[红日安全]学习笔记1—SQL注入实战攻防（SQLMap、DVWA、Pikachu）

和同学聊天：


是我太菜。

现在决定从【红日安全】系列文章入手，“以实战促学”，来学习web安全相关知识。

本篇文章只记录了一些我想记下的知识点，详细、完整的内容，请看原文：
[红日安全]Web安全Day1 – SQL注入实战攻防

---

1、理论知识

1.1 SQL：
结构化查询语言（Structured Query Language），是一种特殊的编程语言，用于数据库中的标准数据查询语言。

1.2 SQL数据库种类：

Access：本地访问
MySQL：3306

SQLServer：1433
Oracle：1521
PostgreSQL：5432或5433
DB2:5000
MongoDB：27017

2、SQLMap

2.1 参数详解

1.Options

-h, --help 查看帮助，没什么好说的
-hh 查看全部的帮助
–version 查看版本
-v 显示信息的级别，一共有六级：0：只显示python 错误和一些严重信息；1：显示基本信息（默认）；2：显示debug信息；3：显示注入过程的payload；4：显示http请求包；5：显示http响应头；7：显示http相应页面。

2.Target

-d 直接连目标后端接数据库，而不是使用sql注入漏洞，直接通过目标的侦听端口连接，当然需要有目标数据库的账号名和密码。例：-d “mysql://user:[email protected]:3389/databasename” --dbs 查询非常快。
-u 指定一个url连接，url中必须有？xx=xx 才行（最常用的参数）例：-u “www.abc.com/index.php?id=1”
-l 后接一个log文件，可以是burp等的代理的log文件，之后sqlmap会扫描log中的所有记录。例： -l log.txt
-x 站点地图，提交给sql一个xml文件。
-m 后接一个txt文件，文件中是多个url，sqlmap会自动化的检测其中的所有url。例： -m target.txt
-r 可以将一个post请求方式的数据包保存在一个txt中，sqlmap会通过post方式检测目标。例： -r post.txt
-g 使用google引擎搜索类似的网址，并且多目标检测。例： -g “inurl:”.php?id=1"" \是转义
-c 将使用的命令写在一个文件中，让sqlmap执行文件中的命令，我们可以用 - -save命令将配置写入文件。

3.Request

–method=METHOD 指定是get方法还是post方法。例： --method=GET --method=POST
–data=DATA 指明参数是哪些。例：-u “www.abc.com/index.php?id=1” --data=“name=1&pass=2”
–param-del=PARA. 指明使用的变量分割符。例： -u “www.abc.com/index.php?id=1” --data=“name=1;pass=2” --param-del=";"
–cookie=COOKIE 指定测试时使用的cookie，通常在一些需要登录的站点会使用。例： -u “www.abc.com/index.php?id=1” --cookie=“a=1;b=2”
–cookie-del=COO… 和前面的 --param-del=PARA. 类似，就是指明分割cookie的字符。
–load-cookies=L… 从包含Netscape / wget格式的cookie的文件中加载cookie。
–drop-set-cookie 默认情况下，sqlmap是开启set-cookie功能的，也就是当收到一个含有set-cookie的http包的时候，下次sql会使用新的cookie进行发包，如果使用这条命令，就会关闭这个功能。在level>=2时会检测cookie注入。
–user-agent=AGENT 指定一个user-agent的值进行测试。例： --user-agent=“aaaaaaa” 默认情况下，sqlmap会使用自己的user-agent进行测试（所以很多服务器发现user-agent是sqlmap的数据包直接认为是入侵），sqlmap自己的user-agent是：sqlmap/1.0-dev-nongit-201603020a89(http://sqlmap.org)
–random-agent 使用随机user-agent进行测试。sqlmap有一个文件中储存了各种各样的user-agent，文件在sqlmap/txt/user-agent.txt 在level>=3时会检测user-agent注入。
–host=HOST 指定http包中的host头参数。例： --host=“aaaaaa” 在level>=5时才会检查host头注入。\n是换行
–referer=REFERER 指定http包中的refere字段。例： --refere=“aaaaa” 在level>=3时才会检测refere注入。
-H --headers 额外的header头，每个占一行。例：–headers=“host:www.a.com\nUser-Agent:yuangh”
–headers=HEADERS 跟上边一样，再举一个例子： --headers=“Accept-Language: fr\nETag: 123” 注意所有构造http包的部分均区分大小写
–auth-type=AUTH… 基于http身份验证的种类。例： --auth-type Basic/Digest/NTLM 一共有三种认证方式。
–auth-cred=AUTH… 使用的认证，例： --auth-type Basic --auth-cred “user:password”
–auth-file=AUTH… 使用.PEM文件中的认证。例：–auth-file=“AU.PEM” 少见。
–ignore-code=IG… 无视http状态码。例： --ignore-code=401
–ignore-proxy 无视本地的代理，有时候机器会有最基本的代理配置，在扫描本地网段的时候会很麻烦，使用这个参数可以忽略代理设置。
–ignore-redirects 无视http重定向，比如登录成功会跳转到其他网页，可使用这个忽略掉。
–ignore-timeouts 忽略连接超时。
–proxy=PROXY 指定一个代理。例： --proxy=“127.0.0.1:8087” 使用GoAgent代理。
–proxy-cred=PRO… 代理需要的认证。例： --proxy=“name:password”
–proxy-file=PRO… 从一个文件加载代理的认证。
–tor 使用tor匿名网络，不懂。
–tor-port=TORPORT 设置默认的tor代理端口，不懂+2。
–tor-type=TORTYPE 设置tor代理种类，(HTTP, SOCKS4 or SOCKS5 (默认))，不懂+3。
–check-tor 检查是否正确使用Tor，不懂+4。
–delay=DELAY 每次发包的延迟时间，单位为秒，浮点数。例：–delay 2.5 有时候频繁的发包会引起服务器注意，需要使用delay降低发包频率。
–timeout=TIMEOUT 请求超时的时间，单位为秒，浮点数，默认30s。
–retries=RETRIES 超时重连次数，默认三次。例： --retries=5
–randomize=RPARAM 参数的长度，类型与输入值保持一致的前提下，每次请求换参数的值。有时候反复的提交同一个参数会引起服务器注意。
–safe-url=SAFEURL 用法和-u类似，就是一个加载测试url的方法，但额外功能是防止有时候时间长了不通讯服务器会销毁session，开启这种功能会隔一段时间发一个包保持session。
–safe-post=SAFE… 和上面的一样，只是使用post的方式发送数据。
–safe-req=SAFER… 和上面的一样，只是从一个文件获得目标。
–safe-freq=SAFE… 频繁的发送错误的请求，服务器也会销毁session或者其他惩罚方式，开启这个功能之后，发几次错的就会发一次对的。通常用于盲注。
–skip-urlencode 跳过url编码，毕竟不排除有的奇葩网站url不遵守RFC标准编码。
–csrf-token=CSR… 保持csrf令牌的token。
–csrf-url=CSRFURL 访问url地址获取csrf的token。
–force-ssl 强制使用ssl。
–hpp 使用http参数污染，通常http传递参数会以名称-值对的形势出现，通常在一个请求中，同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的，就可能造成参数篡改。
–eval=EVALCODE 执行一段指定的python代码。例： -u “www.abc.com/index.php?id=1” --eval=“import hashlib;hash=hashlib.md5(id).hexdigest()”

4.Optimization

-o 开启下面三项（–predict-output，–keep-alive， --null-connection）
–predict-output 预设的输出，可以理解为猜一个表存在不存在，根据服务器返回值来进行判断，有点类似暴力破解，但和暴力破解又不同，这个是一个范围性的暴力破解，一次一次的缩小范围。
–keep-alive 使用http（s）长链接，性能更好，避免重复建立链接的开销，但占用服务器资源，而且与–proxy不兼容。
–null-connection 只看页面返回的大小值，而不看具体内容，通常用于盲注或者布尔的判断，只看对错，不看内容。
–threads=THREADS 开启多线程，默认为1，最大10。和 --predict-output 不兼容。
Injection
-p TESTPARAMETER 知道测试的参数，使用这个的话–level 参数就会失效。例： -p “user-agent,refere”
–skip=SKIP 排除指定的参数。例： --level 5 --skip=“id,user-agent”
–skip-static 跳过测试静态的参数。
–param-exclude=… 使用正则表达式跳过测试参数。
–dbms=DBMS 指定目标数据库类型。例： --dbms=“MySQL<5.0>” Oracle<11i> Microsoft SQL Server<2005>
–dbms-cred=DBMS… 数据库的认证。利： --dbms-cred=“name:password”
–os=OS 指定目标操作系统。例： --os=“Linux/Windows”
–invalid-bignum 通常情况下sqlmap使用负值使参数失效，比如id=1->id=-1,开启这个之后使用大值使参数失效，如id=9999999999。
–invalid-logical 使用逻辑使参数失效，如id=1 and 1=2。
–invalid-string 使用随机字符串使参数失效。
–no-cast 获取数据时，sqlmap会将所有数据转换成字符串，并用空格代替null。
–no-escape 用于混淆和避免出错，使用单引号的字符串的时候，有时候会被拦截，sqlmap使用char()编码。例如：select “a”-> select char(97)。
–prefix=PREFIX 指定payload前缀，有时候我们猜到了服务端代码的闭合情况，需要使用这个来指定一下。例： -u “www.abc.com/index?id=1” -p id --prefix")" --suffix “and (‘abc’='abc”
–suffix=SUFFIX 指定后缀，例子同上。
–tamper=TAMPER 使用sqlmap自带的tamper，或者自己写的tamper，来混淆payload，通常用来绕过waf和ips。

5.Detection

–level=LEVEL 设置测试的等级（1-5，默认为1）lv2：cookie; lv3：user-agent，refere; lv5：host 在sqlmap/xml/payloads文件内可以看见各个level发送的payload
–risk=RISK 风险（1-4，默认1）升高风险等级会增加数据被篡改的风险。risk 2：基于事件的测试;risk 3：or语句的测试;risk 4：update的测试
–string=STRING 在基于布尔的注入时，有的时候返回的页面一次一个样，需要我们自己判断出标志着返回正确页面的标志，会根据页面的返回内容这个标志（字符串）判断真假，可以使用这个参数来制定看见什么字符串就是真。
–not-string=NOT… 同理，这个参数代表看不见什么才是真。
–regexp=REGEXP 通常和上面两种连用，使用正则表达式来判断。
–code=CODE 也是在基于布尔的注入时，只不过指定的是http返回码。
–text-only 同上，只不过指定的是页面里的一段文本内容。
–titles 同上，只不过指定的是页面的标题。

6.Techniques

–technique=TECH 指定所使用的技术（B:布尔盲注;E:报错注入;U:联合查询注入;S:文件系统，操作系统，注册表相关注入;T:时间盲注; 默认全部使用）
–time-sec=TIMESEC 在基于时间的盲注的时候，指定判断的时间，单位秒，默认5秒。
–union-cols=UCOLS 联合查询的尝试列数，随level增加，最多支持50列。例： --union-cols 6-9
–union-char=UCHAR 联合查询默认使用的占列的是null，有些情况null可能会失效，可以手动指定其他的。例： --union-char 1
–union-from=UFROM 联合查询从之前的查询结果中选择列，和上面的类似。
–dns-domain=DNS… 如果你控制了一台dns服务器，使用这个可以提高效率。例： --dns-domain 123.com
–second-order=S… 在这个页面注入的结果，在另一个页面显示。例： --second-order 1.1.1.1/b.php

7.Fingerprint

-f, --fingerprint 指纹信息，返回DBMS，操作系统，架构，补丁等信息。

8.Enumeration

-a, --all 查找全部，很暴力。直接用-a
-b, --banner 查找数据库管理系统的标识。直接用-b
–current-user 当前用户，常用，直接用–current-user
–current-db 当前数据库，常用，直接用–current-db
–hostname 主机名，直接用–hostname
–is-dba
–users 查询一共都有哪些用户，常用，直接用–users
–passwords 查询用户密码的哈希，常用，直接用–passwords
–privileges 查看特权，常用。例： --privileges -U username (CU 就是当前用户)
–roles 查看一共有哪些角色（权限），直接用–roles
–dbs 目标服务器中有什么数据库，常用，直接用–dbs
–tables 目标数据库有什么表，常用，直接用–tables
–columns 目标表中有什么列，常用，直接用–colums
–schema 目标数据库数据库系统管理模式。
–count 查询结果返回一个数字，即多少个。
–dump 查询指定范围的全部数据。例： --dump -D admin -T admin -C username
–dump-all 查询全部数据。例： --dump-all --exclude-sysdbs
–search 搜索列、表和/或数据库名称。
–comments 检索数据库的备注。
-D DB 指定从某个数据库查询数据，常用。例： -D admindb
-T TBL 指定从某个表查询数据，常用。例： -T admintable
-C COL 指定从某个列查询数据，常用。例： -C username
-X EXCLUDE 指定数据库的标识符。
-U USER 一个用户，通常和其他连用。例： --privileges -U username (CU 就是当前用户)
–exclude-sysdbs 除了系统数据库。
–pivot-column=P… 枢轴列名，不懂。
–where=DUMPWHERE 在dump表时使用where限制条件。
–start=LIMITSTART 设置一个起始，通常和–dunmp连用。
–stop=LIMITSTOP 同上，设置一个结束。
–first=FIRSTCHAR 以第一个查询输出的字符检索，不懂。
–last=LASTCHAR 以最后一个查询输出的字符检索，不懂+2。
–sql-query=QUERY 执行一个sql语句。
–sql-shell 创建一个sql的shell。
–sql-file=SQLFILE 执行一个给定文件中的sql语句

9.Brute force

–common-tables 检查有没有记录表信息的公共表，比如mysql>=5.0会有一个information_schema库，储存了整个数据库的基本信息。有这个会方便很多。
–common-columns 有没有记录公共列的表，比如Access就没有列信息。这两种方法都会使用暴力破解。

10.User-defined function injection

–udf-inject 编译共享库创建并上传至DB Server，生成UDF实现高级注入，不懂。
–shared-lib=SHLIB 同上，不懂。

11.File system access

–file-read=RFILE 读取目标站点的一个文件。例： --file-read="/etc/password"
–file-write=WFILE 写入到目标站点的一个文件，通常和–sql-query 连用。例： --sql-query="select “一句话木马” --file-write=“shell.php”
–file-dest=DFILE 同上，只是使用绝对路径写入。

12.Operating system access

–os-cmd=OSCMD 执行一句系统命令。例： --os-shell=“ipconfig -all”
–os-shell 创建一个对方操作系统的shell，远程执行系统命令。直接用即可–os-shell
–os-pwn 同上，获取一个OOB shell，meterpreter或VNC。
–os-smbrelay 同上，一键获取一个OOB shell，meterpreter或VNC。
–os-bof 利用缓冲区溢出。
–priv-esc 自动提权，数据库进程用户权限提升。
–msf-path=MSFPATH Metasploit Framework本地的安装路径。
–tmp-path=TMPPATH 远程临时文件目录的绝对路径。

13.Windows registry access

–reg-read 读一个Windows注册表。
–reg-add 添加一个注册表。
–reg-del 删一个注册表。
–reg-key=REGKEY 和之前连用，注册表key值。
–reg-value=REGVAL 和之前连用，注册表值。
–reg-data=REGDATA 和之前连用，注册表数据。
–reg-type=REGTYPE 和之前连用，注册表类别。

14.General

-s SESSIONFILE 从一个文件加载保存的session。
-t TRAFFICFILE 记录流文件的保存位置。
–batch 批处理，在检测过程中会问用户一些问题，使用这个参数统统使用默认值。
–binary-fields=… 指定二进制结果的字段。
–check-internet 在评估目标之前检查互联网连接，新功能。
–crawl=CRAWLDEPTH 从起始位置爬取的深度。例： --crawl=3
–crawl-exclude=… 除了哪些页面之外全部爬取。例： --crawl-exclude=“abc.com/logout.php”
–csv-del=CSVDEL 指定在CSV输出中使用的分隔字符。
–charset=CHARSET 强制字符串编码。例： --charset=GBK
–dump-format=DU… 转储数据的格式 ，有(CSV (默认)， HTML，SQLITE)三种。
–encoding=ENCOD… 用于数据检索的字符编码。例： --encoding=GBK
–eta 显示每个输出的预计到达时间 。
–flush-session 清空会话信息。
–forms 在目标URL上解析和测试表单。
–fresh-queries sqlmap每次查询都会讲查询结果储存在.sqlmap文件夹中，下次再有相同测查询会调用上次的查询结果，使用这个参数可以忽略文件中有的记载结果，重新查询。
–har=HARFILE 将所有http流量记录在一个har文件中。
–hex dump非ascii字符时，将其编码为16进制，收到后解码还原。
–output-dir=OUT… 输出结果至文件。例： --output-dir=/tmp
–parse-errors 解析并显示报错信息。
–save=SAVECONFIG 将使用的命令保存到配置ini文件
–scope=SCOPE 和-l类似，只是这个可以过滤信息，使用正则表达式过滤网址。
–test-filter=TE… 根据有效负载和/或标题，不懂。
–test-skip=TEST… 根据有效负载和/或标题跳过测试，不懂+2。
–update 更新sqlmap。

15.Miscellaneous

-z MNEMONICS 参数助记符，比较傻的一个功能。例： -z “bat,randoma,ign,tec=BEU” 其实就是只要你写的字母可以唯一匹配其他参数，就可以生效。
–alert=ALERT 在找到SQL注入时运行主机OS命令。
–answers=ANSWERS 设置问题答案，在刚刚的–batch 可以跳过很多问题，但只是选择默认值，可以使用者个参数对特定问题设定特定答案。例： --answer “extending=N”
–beep 在问题和/或当SQL注入被发现时发出嘟嘟声。。。。。。。。。
–cleanup 从SqLMAP特定的UDF和表中找数据库，类似暴力破解。
–dependencies 检查缺少的Sql映射依赖项。
–disable-coloring 禁用控制台输出着色。
–gpage=GOOGLEPAGE 在指定页使用google结果，不懂。
–identify-waf 识别目标的防火墙。
–mobile cosplay 手机。
–offline 在脱机模式下工作。
–purge-output 情况输出文件夹。
–skip-waf 跳过WAF/IPS/IDS保护的启发式检测。
–smart 有大量检测目标时候，只选择基于错误的检测。
–sqlmap-shell 创建一个交互的sqlmap_shell，不懂。
–tmp-dir=TMPDIR 更改存储临时文件的本地目录。
–web-root=WEBROOT 设置Web服务器文档根目录。例： --web-root="/var/www"
–wizard 新手教程。

2.2 攻击实例

这里我就不做手工注入了，直接SQLMap跑起来。

2.2.1 DVWA

2.2.1.1 SQL Injection

low

因为DVWA需要admin和password登录，这就会有一个cookie，而sqlmap必须有这个cookie才能在注入的页面进行注入，否则就卡在了最初的页面，找不到注入点。
所以这里的payload必须要cookie。
而cookie需要结合burpsuite抓包来看：

1.爆出当前数据库名：

sqimap.py -u "攻击的URL" --cookie="通过burpsuite看到的cookie" --current-db

数据库名dvwa：

2.爆出数据表名：

sqimap.py -u "攻击的URL" --cookie="通过burpsuite看到的cookie" -D dvwa --tables

3.爆出字段名：

sqimap.py -u "攻击的URL" --cookie="通过burpsuite看到的cookie" -D dvwa -T users --columns

4.爆出字段内容：

sqimap.py -u "攻击的URL" --cookie="通过burpsuite看到的cookie" -D dvwa -T users --C user,password --dump

medium

通过抓包可以知道medium是post传参：

针对post传参的，我们的方法是，将burpsuite的抓包内容保存到一个TXT文件中。

1.爆出当前数据库名：

sqlmap.py -r "保存的TXT文件的绝对路径" -p "注入点" --current-db

然后后面的步骤就和上面的一样了。

• 好像post传参还可以用 --data 参数，不过我没尝试过：
  

high

由于在high级别下，它的提交页面和结果返回的页面不是同一个页面，所以要使用 二阶注入的方法 。

• 二阶注入：二阶sql注入–second-order有些时候注入点输入的数据看返回结果的时候并不是 当前的页面，而是另外的一个页面，这时候就需要你指定到哪个页面获取响应判断真假。
  –second-url 后面跟一个返回的页面的URL地址。
• –batch:自动默认配置，不用手动按yes or no
• level：Sqlmap一共有5个探测等级，默认是1。等级越高，说明探测时使用的payload也越多。其中5级的payload最多，会自动破解出cookie、XFF等头部注入。当然，等级越高，探测的时间也越慢。这个参数会影响测试的注入点，GET和POST的数据都会进行测试，HTTP cookie在level为2时就会测试，HTTP User-Agent/Referer头在level为3时就会测试。在不确定哪个参数为注入点时，为了保证准确性，建议设置level为5（速度也随之变慢）。

爆出当前数据库名：

sqlmap.py -r "保存的TXT文件的绝对路径" --second-url "结果返回页面的URL" --level=2 --current-db

后续的步骤就按套路走了。

2.2.1.2 SQL Injection(Blind)

方法和上面的一模一样，没啥好讲的。

2.2.2 Pikachu

数字型注入(post)

和上面一样，-r -p 就行了



字符型注入(get)

直接 -u 就行了

搜素型注入

直接 -u


xx型注入


"insert/updata"注入

首先需要注册和登录，然后修改信息，这时候进行抓包。因为没有看源码，不确定、性别、手机、住址、邮箱哪一个是注入点，所以保险起见，都输入一点内容进行传参：

因为是post传参，所以用的-r，但用默认的level=1、改成level=2没跑出来，所以直接加到最高的level=5；可能是因为这里的版本太低了，所以risk最多只有3：

虽然跑了很久，但还是跑出了结果：

"delete"注入

留言的时候没啥问题，问题出在删除的时候。抓包可以看到它是一个GET传参，所以我们可以使用 -u 和 --cookie。



"http header"注入

因为是http header的注入，所以这里的level设为了3：

跑得很久啊……从11:30跑到了17:00才跑出来……
（后来问了一下同学，它告诉我指定为报错注入会快一些 --technique E）

盲注(base on boolian)

嗯……从早上八点过就开始跑了，根据题目的提示布尔盲注，所以payload指定了 --technique=B。level=1 2 3的时候都没跑出来，所以直接加到level=5：

然后跑到晚上22:44，而且还失败了！然后干脆把 --technique=B去掉：

00:04才跑出结果：

一整天才跑出一道题！！！你们的sqlmap 都是这么慢的吗？？？

盲注(base on time)

宽字节注入

这个在《SQL注入进阶之1宽字节注入攻击(Pikachu漏洞练习平台)》中讲了原理和手工注入的方法，这里直接用sqlmap跑：

诶？不知道为啥，没跑出来？按理说也能出结果的呀？可能是我机子的原因吧，毕竟也没有人sqlmap慢成我这样，跑一道题要从早跑到晚，即使是level1也慢到爆……

至于我所有的结果显示的payload类型都是报错和时间盲注这个问题，我问了问同学，他告诉我：“sqlmap每跑完一个IP以后，都会在output文件夹下生成一个以该IP为名的文件夹，里面是记录这个IP的注入漏洞，如果不删除这个文件夹的话，下次再跑的时候sqlmap就不会再去检测而是直接用文件夹里的内容。”
这样说来那应该是跑得更快了才对呀，为啥我的还是那么那么那么慢呢？
而且更更关键的是，我根本没有找到这个output文件夹……

---

难以想象，这篇文章写了5天，就是因为跑不动……
是时候捯饬捯饬我的电脑了，太卡了，啥都带不动。
工欲善其事，必先利其器。升级装备加个内存条去！哼！