sqlmap支持自动伪静态批量检测

路飞 2016-04-19 10:31:00

0x00 前言


由于还没有找到一款比较适合批量检测sql注入点的工具(proxy+sqlmapapi的方式批量检测之类的批量sql注入点检测),我的目光就转向了sqlmap。虽然sqlmap没有支持伪静态注入点的测试(需要手动添加注入标记),由于是python写的,可以快速方便的进行二次开发。

0x01 思路


我的思路是在有.html之类的后缀或者既没有.html或者包含"?"的url进行修改。

伪静态注入点一般都在数字,所以我就在数字后面添加注入标记。字符串的伪静态就不搞了,搞了工作量就会添加很多。

用如下的URL进行测试

http://www.site.com/index.php/index/id/14
http://www.site.com/index.php/newsContent/id/341.html
http://www.site.com/show/?29-575.html

结果如下

http://www.site.com/index.php/index/id/14*
http://www.site.com/index.php/newsContent/id/341*.html
http://www.site.com/show/?29*-575*.html

代码如下:

if re.search('html|htm|sthml',url) or url.find("?") == -1:
    flag = 0
    suffix = ""
    if re.search('html|htm|sthml',url):
        suffix = "." + re.search('html|htm|sthml',url).group()
    urlList = url.split("/")

    returnList = []

    for i in urlList:
        i = re.sub('\.html|\.htm','', i)
        if i.isdigit():
            returnList.append(i + "*")
            flag = 1
        else:
            returnList.append(i)
    url = '/'.join(returnList) + suffix

    returnList = []
    if flag == 0:
        for i in urlList:
            if re.search('html|htm|sthml',i):
                digitList = re.findall('\d+',i)
                for digit in digitList:
                    i = i.replace(digit, digit + "*")
                returnList.append(i)
            else:
                returnList.append(i)
        url = '/'.join(returnList)    
    print url

0x02 sqlmap支持单个自动检测伪静态


相关文件

流程

Sqlmap.py 116行start()->controller.py 256行setupTargetEnv()->target.py 72行_setRequestParams()->target.py 117行

if kb.processUserMarks is None and CUSTOM_INJECTION_MARK_CHAR in conf.data:
message = "custom injection marking character ('%s') found in option " % CUSTOM_INJECTION_MARK_CHAR
message += "'--data'. Do you want to process it? [Y/n/q] "
test = readInput(message, default="Y")
if test and test[0] in ("q", "Q"):
raise SqlmapUserQuitException
else:
kb.processUserMarks = not test or test[0] not in ("n", "N")

if kb.processUserMarks:
kb.testOnlyCustom = True

这里检测是否使用了注入标记。

sqlmap获取完所有你指定的信息后,开始正式检测是否有注入之前,会检测是否使用了注入标记"*",如果有的话就先处理这个注入标记的点进行测试。

这样就明白注入标记的流程,只要_setRequestParams函数调用之前处理好URL,就可以支持自动的伪静态注入的测试了。

只要在260行处添加

if re.search('html|htm|sthml',conf.url) or conf.url.find("?") == -1:
    flag = 0
    suffix = ""
    if re.search('html|htm|sthml',conf.url):
        suffix = "." + re.search('html|htm|sthml',conf.url).group()
    urlList = conf.url.split("/")

    returnList = []

    for i in urlList:
        i = re.sub('\.html|\.htm','', i)
        if i.isdigit():
            returnList.append(i + "*")
            flag = 1
        else:
            returnList.append(i)
    conf.url = '/'.join(returnList) + suffix

    returnList = []
    if flag == 0:
        for i in urlList:
            if re.search('html|htm|sthml',i):
                digitList = re.findall('\d+',i)
                for digit in digitList:
                    i = i.replace(digit, digit + "*")
                returnList.append(i)
            else:
                returnList.append(i)
        conf.url = '/'.join(returnList)
    logger.info(conf.url)

这样就可以了。

效果图

这里只是单个的,要支持批量检测注入点。修改这里是不行的。

0x03 sqlmap支持批量自动检测伪静态


相关文件
https://github.com/sqlmapproject/sqlmap/blob/master/lib/core/option.py

583行处

for line in getFileItems(conf.bulkFile):
    if re.match(r"[^ ]+\?(.+)", line, re.I) or CUSTOM_INJECTION_MARK_CHAR in line:
        found = True
        kb.targets.add((line.strip(), conf.method, conf.data, conf.cookie, None))

一行一行读取文件里面的url。只要匹配到有问号"?"或者有注入标记"*"才进行测试。

在583处添加

    if re.search('html|htm|sthml',line) or line.find("?") == -1:
        flag = 0
        suffix = ""
        if re.search('html|htm|sthml',line):
            suffix = "." + re.search('html|htm|sthml',line).group()
        urlList = line.split("/")

        returnList = []

        for i in urlList:
            i = re.sub('\.html|\.htm','', i)
            if i.isdigit():
                returnList.append(i + "*")
                flag = 1
            else:
                returnList.append(i)
        line = '/'.join(returnList) + suffix

        returnList = []
        if flag == 0:
            for i in urlList:
                if re.search('html|htm|sthml',i):
                    digitList = re.findall('\d+',i)
                    for digit in digitList:
                        i = i.replace(digit, digit + "*")
                    returnList.append(i)
                else:
                    returnList.append(i)
            line = '/'.join(returnList)

效果图:

0x04 最后


如果有好的建议,可以在评论中给我留言。

评论

杨某某 2016-04-19 12:35:53

思路是写个爬取程序,配合sqlmap批量检测来使用?

蓝冰 2016-04-19 13:18:48

真是心有灵犀 前几天 想了很久 也是这种方案 放弃字符串的检测 循环在纯数字后面加*号

蓝冰 2016-04-19 13:35:09

http://www.site.com/show/hash-3a39ab.html
这种不应该加星号注入
用你的代码处理的话会变成
http://www.site.com/show/hash-3*a3*9*ab.html
造成了较多的不必要的开销

D

D&G 2016-04-19 13:42:29

伪静态的情况应该还有比较多种

H

hear7v 2016-04-19 14:30:18

是呀,最近也在想这个

路飞 2016-04-19 16:39:11

@杨某某 嗯。

路飞 2016-04-19 16:41:50

@蓝冰 稍微改一下

digitList = re.findall('\d+',i)
改成这样
digitList = re.findall('\d+\w+',i)

路飞 2016-04-19 16:45:42

@D&G 嗯,情况肯定很多的。我考虑的情况肯定也不全的。

路人甲 2016-04-19 20:22:28

飞哥,不研究缠论了吗?

Hxai11 2016-04-20 10:07:23

@杨某某 nice!

路人 2016-04-20 12:42:28

http://zone.wooyun.org/content/21978

D

dragon110 2016-04-20 17:41:17

学习。

H

hear7v 2016-04-25 20:16:52

如果是api+代理这样的批量检测,是不是添加第一处就行了啊,还没整体看过源码

路人甲 2016-04-27 10:57:39

爬虫+检测注入

M

mujahideen 2016-04-29 10:48:51

感觉和新代码有点出入,大牛可否留个方式请教一下?

路飞

上帝恩赐,命运天定。希望之光,普照我身。坚毅如钢,勇往直前。而今伊始,命途自闯。

twitter weibo github wechat

随机分类

memcache安全 文章:1 篇
软件安全 文章:17 篇
后门 文章:39 篇
网络协议 文章:18 篇
密码学 文章:13 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录