SQL注入回顾篇(四)

最新推荐文章于 2021-03-21 07:44:12 发布

置顶 JBlock

最新推荐文章于 2021-03-21 07:44:12 发布

阅读量4.3k

点赞数 3

分类专栏：注入工具 CTF学习渗透之旅 CTF大本营

本文链接：https://blog.csdn.net/JBlock/article/details/88048895

版权

CTF学习同时被 3 个专栏收录

15 篇文章 0 订阅

订阅专栏

注入

13 篇文章 1 订阅

订阅专栏

CTF大本营

10 篇文章 3 订阅

订阅专栏

前言

忆往昔，峥嵘岁月稠！大学已经到了大三了，打了很多比赛，回顾还是挺欣慰！此系列来由是想留一点东西，把所学知识整理一下，同时也是受github上Micro8分享的启发，故想做一些工作，以留后人参考，历时两个星期，第一系列SQL注入回顾篇出炉！内容分四节发布，其中SQL注入代码审计为两节，WAF绕过总结为1节，SQLMAP使用总结为1节！此为SQLMAP使用总结部分。欢迎各位斧正，交流！

文章目录

前言

@[toc]
简介
Mysql注入相关知识点
SQLMAP使用与Tamper详解
常规注入过程
权限常用参数
Cookie注入
从post数据包中注入
从数据库中搜索字段
user-agent注入
防屏蔽
sqlmap详细命令：
Tamper详解

结语

简介

SQL注入就是web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是攻击者可控的，并且参数带入数据库查询攻击者可以通过构造不同的sql语句来实现对数据库的任意操作。

Sql注入的产生需要满足以下两个条件：

参数用户可控：前端传给后端的参数内容是用户可以控制的。
参数带入数据库查询：传入的参数拼接到sql语句中，且带入数据库查询。

当传入的参数ID为1’时，数据库执行的代码如下所示。

Select * from users where id=1’

这个语句不符合数据库语法规范，所以会报错。当传入的参数为and 1=1时，执行的sql语句如下所示

Select * from users where id=1 and 1=1

因为1=1为真，且where语句中的id=1也为真，所以页面会返回与id=1相同的结果。当传入的id参数为and 1=2时，此时sql语句恒为假，所以服务器会返回与id=1不同的结果

在实际环境中，sql注入会导致数据库的数据泄露，在安全配置不当的情况下还可能会被攻击者拿到系统权限，进行文件的读写操作等。

普通的注入审计，可以通过$_GET,$_POST等传参追踪数据库操作，也可以通过select , delete , update,insert 数据库操作语句反追踪传参。

Mysql注入相关知识点

在Mysql 5.0版本之后，Mysql默认在数据库中存放一个”information_shcema”的数据库，在该库中，读者需要记住三个表名，分别是SCHEMATA,TABLES和COLUMNS。分存储该用户创建的所有数据库的库名，库名和表名，库名和表名,字段名。
Limit的用法：使用格式为limit m,n,其中m是指记录开始的位置，从0开始，表示第一条记录：n是指取n条记录。例如limit 0,1表示从第一条记录开始，取一条记录。
需要记住的几个函数
- database():当前网站使用的数据库。
- version():当前MYSQL的版本。
- user():当前MySQL的用户。
注释符

在MYSQL中，常见的注释符的表达式为：#或--空格或/**/，

，//，-- , --+,,%00,--a。
内联注释

内联注释的形式：/*！code */。内联注释可以用于整个SQL语句中用来执行我们的SQL语句，

举个栗子:
```
Index.php?id=-15 /*!UNION*/ /*!SELECT*/ 1,2,3
```
MYSQL对大小写不敏感，所以存在大小绕过。

SQLMAP使用与Tamper详解

SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）

sqlmap支持五种不同的注入模式：

基于布尔的盲注，即可以根据返回页面判断条件真假的注入。
基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。
联合查询注入，可以使用union的情况下的注入。
堆查询注入，可以同时执行多条语句的执行时的注入

常规注入过程

注出数据库

sqlmap -u"http://192.168.23.164/sqli/example1.php?name=root" –dbs

在这里插入图片描述

注出指定数据库的表

sqlmap -u "http://192.168.23.164/sqli/example1.php?name=root" -D exercises –tables

在这里插入图片描述

注出表中的相关字段

sqlmap -u "http://192.168.23.164/sqli/example1.php?name=root" -D exercises -T users –columns

在这里插入图片描述

注出字段值

sqlmap -u "http://192.168.23.164/sqli/example1.php?name=root" -D exercises -T users –dump

在这里插入图片描述

权限常用参数

-b, --banner 检索数据库管理系统的标识
–current-user 检索数据库管理系统当前用户
–current-db 检索数据库管理系统当前数据库
–is-dba 检测DBMS当前用户是否DBA
–users 枚举数据库管理系统用户
–passwords 枚举数据库管理系统用户密码哈希
–privileges 枚举数据库管理系统用户的权限
–roles 枚举数据库管理系统用户的角色
–dbs 枚举数据库管理系统数据库
–tables 枚举的DBMS数据库中的表
–columns 枚举DBMS数据库表列
–dump 转储数据库管理系统的数据库中的表项
–dump-all 转储所有的DBMS数据库表中的条目
–search 搜索列（S），表（S）和/或数据库名称（S）

Cookie注入

当程序有防get注入的时候，可以使用cookie注入

sqlmap -u “url” –cookie “id=11” –level 2（只有level达到2才会检测cookie）

从post数据包中注入

可以使用burpsuite或者temperdata等工具来抓取post包

sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql  指定username参数

从数据库中搜索字段

sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password

在dedecms数据库中搜索字段admin或者password

user-agent注入

*指定参数 -r *.txt --user-agent "" --technique BEUST --dbms mysql --batch --threads 10

防屏蔽

-safe-freq 3 //一个斜杠

sqlmap详细命令：

-is-dba 当前用户权限（是否为root权限）
-dbs 所有数据库
-current-db 网站当前数据库
-users 所有数据库用户
-current-user 当前数据库用户
-random-agent 构造随机user-agent
-passwords 数据库密码
-proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理
-time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）

Options（选项）：

-version 显示程序的版本号并退出
-h, –help 显示此帮助消息并退出
-v VERBOSE 详细级别：0-6（默认为1）

Target（目标）：

以下至少需要设置其中一个选项，设置目标URL。

-d DIRECT 直接连接到数据库。
-u URL, –url=URL 目标URL。
-l LIST 从Burp或WebScarab代理的日志中解析目标。
-r REQUESTFILE 从一个文件中载入HTTP请求。
-g GOOGLEDORK 处理Google dork的结果作为目标URL。
-c CONFIGFILE 从INI配置文件中加载选项。

Request（请求）：

这些选项可以用来指定如何连接到目标URL。

-data=DATA 通过POST发送的数据字符串
-cookie=COOKIE HTTP Cookie头
-cookie-urlencode URL 编码生成的cookie注入
-drop-set-cookie 忽略响应的Set – Cookie头信息
-user-agent=AGENT 指定 HTTP User – Agent头
-random-agent 使用随机选定的HTTP User – Agent头
-referer=REFERER 指定 HTTP Referer头
-headers=HEADERS 换行分开，加入其他的HTTP头
-auth-type=ATYPE HTTP身份验证类型（基本，摘要或NTLM）(Basic, Digest or NTLM)
-auth-cred=ACRED HTTP身份验证凭据（用户名:密码）
-auth-cert=ACERT HTTP认证证书（key_file，cert_file）
-proxy=PROXY 使用HTTP代理连接到目标URL
-proxy-cred=PCRED HTTP代理身份验证凭据（用户名：密码）
-ignore-proxy 忽略系统默认的HTTP代理
-delay=DELAY 在每个HTTP请求之间的延迟时间，单位为秒
-timeout=TIMEOUT 等待连接超时的时间（默认为30秒）
-retries=RETRIES 连接超时后重新连接的时间（默认3）
-scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
-safe-url=SAFURL 在测试过程中经常访问的url地址
-safe-freq=SAFREQ 两次访问之间测试请求，给出安全的URL

Enumeration（枚举）：

这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外，您还可以运行您自己的SQL语句。

-b, –banner 检索数据库管理系统的标识
-current-user 检索数据库管理系统当前用户
-current-db 检索数据库管理系统当前数据库
-is-dba 检测DBMS当前用户是否DBA
-users 枚举数据库管理系统用户
-passwords 枚举数据库管理系统用户密码哈希
-privileges 枚举数据库管理系统用户的权限
-roles 枚举数据库管理系统用户的角色
-dbs 枚举数据库管理系统数据库
-D DBname 要进行枚举的指定数据库名
-T TBLname 要进行枚举的指定数据库表（如：-T tablename –columns）
-tables 枚举的DBMS数据库中的表
-columns 枚举DBMS数据库表列
-dump 转储数据库管理系统的数据库中的表项
-dump-all 转储所有的DBMS数据库表中的条目
-search 搜索列（S），表（S）和/或数据库名称（S）
-C COL 要进行枚举的数据库列
-U USER 用来进行枚举的数据库用户
-exclude-sysdbs 枚举表时排除系统数据库
-start=LIMITSTART 第一个查询输出进入检索
-stop=LIMITSTOP 最后查询的输出进入检索
-first=FIRSTCHAR 第一个查询输出字的字符检索
-last=LASTCHAR 最后查询的输出字字符检索
-sql-query=QUERY 要执行的SQL语句
-sql-shell 提示交互式SQL的shell

Optimization（优化）：

这些选项可用于优化SqlMap的性能。

-o 开启所有优化开关
–predict-output 预测常见的查询输出
–keep-alive 使用持久的HTTP（S）连接
–null-connection 从没有实际的HTTP响应体中检索页面长度
–threads=THREADS 最大的HTTP（S）请求并发量（默认为1）

Injection（注入）：

这些选项可以用来指定测试哪些参数，提供自定义的注入payloads和可选篡改脚本。

-p TESTPARAMETER 可测试的参数（S）
–dbms=DBMS 强制后端的DBMS为此值
–os=OS 强制后端的DBMS操作系统为这个值
–prefix=PREFIX 注入payload字符串前缀
–suffix=SUFFIX 注入payload字符串后缀
–tamper=TAMPER 使用给定的脚本（S）篡改注入数据

Detection（检测）：

这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

–level=LEVEL 执行测试的等级（1-5，默认为1）
–risk=RISK 执行测试的风险（0-3，默认为1）
–string=STRING 查询时有效时在页面匹配字符串
–regexp=REGEXP 查询时有效时在页面匹配正则表达式
–text-only 仅基于在文本内容比较网页

Techniques（技巧）：

这些选项可用于调整具体的SQL注入测试。

–technique=TECH SQL注入技术测试（默认BEUST）
–time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）
–union-cols=UCOLS 定列范围用于测试UNION查询注入
–union-char=UCHAR 用于暴力猜解列数的字符

Fingerprint（指纹）：

-f, –fingerprint 执行检查广泛的DBMS版本指纹

Brute force（蛮力）：

这些选项可以被用来运行蛮力检查。

–common-tables 检查存在共同表
–common-columns 检查存在共同列

User-defined function injection（用户自定义函数注入）：

这些选项可以用来创建用户自定义函数。

–udf-inject 注入用户自定义函数

–shared-lib=SHLIB 共享库的本地路径

File system access（访问文件系统）：

这些选项可以被用来访问后端数据库管理系统的底层文件系统。

–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

Operating system access（操作系统访问）：

这些选项可以用于访问后端数据库管理系统的底层操作系统。

–os-cmd=OSCMD 执行操作系统命令
–os-shell 交互式的操作系统的shell
–os-pwn 获取一个OOB shell，meterpreter或VNC
–os-smbrelay 一键获取一个OOB shell，meterpreter或VNC
–os-bof 存储过程缓冲区溢出利用
–priv-esc 数据库进程用户权限提升
–msf-path=MSFPATH Metasploit Framework本地的安装路径
–tmp-path=TMPPATH 远程临时文件目录的绝对路径

Windows注册表访问：

这些选项可以被用来访问后端数据库管理系统Windows注册表。

–reg-read 读一个Windows注册表项值
–reg-add 写一个Windows注册表项值数据
–reg-del 删除Windows注册表键值
–reg-key=REGKEY Windows注册表键
–reg-value=REGVAL Windows注册表项值
–reg-data=REGDATA Windows注册表键值数据
–reg-type=REGTYPE Windows注册表项值类型
这些选项可以用来设置一些一般的工作参数。
-t TRAFFICFILE 记录所有HTTP流量到一个文本文件中
-s SESSIONFILE 保存和恢复检索会话文件的所有数据
–flush-session 刷新当前目标的会话文件
–fresh-queries 忽略在会话文件中存储的查询结果
–eta 显示每个输出的预计到达时间
–update 更新SqlMap
–save file保存选项到INI配置文件
–batch 从不询问用户输入，使用所有默认配置。

Miscellaneous（杂项）：

–beep 发现SQL注入时提醒
–check-payload IDS对注入payloads的检测测试
–cleanup SqlMap具体的UDF和表清理DBMS
–forms 对目标URL的解析和测试形式
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果
–page-rank Google dork结果显示网页排名（PR）
–parse-errors 从响应页面解析数据库管理系统的错误消息
–replicate 复制转储的数据到一个sqlite3数据库
–tor 使用默认的Tor（Vidalia/ Privoxy/ Polipo）代理地址
–wizard 给初级用户的简单向导界面

Tamper详解

当原始注入遇到困难时，可尝试加载相应脚本，进行绕过，说不定会有意外惊喜。在sqlmap的原命令中加入以下代码，即可使用脚本，进行更加强有力的渗透

--tamper“脚本名称”(可使用多个tamper)

sqlmap版本当前为1.2.7.20，共有57个tamper脚本

序号	脚本名称	注释
1	0x2char	将每个编码后的字符转换为等价表达
2	apostrophemask	单引号替换为Utf8字符，用于过滤单引号
3	apostrophenullencode	替换双引号为%00%27
4	appendnullbyte	有效代码后添加%00
5	base64encode	使用base64编码
6	between	比较符替换为between
7	bluecoat	空格替换为随机空白字符，等号替换为like
8	chardoubleencode	双url编码
9	charencode	将url编码(不处理已经编码的字符)
10	charunicodeencode	使用unicode编码
11	charunicodeescape	以指定的payload反向编码未编码的字符
12	commalesslimit	改变limit语句的写法
13	commalessmid	改变mid语句的写法
14	commentbeforeparentheses	在括号前加内联注释
15	concat2concatws	替换CONCAT为CONCAT_WS
16	equaltolike	等号替换为like
17	escapequotes	双引号替换为\\
18	greatest	大于号替换为greatest，绕过对>的过滤
19	halfversionedmorekeywords	在每个关键字前加注释
20	htmlencode	html编码所有非字母和数字的字符
21	ifnull2casewhenisnull	改变ifnull语句的写法
22	ifnull2ifisnull	替换ifnull为if(isnull(A))
23	informationschemacomment	标示符后添加注释
24	least	替换大于号为least
25	lowercase	全部替换为小写值
26	modsecurityversioned	空格替换为查询版本的注释
27	modsecurityzeroversioned	添加完整的查询版本的注释
28	multiplespaces	添加多个空格
29	nonrecursivereplacement	替换预定义的关键字
30	overlongutf8	将所有字符转义为utf8
31	overlongutf8more	以指定的payload转换所有字符
32	percentage	每个字符前添加%
33	plus2concat	将加号替换为concat函数
34	plus2fnconcat	将加号替换为ODBC函数{fn CONCAT()}
35	randomcase	字符大小写随机替换
36	randomcomments	/**/分割关键字
37	securesphere	添加某字符串
38	sp_password	追加sp_password字符串
39	space2comment	空格替换为/**/
40	space2dash	空格替换为–加随机字符
41	space2hash	空格替换为#加随机字符
42	space2morecomment	空格替换为/_/
43	space2morehash	空格替换为#加随机字符及换行符
44	space2mssqlblank	空格替换为其他空符号
45	space2mssqlhash	空格替换为%23%0A
46	space2mysqlblank	空格替换为其他空白符号
47	space2mysqldash	空格替换为–%0A
48	space2plus	空格替换为加号
49	space2randomblank	空格替换为备选字符集中的随机字符
50	symboliclogical	AND和OR替换为&&和\|\|
51	unionalltounion	union all select替换为union select
52	unmagicquotes	宽字符绕过GPC
53	uppercase	全部替换为大写值
54	varnish	添加HTTP头
55	versionedkeywords	用注释封装每个非函数的关键字
56	versionedmorekeywords	使用注释绕过
57	xforwardedfor	添加伪造的HTTP头

下面以数据库为区分，给出每种数据库可供选择的tamper。若同一脚本适用不同数据库，则在每个数据库中都指出

【MySQL】

版本	可用tamper编号	脚本名称
4/5.0/5.5	1	0x2char
6	between
9	charencode
16	concat2concatws
18	greatest
24	least
25	lowercase
35	randomcase
39	space2comment
49	space2randomblank
53	uppercase
5.1	7	bluecoat
46	space2mysqlblank
5.0/5.5	12	commalesslimit
13	commalessmid
21	ifnull2casewhenisnull
22	ifnull2ifisnull
42	space2morecomment
5.0	15	concat2concatws
26	modsecurityversioned
27	modsecurityzeroversioned
4.0/5.0	41	space2hash
5.1.56	10	charunicodeencode
5.1.56/5.5.11	32	percentage
56	versionedmorekeywords
4.0.18/5.0.22	19	halfversionedmorekeywords
4.0.18/5.1.56/5.5.11	55	versionedkeywords
5.1.41	43	space2morehash
未指定版本	14	commentbeforeparentheses
40	space2dash
45	space2mssqlhash
47	space2mysqldash

【SQLServer】

版本	可用tamper编号	脚本名称
2005/2000	10	charunicodeencode
32	percentage
44	space2mssqlblank
2005	6	between
9	charencode
16	equaltolike
25	lowercase
35	randomcase
39	space2comment
49	space2randomblank
53	uppercase
2002+	33	plus2concat
2008+	34	plus2fnconcat
未指定	14	commentbeforeparentheses

【Access】

版本	可用tamper编号	脚本名称
未指定	4	appendnullbyte

【Oracle】

版本	可用tamper编号	脚本名称
10g	6	between
9	charencode
14	commentbeforeparentheses
18	greatest
24	least
25	lowercase
35	randomcase
39	space2comment
49	space2randomblank
53	uppercase

【PostgreSQL】

版本	可用tamper编号	脚本名称
8.3/8.4/9.0	6	between
9	charencode
18	greatest
24	least
25	lowercase
39	space2comment
49	space2randomblank
53	uppercase
9.0	32	percentage
9.0.3	10	charunicodeencode
未指定	14	commentbeforeparentheses
35	randomcase

【MSSQL】

版本	可用tamper编号	脚本名称
未指定	38	sp_password

【SQLite】

版本	可用tamper编号	脚本名称
未指定	40	space2dash

【未知适用范围】

若以上脚本未解决问题，可尝试使用一下脚本。

版本	可用tamper编号	脚本名称
	2	apostrophemask
3	apostrophenullencode
5	base64encode
8	chardoubleencode
11	charunicodeescape
17	escapequotes
20	htmlencode
23	informationschemacomment
28	multiplespaces
29	nonrecursivereplacement
30	overlongutf8
31	overlongutf8more
36	randomcomments
37	securesphere
48	space2plus
50	symboliclogical
51	unionalltounion
52	unmagicquotes
54	varnish
57	xforwardedfor