【小小學滲透系列】SQLMap使⽤⼼得【上】

最近黯區來了個新人妹紙小小，大家總是色眯眯盯著她，搞得阿布一陣無語，對於妹紙，阿布早就看淡了，他說這些都是要看緣分的，所以阿布自然不會像他們一樣圍上去跟妹汁套近乎，只是在工位上繼續探究如何搞定上面給的任務。

    「聽說你叫阿布？你好，我叫小小，很高興認識你。」，在阿布在思考的時候小小突然走過來伸出手微笑著對阿布說道，這不是職場那種做戲的笑，是出自內心最真摯的笑，可能是因為剛從學校畢業的緣故，那份笑容很純真。看到小小，阿布也只是禮貌性的跟小小握了握手，：「你好，我是阿布，歡迎來到這裡。」，也許是因為曾經那段往事，讓阿布從此多了一份寵辱不驚。

    清新的空氣總是在雨後，美麗的愛情總是在不經意間就出現。「阿布，上面說有什麼不懂的就來問你呢。你能不能教教我怎麼用SQLmap吖？我發現自己用的總是沒有別人好，別人挖洞怎麼這麼厲害呢？」

    「哦，好的。你有翻看過《SQLMap用戶手冊》了的吧？一定要好好看看，我下面給你講一下心得吧。」

    雖說阿布也很久沒有用這個工具了，不過還是決定教一下小小。

I. 提高SQLMap測試等級

II.增加被測試的參數

III. 找到真正的請求頁面

    「--risk 這個參數就是把測試等級提高，如是--risk 3那麼測試就是最高，這樣SQLMap會測試更加多的注入語句。」

     「沒有加--risk 3的情況下，SQLMap 就測試5hoanqu' and 789=789 and 'hcme'='hcme ，但是如果加了--risk 3參數，就會增加測試語句， 5hoanqu') and 789=789 and ('hcme'='hcme ，對比起來，雖然只是加了2個字符，但是意義卻相差很多了的哦。」

「--level 參數也是很有用的。如果設置--level 3。假設存在注入的URL為： http://google.com/new.php?nid=5haoanqu。

    在GET請求中，我們目前看得到的參數就一個nid.但是當我們訪問過一個網站之後，我們都會得到一個

cookie，當我們繼續訪問網站的時候，瀏覽器就會加載我們的cookie，又因為cookie存在我們本地，我們又是可以控制這個cookie的，所以我們就可以在cookie上面加入我們注入測試語句。而像User-Agent等HTTP頭注入也是一樣的，具體你可以看看以下文章。」

通過HTTP Headers 進行SQL注入

https://www.oschina.net/question/243681_48522

HTTP請求頭信息的注入

http://wps2015.org/2014/09/10/sql‐injection‐in‐http‐headers/

利用SQLMap進行cookie注入

http://www.91ri.org/4714.html 

    「通常情況下我們直接在瀏覽器看到的URL上面的參數就是被帶入資料庫查詢的參數，但是事實上並不是全部的東西都如我們眼睛看到的樣子。」

    「我前些日子在對某機構的滲透測試時，發現其中一個站點有個搜索框，我帶著懷疑在搜索框中加入了個`'`號（英文狀態下的單引號），並點擊了「搜索」按鈕，發現並沒有什麼異常，通過爬行也沒有發現其他帶有參數的頁面，通過在網址後面加上/admin ，來到了後臺，並且測試了該後臺是否存在注入或者bypass，但是最後無果。」

    「然而在後臺頁面有一傳送門，是傳送刀另外一個網站的，估計是該網站系統的開發者的網站，點過去之後，我看到了與目標網站類似的布局，搜索框的地方和底色都一樣，認為是同一套網站系統的可能行非常大，在加了一個'號之後就出現了MSSQL的報錯。既然報錯了，那麼此為注入點的可能性就增加了許多，卻不能定為諸如點，我通過用SQLMap的進行注入測試後，發現該處確實是存在POST的Boolean based blind SQL injection，也就是傳說中的布爾型（布爾值）盲注。那麼這個網站都是存在注入的，目標站點正常來說也是存在注入的，當然不排除目標站點的管理員修改過了網站源碼，修補了搜索框處的注入。」

    「我通過手工判斷，確定目標站點也是存在注入的，就想SQLmap代替人工注入，遂把URL複製到SQLMap上面，語句為： 

sqlmap ‐u "http://www.google.com/search.aspx?

sid=1*&page=1"

     然而無論如何SQLMap都識別不出來這個sid 參數是有問題的。我再次進行手工判斷，通過兩次瀏覽器頁面是大不相同的，以此判斷還是確定為注入。那麼既然SQLMap判斷不出來，我就人為的添加一個字符串，在正常的頁面找一個錯誤頁面沒的字符串，用SQLmap的‐‐string xxxx 參數，這個可以讓SQLMap識別判斷出哪個是正常頁面，哪個是非常正常頁面。然而在找這個特徵字符串時發現，無論是正常的頁面還是非正常的頁面，HTML代碼大小都是一樣的，除開一些時間上面變化外，並沒有發現瀏覽器看到的字符串，此時就明白了為什麼SQLMap識別不出來，因為無論是正常頁面還是非正常頁面，HTML都是一樣的，SQLMap是肯定判斷不出來的。這個的發現是非常有利的，既然工具判斷不出來，那我們我們就手工注入吧？」

    可阿布坦言：「我實在是做不到向Silic的大牛那樣，可以兩天一夜的手工注入一個網站」。

    「哇，Silic的人這麼厲害！兩天一夜連續手工注入一個網站，是鐵打的嘛！」 小小簡直不敢相信自己的耳朵。

    「那有沒有比手工注入省力一點的方法呢？」小小試探地問道。

 「當然有啊，你忘了我們天天在用的神器burp suite了嘛，HTTP請求包和響應包在漏洞挖掘的過程中要給予特別大的關注，你忘了嗎？」阿布提醒道。

    這時，到中午下班時間了，阿布順勢發出邀請，「要不，一起去食堂吃飯，我再給你接著講講。」

    「好！」

    偷偷記錄兩人全部談話的我，只好先悄咪咪地跟去食堂學習，回來再繼續寫啦，期待下篇吧。

掃描二維碼 

關注我們

交 流 QQ 群 | 662588477

官  方  網 站 | www.dark5.net