. --dbs 列出所有的数据库
    
17. 
    
18. --current-db 列出当前数据库
    
19. 
    
20. --tables 列出当前的表
    
21. 
    
22. --columns 列出当前的列
    
23. 
    
24. -D 选择使用哪个数据库
    
25. 
    
26. -T 选择使用哪个表
    
27. 
    
28. -C 选择使用哪个列
    
29. 
    
30. --dump 获取字段中的数据
    
31. 
    
32. --batch 自动选择yes
    
33. 
    
34. --smart 启发式快速判断，节约浪费时间
    
35. 
    
36. --forms 尝试使用post注入
    
37. 
    
38. -r 加载文件中的HTTP请求（本地保存的请求包txt文件）
    
39. 
    
40. -l 加载文件中的HTTP请求（本地保存的请求包日志文件）
    
41. 
    
42. -g 与google hacking联合调用，对有GET参数的URL测试
    
43. 
    
44. -o 开启所有默认性能优化
    
45. 
    
46. --tamper 调用脚本进行注入（多个脚本的时候，脚本之间用逗号隔开）
    
47.   --tamper ["脚本名称"]
    
48.   apostrophemask.py              用UTF-8全角字符替换单引号字符
    
49.   apostrophenullencode.py        用非法双字节unicode字符替换单引号字符
    
50.   appendnullbyte.py              在payload末尾添加空字符编码
    
51.   base64encode.py                对给定的payload全部字符使用Base64编码
    
52.   between.py                     分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=”
    
53.   bluecoat.py                    在SQL语句之后用有效的随机空白符替换空格符，随后用“LIKE”替换等于号“=”
    
54.   chardoubleencode.py            对给定的payload全部字符使用双重URL编码（不处理已经编码的字符）
    
55.   charencode.py                  对给定的payload全部字符使用URL编码（不处理已经编码的字符）
    
56.   charunicodeencode.py           对给定的payload的非编码字符使用Unicode URL编码（不处理已经编码的字符）
    
57.   concat2concatws.py            用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
    
58.   equaltolike.py                用“LIKE”运算符替换全部等于号“=”
    
59.   greatest.py                   用“GREATEST”函数替换大于号“>”
    
60.   halfversionedmorekeywords.py  在每个关键字之前添加MySQL注释
    
61.   ifnull2ifisnull.py            用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
    
62.   lowercase.py                  用小写值替换每个关键字字符
    
63.   modsecurityversioned.py       用注释包围完整的查询
    
64.   modsecurityzeroversioned.py   用当中带有数字零的注释包围完整的查询
    
65.   multiplespaces.py             在SQL关键字周围添加多个空格
    
66.   nonrecursivereplacement.py    用representations替换预定义SQL关键字，适用于过滤器
    
67.   overlongutf8.py               转换给定的payload当中的所有字符
    
68.   percentage.py                 在每个字符之前添加一个百分号
    
69.   randomcase.py                 随机转换每个关键字字符的大小写
    
70.   randomcomments.py             向SQL关键字中插入随机注释
    
71.   securesphere.py               添加经过特殊构造的字符串
    
72.   sp_password.py                向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
    
73.   space2comment.py              用“/**/”替换空格符
    
74.   space2dash.py                 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
    
75.   space2hash.py                 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
    
76.   space2morehash.py             用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
    
77.   space2mssqlblank.py           用一组有效的备选字符集当中的随机空白符替换空格符
    
78.   space2mssqlhash.py            用磅注释符“#”其次是一个换行符替换空格符
    
79.   space2mysqlblank.py           用一组有效的备选字符集当中的随机空白符替换空格符
    
80.   space2mysqldash.py            用破折号注释符“--”其次是一个换行符替换空格符
    
81.   space2plus.py                 用加号“+”替换空格符
    
82.   space2randomblank.py          用一组有效的备选字符集当中的随机空白符替换空格符
    
83.   unionalltounion.py            用“UNION SELECT”替换“UNION ALL SELECT”
    
84.   unmagicquotes.py              用一个多字节组合%bf%27和末尾通用注释一起替换空格符 宽字节注入
    
85.   varnish.py                    添加一个HTTP头“X-originating-IP”来绕过WAF
    
86.   versionedkeywords.py          用MySQL注释包围每个非函数关键字
    
87.   versionedmorekeywords.py      用MySQL注释包围每个关键字
    
88.   xforwardedfor.py              添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF
    
89.   
    
90. -v 指定sqlmap的回显等级
    
91.   0 ：只显示 python 的 error 和 critical 级别的信息
    
92.   1 ：显示 information 和 warning 级别的信息
    
93.   2 ：显示 debug 级别的信息
    
94.   3 ：额外显示注入的 payload （很有用，测试过程的记录）
    
95.   4 ：额外显示 HTTP 请求内容
    
96.   5 ：额外显示 HTTP 响应头
    
97.   6 ：额外显示 HTTP 响应页面内容
    
98.    
    
99. --delay 设置多久访问一次
    
100. 
     
101. --os-shell 获取主机shell，一般不太好用，因为没权限
     
102. 
     
103. -m 批量操作
     
104. 
     
105. -c 指定配置文件，会按照该配置文件执行动作
     
106. 
     
107. -data data指定的数据会当做post数据提交
     
108. 
     
109. -timeout 设定超时时间
     
110. 
     
111. --level 设置注入探测等级
     
112.   level有5个等级，默认等级为1。
     
113.   进行Cookie测试时使用--level 2。
     
114.   进行use-agent或refer测试时使用--level 3。
     
115.   进行 host 测试时使用--level 5
     
116.   --level 5包含的payload最多，会自动破解出cookie、XFF等头部注入，
     
117.   相对应他的速度也比较慢。
     
118. --risk 风险等级
     
119.   内容 risk 级别升高会加 or 和 Update 可能对数据库表内容进行修改。
     
120.   往往不是我们所期望的，所以谨慎使用。
     
121. 
     
122. --identify-waf 检测防火墙类型
     
123. 
     
124. --param-del="分割符" 设置参数的分割符
     
125.            
     
126. --skip-urlencode 不进行url编码
     
127. 
     
128. --keep-alive 设置持久连接，加快探测速度
     
129. 
     
130. --null-connection 检索没有body响应的内容，多用于盲注
     
131. 
     
132. --thread 最大为10 设置多线程
     
133. 
     
134. --user-agent["设置用户代理"]
     
135. 
     
136. --cookie["设置cookie"]
     
137. 
     
138. --file-write,--file-dest上传文件并重新命
     
139. 
     
140. --file-read读取目标服务器文件

复制代码

4、基本步骤

1. python sqlmap.py -u ["URL"] //测试是否存在注入
   
2. python sqlmap.py -u ["URL"] -current-db //查询当前数据库
   
3. python sqlmap.py -u ["URL"] -D ["数据库名"] --tables //查询当前数据库中的所有表
   
4. python sqlmap.py -u ["URL"] -D ["数据库名"] -T ["表名"] --columns //查询指定库中指定表的所有列(字段)
   
5. python sqlmap.py -u ["URL"] -D ["数据库名"] -T ["表名"] -C ["列名"] --dump //打印出指定库中指定表指定列中的字段内容

复制代码

靶场演示

get

• 获取数据库名
  
  

​

• 获取表名
  
  

​

• 获取列名
  
  

​

• 获取字段内容
  
  

​   
​


post

1. python sqlmap.py --cookie ["cookie"] -u ["URL"] //测试是否存在注入
   
2. python sqlmap.py --cookie ["cookie"] -u ["URL"] -current-db //查询当前数据库
   
3. python sqlmap.py --cookie ["cookie"] -u ["URL"] -D ["数据库名"] --tables //查询当前数据库中的所有表
   
4. python sqlmap.py --cookie ["cookie"] -u ["URL"] -D ["数据库名"] -T ["表名"] --columns //查询指定库中指定表的所有列(字段)
   
5. python sqlmap.py --cookie ["cookie"] -u ["URL"] -D ["数据库名"] -T ["表名"] -C ["列名"] --dump //打印出指定库中指定表指定列中的字段内容

复制代码

• 从浏览器获取cookie
  
  
  

​

• 获取数据库名
  
  

​

• 获取表名
  
  

​

• 获取字段名
  
  

​

• 获取字段内容，对密码解密。
  
  

​