上一篇文章我們講到了sqlmap的安裝與使用的基礎知識。
那麼這節課,我們來講解一下sqlmap的一些技巧性方面的使用方法吧,
burp+sqlmap組合使用
首先我們來了解一下burp是什麼,
Burp Suite 是用于檢測web 應用程式的內建平台,包含了許多工具。Burp Suite為這些工具設計了許多接口,以加快攻擊應用程式的過程。簡單來說就是一款抓包工具,抓取的資料包可提供給我們滲透工程師進行學習
實戰操作
在這裡我們先打開burp和sqlmap,比如說我們看見背景登入以及跟資料庫有互動的post請求的地方,我們一般情況下是沒辦法看見它的資料包的,進行注入的話,就很麻煩。那麼這個時候,我們就可以用burp抓取資料包配合sqlmap進行跑包,當然,我們post注入還可以使用hackbar這款插件。
在這裡,我先用burp抓取對應網站登入的資料包,對于資料包,我們把資料包儲存到一個txt文本格式,然後利用sqlmap的-r參數進行跑資料包
于是我建立了一個2.txt。内容為剛才抓取的資料包内容,然後後面加上-v3顯示出對應的payload進行學習和研究,當--level參數設定為3或者3以上的時候,會嘗試對User-Angent進行注入。
可以看見它的payload,它是對admin使用者進行了一個sql注入,當我們送出的攻擊代碼,資料庫沒有過濾,那麼它這裡也是存在一方面的sql注入。
sqlmap的星号*含義
Sqlmap中的星号代表着優先級的意思,
在這裡它問我們是否先跑星号指定的位置,那麼這裡的話就直接選擇Y或者Enter鍵,因為Enter鍵是以及字母的大寫為預設,它這裡是Y為大寫,是以直接回車也就可以了。
–data參數的詳解
我們上面跑post登入框注入的時候有很多方法,那麼這裡我們配合--data參數也可以進行一個跑post登入框
例子sqlmap –u "URL" –data"username=1&password=1"
比如說我們剛才抓包的時候,抓取的資料包的使用者和密碼是uname=admin&passwd=admin&submit=Submit。,
那麼我們就可以用--data "uname=admin&passwd=admin&submit=Submit"指定這個資料包,然後進行跑注入點
利用sqlmap互動式寫shell
在講sql注入的時候就有講到過這方面的知識點,那麼用sqlmap就必須有幾個前提的條件
如下:權限必須為dba權限,目錄可寫
那麼的話,我們就直接修改mysql的配置檔案添加secure_file_priv=""/"
Sql執行show global variables like '%secure%';,然後可以看見目前d下的目錄可寫入檔案和導出檔案,絕對路徑的話,這裡就不講了了,谷歌文法、phpinfo檔案資訊洩露,sql注入單引号報錯顯示絕對路徑等方法在前面的sql注入都有講解
配置完之後,我們再去跑一下那個sql注入點,首先我們測試一下目前的權限是否為dba權限,這個時候就要用到一個參數,那就是--is-dba參數 意思檢視目前使用者是否是資料庫管理者,如下圖,dba權限為true,也就是目前權限的确為管理者權限。
寫入shell就要用到--os-shell,然後可以看見它這裡要你選擇寫入什麼格式的檔案是asp、aspx、jsp還是php,那麼我們的注入的網站就是PHP,那麼我們這裡選擇4
到下面這一步,它這裡要你寫入絕對路徑,第一個選擇1是以sqlmap自帶的字典路徑去寫入,那麼我們這裡要自己選擇寫入就選擇2
然後下面寫入我們前提準備好的絕對路徑
寫入成功後,它這裡就會傳回一個互動式執行系統指令的一個shell
比如說我在這裡執行一個ipconfig
之後就可以看見通過slqmap工具,自動寫入了兩個php後門檔案
tmpuqimd.php檔案是一個上傳任意檔案的一個php後門
然後tmpbydjs.php就是執行指令的一個一句話木馬
那麼這個就是通過sqlmap寫入shell的一個方法全部内容