上一篇文章我们讲到了sqlmap的安装与使用的基础知识。
那么这节课,我们来讲解一下sqlmap的一些技巧性方面的使用方法吧,
burp+sqlmap组合使用
首先我们来了解一下burp是什么,
Burp Suite 是用于检测web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。简单来说就是一款抓包工具,抓取的数据包可提供给我们渗透工程师进行学习
实战操作
在这里我们先打开burp和sqlmap,比如说我们看见后台登录以及跟数据库有交互的post请求的地方,我们一般情况下是没办法看见它的数据包的,进行注入的话,就很麻烦。那么这个时候,我们就可以用burp抓取数据包配合sqlmap进行跑包,当然,我们post注入还可以使用hackbar这款插件。
在这里,我先用burp抓取对应网站登录的数据包,对于数据包,我们把数据包保存到一个txt文本格式,然后利用sqlmap的-r参数进行跑数据包
于是我创建了一个2.txt。内容为刚才抓取的数据包内容,然后后面加上-v3显示出对应的payload进行学习和研究,当--level参数设定为3或者3以上的时候,会尝试对User-Angent进行注入。
可以看见它的payload,它是对admin用户进行了一个sql注入,当我们提交的攻击代码,数据库没有过滤,那么它这里也是存在一方面的sql注入。
sqlmap的星号*含义
Sqlmap中的星号代表着优先级的意思,
在这里它问我们是否先跑星号指定的位置,那么这里的话就直接选择Y或者回车键,因为回车键是以及字母的大写为默认,它这里是Y为大写,所以直接回车也就可以了。
–data参数的详解
我们上面跑post登录框注入的时候有很多方法,那么这里我们配合--data参数也可以进行一个跑post登录框
例子sqlmap –u "URL" –data"username=1&password=1"
比如说我们刚才抓包的时候,抓取的数据包的用户和密码是uname=admin&passwd=admin&submit=Submit。,
那么我们就可以用--data "uname=admin&passwd=admin&submit=Submit"指定这个数据包,然后进行跑注入点
利用sqlmap交互式写shell
在讲sql注入的时候就有讲到过这方面的知识点,那么用sqlmap就必须有几个前提的条件
如下:权限必须为dba权限,目录可写
那么的话,我们就直接修改mysql的配置文件添加secure_file_priv=""/"
Sql执行show global variables like '%secure%';,然后可以看见当前d下的目录可写入文件和导出文件,绝对路径的话,这里就不讲了了,谷歌语法、phpinfo文件信息泄露,sql注入单引号报错显示绝对路径等方法在前面的sql注入都有讲解
配置完之后,我们再去跑一下那个sql注入点,首先我们测试一下当前的权限是否为dba权限,这个时候就要用到一个参数,那就是--is-dba参数 意思查看当前用户是否是数据库管理员,如下图,dba权限为true,也就是当前权限的确为管理员权限。
写入shell就要用到--os-shell,然后可以看见它这里要你选择写入什么格式的文件是asp、aspx、jsp还是php,那么我们的注入的网站就是PHP,那么我们这里选择4
到下面这一步,它这里要你写入绝对路径,第一个选择1是以sqlmap自带的字典路径去写入,那么我们这里要自己选择写入就选择2
然后下面写入我们前提准备好的绝对路径
写入成功后,它这里就会返回一个交互式执行系统命令的一个shell
比如说我在这里执行一个ipconfig
之后就可以看见通过slqmap工具,自动写入了两个php后门文件
tmpuqimd.php文件是一个上传任意文件的一个php后门
然后tmpbydjs.php就是执行命令的一个一句话木马
那么这个就是通过sqlmap写入shell的一个方法全部内容
