SQL注入漏洞检测---Metasploit渗透测试魔鬼训练营

SQL注入指的是发生在Web应用对后台数据库查询语句处理存在的安全漏洞。攻击者通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。

一、首先，在Firefox输入10.10.10.129

进入定V公司的登录页面，输入“admin’”

出现错误：

此错误说明定V网站页面没有对输入字符串进行过滤。

将“admin ‘or’ 1’=’1”填入到Username输入框，然后单击Login按钮，即可进入系统

定V公司内部训练环境：

既然已经知道有注入漏洞了，接下来使用注入神器—Sqlmap。

sqlmap是由Python语言开发的，这使得它能够独立于底层操作系统，只需安装2.4版本之后的Python解释器即可。

在Metasploit中也集成了Sqlmap模块，在MSF终端环境下输入如下指令，就可以调用这个模块进行扫描：

二、接下来开始使用Sqlmap，对定V公司的SQL注入训练环境进行扫描和攻击。

进入BT5命令行终端，并进入/pentest/database/sqlmap目录，然后输入如下命令：
（帮助命令可以对相关命令进行查询）

使用Firefox浏览器以及它的一个著名插件Tamper Data，来查看Web应用在后台提交的数据，例如POST参数，Cookie值等。在SQL Injection页面中，首先随意输入测试数据，查看后台的数据提交参数，并把参数提交给Sqlmap：

在火狐浏览器中选择菜单栏中的Tools->Add-ons

将Tamper Data这个应用开启：

然后就可以使用这个插件了：

三、进入系统之后

步骤1： 进入DVWA security页面，将Security设置为low

点击“Damn Vulnerable Web Applocation”进入DVWA页面，设置Security为low：

步骤2： 进入sql injection页面，输入1，点击Submit:

步骤3： 利用firefox的tamper data插件，可以得到当前页面的Cookie

步骤4： 进入文件夹/pentest/database/sqlmap，输入命令：

注意：通过“python sqlmap.py -h”帮助命令可以看到-u的作用：

等待命令处理完可以看到如下界面。①首先Sqlmap探测出了URL中的id参数存在着SQL注入点，并包含了基于错误的Sql注入点，以及Union查询注入点（下图中Title看出）②还探测出后台数据库的版本是MySQL 5.0,Web应用平台为PHP 5.3.2/Apache 2.2.14

步骤5： 需要探测出MySQL中用来存放Web应用数据的数据库名称：


注意：①使用sqlmap的“–dbs”选项，就可以根据所识别的不同数据库管理平台类型，
来探测所包含的数据库名称。②除了发现MySQL默认的系统数据库information_schema之外，在结果中显示出了Web应用的数据库名称–dvwa。

步骤6： 使用下面的过程可查询得到dvwa数据库存在的表名

通过sqlmap获取到的表名：

得到表名之后，通过执行sqlmap命令，得到users表中的字段列表

通过sqlmap获取到的列名：

注意：指定数据库与表名之后，执行sqlmap命令行的–columns选项，就可以获取数据表的字段结构列表。其中password是很重要的一项。

步骤7： 通过sqlmap导出password列的内容：

使用sqlmap的–dump选项，可以轻而易举地拿到这个Web应用后台数据库的所用用户账户名和口令哈希，并将其保存为一个本地的CSV表格文件。这就是所谓的“拖库”，仔细查看password字段内容的形式，会发现仅仅通过简单的MD5哈希。

获取到密码的MD5值后，通过google这个MD5，就可以发现它的明文：

上述过程就完成了对这个Web应用的后台数据库的拖库，并可以破解出后台管理员的口令。
其实sqlmap还有一个功能，就是通过数据库注入一个交互的Shell，通过帮助进行查看：

可以通过–os-shell 得到Sqlmap提供的四种不同的shell（ASP、ASPX、PHP、JSP），还能通过–os-pwn命令与Metasploit交互，获得一个强大的Meterpreter Shell，Sqlmap与Metasploit的结合就在此处！