<返回更多

黑客工具sqlmap,带你了解什么是sql注入

2019-11-20    
加入收藏

1、 sqlmap介绍

sqlmap是一款支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测工具。

2、 sqlmap的下载以及安装

(1)linux下git直接安装

Kali系统自带的sqlmap

gitclone –depth 1 https://github.com/sqlmApproject/sqlmap.git sqlmap-dev

(2)windows下安装

windows下下载sqlmap的压缩包,解压后即可使用。但需要一些组件包的支持,需要有Python2.7.x或者2.6.x环境支持

D:一些工具分类Python27

(3)kali及PentestBox默认安装sqlmap

(4) sqlmap支持的检测模式

sqlmap支持五种不同的注入模式:

l 基于布尔的盲注,即可以根据返回页面判断条件真假的注入;

l 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;

l 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;

l 联合查询注入,可以使用union的情况下的注入;

l 堆查询注入,可以同时执行多条语句的执行时的注入。

(5)sqlmap不同的等级

1、同时显示基本信息和警告信息。(默认)

2、同时显示debug信息。

3、同时显示注入的payload。

4、同时显示HTTP请求。

5、同时显示HTTP响应头。

6、同时显示HTTP响应页面。

--level

黑客工具sqlmap,带你了解什么师sql注入

 

除此之外,也可以用-v代替level,因为-v就是level的缩写,因此这样也是可以的

黑客工具sqlmap,带你了解什么师sql注入

 

如果你想看到sqlmap发送的测试payload最好的等级就是3

如下图,我这里选择了-v3,它这里显示了注入的payload,那么这个工具注入的代码就显示出来了,因此我们也可以照着这个去学习和研究

黑客工具sqlmap,带你了解什么师sql注入

 

3、 数据库注入的使用

Access数据库注入sqlmap.py -u "网站" 我们先检测这个网站是否存在注入点

-u "网站"--tables 列出数据库中所有表的名字。

-u "网站"-T "表名" --columns 针对某个表的列名

-u "网站"-dump T "表名" -  C "列名"针对某个表里的某个列。列出该列中的字段内容(注意-dump可以放在后面,不用担心麻烦注意看清楚大小写)

因为access数据库只有一个独立的数据库,所以它这里不需要去猜数据库名

mssql数据库注入 -u "网站"

-u "网站"--dbs

-u "网站"--is-dba 查看当前用户是否是数据库管理员

-u "网站" --current -db

-u "网站"-D "数据库名" --tables

-u "网站"-D "数据库名" -T "表名" --columns

-u "网站"--dump -D "数据库名" -T "表名"-C "列名"

mysql数据库同上

一般注入的时候,我们可以先查看它的权限 --privileges

由于mysql和mssql数据库有多个数据库和多个网站,那么这个时候sqlmap默认跑的注入方式是显错注入。

1) mysql注入演示

首先简单的测试是否存在sql注入漏洞

黑客工具sqlmap,带你了解什么师sql注入

 

可以看见它这里显示了对方网站的操作系统为Windows,然后当前的php版本为5.4以及web服务器Apache的版本,还有当前的数据库为mysql5.0版本,上面的就是sqlmap注入时候攻击代码。

黑客工具sqlmap,带你了解什么师sql注入

 

跑完的数据都将会保存在output目录下生成一个以网站域名命名的文件夹。

黑客工具sqlmap,带你了解什么师sql注入

 

由于我是本地环境,所以它这里就是127.0.0.1

黑客工具sqlmap,带你了解什么师sql注入

 

那么简单的检测就这样演示完了,接下来就是跑数据库名,为什么要跑数据库?因为mysql和mssql跟access数据库不一样,mysql有多个数据库,那么我们就需要跑出当前网站的数据库名,就跟我们进行显错注入一样,都需要数据库名来进一步来弄出表名和表里面的数据。

这个要用到--current-db这个参数,这个参数是用来显示当前数据库名的参数

那么结果如下,可以看见它这里显示出当前的数据库名为security,那么我们知道了数据库名,我们就可以去跑当前数据库名的所有数据

黑客工具sqlmap,带你了解什么师sql注入

 

用-D大写的D代替databases,那么这个就是指定对应的数据库名,然后再用--tables去跑出当前数据库的所有表名

黑客工具sqlmap,带你了解什么师sql注入

 

跑出来的结果如下,跑出了security数据库的4个表名,分别为emails、referrs、uagents、users。

黑客工具sqlmap,带你了解什么师sql注入

 

那既然都跑出表名了,我们想看哪个表名最有价值,一般作为渗透者,都会对user、username、pass、password、admin等表名进行猜解,因为这些关键词的表名一般都存在重要的信息。

那我们就直接猜users表名的数据,当然,猜完表也要猜列名。猜列表要使用到--columns参数,这里还是一样,用-D和-T分别代表数据库名和表名,-T是tables的缩写,那么后面就是猜列名的参数--columns

黑客工具sqlmap,带你了解什么师sql注入

 

然后就是这里猜出三个列名。分别是id、password、username等等,那么我们要猜出所有的数据,那我们就要用到--dump,--dump是全部拖下来的意思(可以这样理解)

黑客工具sqlmap,带你了解什么师sql注入

 

因为这里有三个列名,那么用-C全部指定的时候,要用到逗号隔开,再使用--dump全部脱裤。

黑客工具sqlmap,带你了解什么师sql注入

 

那么对应的数据就这么简单的显示出来了

黑客工具sqlmap,带你了解什么师sql注入

 

4、注入的选择

参数:--technique

这个参数可以指定sqlmap使用的探测技术,默认情况下会测试所有的方式

· 测试注入点:sqlmap.py -u url -p id

· sqlmap注入方式techniquesqlmap.py -u url --technique T

支持探测的方式如下

B:Boolean-based blind sql injection(布尔型注入)

E:Error-based SQL injection (报错型注入)

U:UNION query SQL injection (可联合查询注入)

S:Stacked queries SQL injection(可语句查询注入)

T: Time-based blind SQL injecgtion(基于多时间延迟注入)

比如说我想进行一个时间盲注,再用-v3显示出当前注入的攻击代码。那么可以对比一下上面默认注入的代码和这里选择注入方式的代码。是完全不一样的

黑客工具sqlmap,带你了解什么师sql注入

 

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>