SQL注入漏洞檢測

一個度過菜鳥期的后臺程序員都會小心的避開SQL注入常見低級錯誤。

除了白盒和代碼評審定硝,作為第三方的滲透測試晨雳,使用sqlmap這樣的常用工具進行SQL注入掃描可以降低上述問題發(fā)生概率。

工具環(huán)境準(zhǔn)備

0.先檢查一下是否安裝過sqlmap工具紧卒,顯示下版本


sqlmap --version

如果運行成功說明已經(jīng)安裝此工具侥衬,比如返回


1.1.6#pip

如果沒有安裝過sqlmap,請參考后面兩個步驟

1.安裝pip工具

多數(shù)新的發(fā)行版linux都帶有python和pip跑芳,檢查pip版本


[jim@host]$ pip --version

pip 9.0.1 from /usr/lib/python2.6/site-packages (python 2.6)

對于centos 6.5 或者以下轴总,沒有安裝pip的話,請用root用戶安裝


[root@host]# wget https://bootstrap.pypa.io/get-pip.py

[root@host]# python get-pip.py

注:如果需要升級到 python2.7博个,可以參考 centos_6.5安裝python2.7

2. 安裝sqlmap工具怀樟,建議使用國內(nèi)的源,比如阿里云盆佣,速度快很多


[root@host]# pip install sqlmap  -i http://mirrors.aliyun.com/pypi/simple/ --trusted-host mirrors.aliyun.com

...

Successfully built sqlmap

Installing collected packages: sqlmap

Successfully installed sqlmap-1.1.6

很多步驟和依賴包安裝完畢后可回到 步驟0 檢查工具安裝結(jié)果

常規(guī)注入掃描

最簡單的注入原理就是在請求參數(shù)中增加“;sql statment”, 如果響應(yīng)告訴掃描工具請求成功往堡,那么這個請求就是有嚴(yán)重注入攻擊漏洞的。

0. 了解常用的參數(shù)


sqlmap -h

常用到的必選項


-u URL, --url=URL  Target URL (e.g. "http://www.site.com/vuln.php?id=1")

--data=DATA        Data string to be sent through POST

--cookie=COOKIE    HTTP Cookie header value

-H HEADER, --hea..  Extra header (e.g. "X-Forwarded-For: 127.0.0.1")

暴力的掃描選項


-a, --all          Retrieve everything

如果已經(jīng)知道目標(biāo)數(shù)據(jù)庫共耍,比如mysql虑灰,請指定數(shù)據(jù)庫參數(shù),否則sqlmap會遍歷嘗試各種數(shù)據(jù)庫注入


--dbms mysql
  1. 匿名訪問和使用cookie來授權(quán)用戶 如果要檢測的應(yīng)用屬于匿名用戶公開訪問痹兜,不用考慮cookie

如果要檢測的應(yīng)用屬于用戶登錄授權(quán)的穆咐,則需要使用cookie來保持授權(quán)用戶會話,參考如何模擬http_https請求頭和cookie

  1. 準(zhǔn)備被掃描對象 找到api的列表,作為被掃描對象对湃,但是構(gòu)造參數(shù)可能是瑣碎的事情崖叫,此外還要注意幾點:

盡量從本機 127.0.0.1 來訪問目標(biāo)請求api

目的是降低網(wǎng)絡(luò)要求和防火墻等安全產(chǎn)品的誤報

不要在生產(chǎn)環(huán)境運行,可能是有破壞性的

獲得訪問請求api和參數(shù)拍柒,對于上線的系統(tǒng)归露,可從生產(chǎn)日志里面找到掃描請求

  1. 運行和查看掃描結(jié)果 我們看一個簡單的掃描例子,只有一個參數(shù)的GET方法

sqlmap -u'http://127.0.0.1:8118/app/dealreport/query/user-info?user_name=%E4%B8%81%E4%BF%8A&_=1498102883406' -a --dbms mysql

___

__H__

___ ___[)]_____ ___ ___  {1.1.6#pip}

|_ -| . [.]    | .'| . |

|___|_  ["]_|_|_|__,|  _|

|_|V          |_|  http://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illeg\

al. It is the end user's responsibility to obey all applicable local, state and federal laws. Dev\

elopers assume no liability and are not responsible for any misuse or damage caused by this progr\

am

[*] starting at 14:49:49

[14:49:49] [INFO] testing connection to the target URL

[14:49:49] [INFO] testing if the target URL is stable

[14:49:50] [INFO] target URL is stable

[14:49:50] [INFO] testing if GET parameter 'user_id_assistant' is dynamic

[14:49:50] [WARNING] GET parameter 'user_id_assistant' does not appear to be dynamic

[14:49:50] [WARNING] heuristic (basic) test shows that GET parameter 'user_id_assistant' might no\

t be injectable

[14:49:50] [INFO] testing for SQL injection on GET parameter 'user_id_assistant'

[14:49:50] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'

[14:49:51] [INFO] testing 'MySQL >= 5.0 boolean-based blind - Parameter replace'

[14:49:52] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (FLOOR)'

...

...

[14:50:01] [INFO] testing 'MySQL >= 5.0 error-based - Parameter replace (FLOOR)'

[14:50:01] [INFO] testing 'MySQL inline queries'

[14:50:01] [INFO] testing 'MySQL >= 5.0.12 AND time-based blind'

[14:50:02] [INFO] testing 'Generic UNION query (NULL) - 1 to 10 columns'

[14:50:08] [WARNING] GET parameter '_' does not seem to be injectable

[14:50:08] [CRITICAL] all tested parameters appear to be not injectable. Try to increase '--level'/'--risk' values to perform more tests. Also, you can try to rerun by providing either a valid value for option '--string' (or '--regexp'). If you suspect that there is some kind of protection mechanism involved (e.g. WAF) maybe you could retry with an option '--tamper' (e.g. '--tamper=space2comment')

[*] shutting down at 14:50:08

注意到 [14:50:08] [CRITICAL] all tested parameters appear to be not injectable. 斤儿, 那么這個api通過了常規(guī)注入套路的檢測剧包,未見可疑。

進階注入掃描

  1. 我們需要用到更詳細(xì)和高級的sqlmap運行選項

sqlmap -hh
  1. 更高效的api參數(shù)組合

使用代理來記錄遍歷所有的有效請求

  1. 快速評估

當(dāng)不能對所有的api進行掃描往果,需要抽樣評估疆液,這是一個抽樣數(shù)量計算的工具https://www.surveysystem.com/sscalc.htm,根據(jù)可接受誤差和置信度來決定抽樣數(shù)量

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末陕贮,一起剝皮案震驚了整個濱河市堕油,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌肮之,老刑警劉巖掉缺,帶你破解...
    沈念sama閱讀 222,590評論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異戈擒,居然都是意外死亡眶明,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,157評論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進店門筐高,熙熙樓的掌柜王于貴愁眉苦臉地迎上來搜囱,“玉大人,你說我怎么就攤上這事柑土∈裰猓” “怎么了?”我有些...
    開封第一講書人閱讀 169,301評論 0 362
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵稽屏,是天一觀的道長扮宠。 經(jīng)常有香客問我,道長狐榔,這世上最難降的妖魔是什么坛增? 我笑而不...
    開封第一講書人閱讀 60,078評論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮荒叼,結(jié)果婚禮上轿偎,老公的妹妹穿的比我還像新娘。我一直安慰自己被廓,他們只是感情好坏晦,可當(dāng)我...
    茶點故事閱讀 69,082評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般昆婿。 火紅的嫁衣襯著肌膚如雪球碉。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,682評論 1 312
  • 城市分裂傳說
    那天仓蛆,我揣著相機與錄音睁冬,去河邊找鬼。 笑死看疙,一個胖子當(dāng)著我的面吹牛豆拨,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播能庆,決...
    沈念sama閱讀 41,155評論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼施禾,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了搁胆?” 一聲冷哼從身側(cè)響起弥搞,我...
    開封第一講書人閱讀 40,098評論 0 277
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎渠旁,沒想到半個月后攀例,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,638評論 1 319
  • ?護林員之死
    正文 獨居荒郊野嶺守林人離奇死亡顾腊,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,701評論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年粤铭,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片投慈。...
    茶點故事閱讀 40,852評論 1 353
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡承耿,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出伪煤,到底是詐尸還是另有隱情,我是刑警寧澤凛辣,帶...
    沈念sama閱讀 36,520評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布抱既,位于F島的核電站,受9級特大地震影響扁誓,放射性物質(zhì)發(fā)生泄漏防泵。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 42,181評論 3 335
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一蝗敢、第九天 我趴在偏房一處隱蔽的房頂上張望捷泞。 院中可真熱鬧,春花似錦寿谴、人聲如沸锁右。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,674評論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽咏瑟。三九已至拂到,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間码泞,已是汗流浹背兄旬。 一陣腳步聲響...
    開封第一講書人閱讀 33,788評論 1 274
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留余寥,地道東北人领铐。 一個月前我還...
    沈念sama閱讀 49,279評論 3 379
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像宋舷,于是被迫代替她去往敵國和親罐孝。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 45,851評論 2 361

推薦閱讀更多精彩內(nèi)容

  • http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 當(dāng)給sq...
    xuningbo閱讀 10,335評論 2 22
  • sqlmap用戶手冊 說明:本文為轉(zhuǎn)載肥缔,對原文中一些明顯的拼寫錯誤進行修正莲兢,并標(biāo)注對自己有用的信息。 ======...
    wind_飄閱讀 2,056評論 0 5
  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理续膳,服務(wù)發(fā)現(xiàn)改艇,斷路器,智...
    卡卡羅2017閱讀 134,715評論 18 139
  • sqlmap也是滲透中常用的一個注入工具坟岔,其實在注入工具方面谒兄,一個sqlmap就足夠用了,只要你用的熟社付,秒殺各種工...
    linkally閱讀 6,904評論 1 40
  • sqlmap也是滲透中常用的一個注入工具承疲,其實在注入工具方面,一個sqlmap就足夠用了鸥咖,只要你用的熟燕鸽,秒殺各種工...
    查無此人asdasd閱讀 1,552評論 0 1