判断sql注入的流量特征
判断sql注入攻击的流量特征,并抓包截图说明
使用抓包工具Wireshark
使用靶场:pikachu
因为是字符型,使用单引号闭合并注释后面的语句,输入攻击语句
打开Wireshark,选择与虚拟机连接的端口,然后回到pikachu页面进行输入
回到wireshark上
发现SQL攻击走的是HTTP协议
右键追踪流查看详细信息。
已经发现了攻击语句
接下来使用sqlmap进行攻击并进行分析
启动kali的sqlmap
sqlmap -u "http://10.4.7.148/pikachu/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2"
查看抓包
提交请求时默认的UserAgent为:sqlmap/1.5.8#stable (http://sqlmap.org)这样直接暴露我们是通过sqlmap进行攻击的。
一般会在sqlmap添加–random-agent参数,来使用随机User-Agent 信息避免被发现。
可根据上述流量提取攻击特征:
- 若攻击者使用sqlmap不添加–random-agent参数,则可通过捕获请求包的USER-AGENT字段来判断攻击者是否在使用sqlmap进行攻击
添加–random-agent:
Sqlmap攻击数据
sqlmap -u "http://10.4.7.148/pikachu/vul/sqli/sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbs --random-agent
查询库名
追踪:
解码:
可根据上述流量获取攻击特征:
关键字:union,all,select,from,information_schema字段
http报文:user-agent。
依次类推其它的sql攻击特征,基本均为存在危险关键字:
延时注入的关键字sleep与布尔盲注的关键字and 1=1。
报文:user-agent。
依次类推其它的sql攻击特征,基本均为存在危险关键字:
延时注入的关键字sleep与布尔盲注的关键字and 1=1。
那么就确定了sql注入的流量特征。