关注我们
QRcode 邮件联系 QRcode

我是如何打造一款自动化SQL注入工具的

 feng  2,440 ℃  6条点评

0×01 前言

各位看官看到标题吐槽帝就开始了:已经有了各种各样的注入工具,为什么还要手工打造一个?

事实上,做为一名苦逼乙方测试工程师以及漏洞盒子屌丝白帽子 ,在疲于应对各种死缠滥打的甲方以及成堆的web测试需求时,我经常遇到以下场景:

(1)有大批量的网站需要检测的场景

乙方工程师工作辛苦劳累从来都不抱怨,有项目一定都是最能抗的,向无数奋斗在一线的乙方工程师致敬!

(2)系统内部业务复杂可能会存在众多测注入点

很多系内部业务复杂,查询功能较多,此时可能会较多的注入点,手工测试时间紧,容易纰漏,此时需要一个提取burpsuit的history记录的工具,来自动帮你分析问题所在。

(3)漏洞盒子测试时间需要争分夺秒

在漏洞盒子进行项目安全测试时,时间就是金钱——谁能以更快的速度挖到漏洞谁就能拿到更多的奖励.

系统框架组成:

我是如何打造一款自动化SQL注入工具的

[核心检测引擎] Sqlmap [核心信息收集引擎] Python代理 [数据库] mysql [Web展示] Bootstrap主题+JQuery(Ajax)

0×02 系统设计过程

先介绍一下Sqlmapi及其用法:

Sqlmapapi在sqlmap中是自带的功能,可能许多人都忽略了.当我们下载到sqlmap源码的适合会发现在根目录下还有一个sqlmapapi.py的文件,此时,使用命令python sqlmapapi.py -s -H 127.0.0.1 -p 8889就可以启动了

我是如何打造一款自动化SQL注入工具的

启动后会生成一个Admin ID,这个AdminID就是我们用于管理Sqlmapapi使用管理id

我是如何打造一款自动化SQL注入工具的

但是注意,在新建sqlmap任务的时候,这个AdminID没有什么作用,只是在查看任务和删除任务的时候才有用.这个AdminID也是后面PHP程序对sqlmapapi进行管理的时候使用的AdminID,但是为了方便,我将这一部分代码进行了重写,使得生成的AdminID是唯一的/或者写入一个特定的文件让PHP去读取。

使用的时候需要使用HTTP协议与该API进行交互。新建一个空任务,然后再向该任务POST sql注入的相关参数来启动该任务,/task/new为新建任务,/scan/taskid/start为启动任务接口。

需要使用POST方法向该接口提交json格式的数据,详情可参考后文的req2sqlmap.py

我是如何打造一款自动化SQL注入工具的

有了sqlmapapi的背景知识后,我们的打造自己的自动sql注入工具之路就开始了:

这款工具后台由Python代理实现且支持Https,启动sqlmapapi进程后,Python代理会截取http请求并将该请求发送给Sqlmapapi,Sqlmap就开始进行注入尝试,Web界面部分负责生成最后的结果便于测试人员直接分析,Web部分由PHP负责监控sqlmapapi并获取注入结果保存入mysql数据库,此处我写了一个单独的类库sqlmapapi.class.php处理,只要实例化一个对象并传入固定的adminid(sqlmap的管理id)就可以对sqlmapapi进程进行管理。

sqlmapapi.class.php代码如下:

<?php  class sqlmapapi {     private $adminid='';     private $sqlmapapi=SQLMAPAPI;     private $tasknumber=0;     function __construct($adminid=null) {         if($adminid!=null){             $this->adminid=$adminid;         }          $this->AutoTask();         return 0;     }     //自动处理所有任务     function AutoTask(){         $tasklistarr=  $this->getTasklist();         foreach ($tasklistarr as $taskid) {             //查询结果并入库             $this->Task2db($taskid);         }         return TRUE;     }          function getTasklist($adminid=null){         if($adminid==null){             $adminid=$this->adminid;         }         $jsonres=$this->doGet("/admin/".$this->adminid."/list");         $jsonobj= json_decode($jsonres);         $tasklist=$jsonobj->tasks;         $tasknumber=$jsonobj->tasks_num;         $this->tasknumber=$tasknumber;         print_r($tasklist);         return $tasklist;     }     function flushTask($adminid=null){         if($adminid==null){             $adminid=$this->adminid;         }         $jsonres=$this->doGet("/admin/".$this->adminid."/list");         $res=  json_decode($jsonres);         if($res['success']==true){             return TRUE;         }else{             return FALSE;         }     }      function Task2db($taskid){          $jsonres=  $this->doGet("/scan/".$taskid."/status");         print_r($jsonres);         $jsonobj=  json_decode($jsonres);         $taskstatus=$jsonobj->status;         if($taskstatus=='terminated'){             $jsonres=  $this->doGet("/scan/".$taskid."/data");             $jsonobj=  json_decode($jsonres);             $data=$jsonobj->data;             if($data==null || empty($data)||count($data)==0){                 $this->delTask($taskid);                 return TRUE;             }             $error=$jsonobj->error;             $taskoptionlist=  $this->getOptionList($taskid);             $url=$taskoptionlist->url;             $urlarr=parse_url($url);             $schema=$urlarr['scheme'];             $host=$urlarr['host'];             $port=0;             if(!isset($urlarr['port'])){                 if($urlarr['scheme']=='http'){                     $port=80;                 }elseif($urlarr['scheme']=='https'){                     $port=443;                 }             }else{                 $port=$urlarr['port'];             }             $cookie=$taskoptionlist->cookie;             $headers=$taskoptionlist->headers;             $postdata=$taskoptionlist->data;             $uasplit=split("User-Agent:", $headers);             $ua=$uasplit[1];             $taskscandata=  serialize($data);             $taskscanlog=  $this->getTaskScanLog($taskid);             $taskerror=  serialize($error);             $save2dbres=$this->save2Db($host, $port, $schema, $url, $cookie, $postdata,$ua, serialize($taskoptionlist), $taskscandata, serialize($taskscanlog), $taskerror);             if($save2dbres){                 $this->delTask($taskid);                 return TRUE;             }else{                 return FALSE;             }                      }elseif($taskstatus=='not running'){             $this->delTask($taskid);             return TRUE;         }elseif ($taskstatus=="running") {             return FALSE;                      }              }     function save2Db($host,$port,$schema,$url,$cookie,$postdata,$ua,$taskoptiondata,$taskscandata,$taskscanlog,$taskerror){         global $mysqli;         var_dump(mysqli_error($mysqli));         if($num>0){             return TRUE;         }else{             return FALSE;         }              }     function getOptionList($taskid){         $jsonres=  $this->doGet("/option/".$taskid."/list");         $jsonobj=  json_decode($jsonres);//生成数组         return $jsonobj->options;     }     function getTaskScanLog($taskid){         $jsonres=  $this->doGet("/scan/".$taskid."/log");         $jsonobj=  json_decode($jsonres);         return $jsonobj->log;     }     function getUrl($taskid){              }     function delTask($taskid){         $jsonres=$this->doGet('/task/'.$taskid."/delete");         $jsonobj=  json_decode($jsonres);         if($jsonobj->success=='true'){             return TRUE;         }else{             return FALSE;         }     }               function __get($name) {         return $this->$name;     }     function __set($name, $value) {         $this->$name=$value;     }     function doGet($api){         $options = array(                 CURLOPT_URL =>  $this->sqlmapapi.$api ,                 CURLOPT_POST=>false,                 CURLOPT_RETURNTRANSFER=>true,                 CURLOPT_HEADER=>false,                 CURLOPT_USERAGENT=>'Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.57 Safari/537.17',          );          $myres=$this->mycurl($options);        return  $myres;     }     function doPost($api,$body){         $header = array(             'Content-Type: application/json',         );         $options = array(                 CURLOPT_URL =>$this->sqlmapapi.$api ,                 CURLOPT_POST=>true,                 CURLOPT_RETURNTRANSFER=>true,                 CURLOPT_POSTFIELDS=>$body,                 CURLOPT_HEADER=>$header,                 CURLOPT_USERAGENT=>'Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.17 (KHTML, like Gecko) Chrome/24.0.1312.57 Safari/537.17',         );         return $this->mycurl($options);     }     function mycurl($options){         $c=curl_init();         curl_setopt_array($c,$options);         $result=curl_exec($c);         curl_close($c);         return $result;     }  }

我拜读了sqlmapapi的源代码和相关代码后根据情况进行了部分修改,使得其能够更好的适用于这款自动sql注入工具。

使用方法简单:测试人员只需要将浏览器代理设置为该工具所在主机的IP和端口,然后在需要测试的位置点击鼠标即可,稍后可以登录到web前端部分去查看结果。

为了结果的直观性,我们对sql注入的结果数据和中间数据进行了整理,并将几个常用信息直接入库,这样会使得sqlmap注入完成后,测试人员可以直接还原sqlmap注入的整个语句。

0×03 系统界面效果

我是如何打造一款自动化SQL注入工具的

是不是很简洁?因为他功能少!不要打我~其实我是来骗稿费的。

0×04 系统sql注入界面截图

我是如何打造一款自动化SQL注入工具的

上图设计几个实用功能:

点击主机名可以查看sqlmap注入结果的详细数据,包括payload,可用于手工测试. 点击V按钮,可以查看请求的简要信息,如URL,POSTDATA,UserAgent,Cookie等信息 点击R可以生产适用于Burpsuit的请求原文 点击Sql可以生成用于sqlmap测试的bash语句(如下图,方便我这样的懒人去复现~)

我是如何打造一款自动化SQL注入工具的

0×05 附code

核心代理引擎项目地址:点我!

这个代理虽然可以用,但是实现上存在一些bug,我做了少量的修改,以使得更加适用于自动sql注入工具
以下是我基于上面的代理服务器写的插件,该插件可以将请求包发给sqlmapapi

req2sqlmap.py   #encoding=utf-8 import urllib import urllib2 import re import  json from urlparse import urlparse   #每一个分布式客户端需要又一个唯一的clientid,否则会引起冲突 #如果重启代理,相当于添加一个新的client,因此也需要更换clientid ClintId="f3ca2b6f1b2fc73f148b6cbd0db70f42"   #sqlmapapiurl 注意后面不能有 / sqlmapapiurl="http://127.0.0.1:8775"   def getSeqKey(reqresdata):     reqresdata=str(reqresdata)     index=reqresdata.index('#')     seq=reqresdata[0:index]     return def getSeqNum(reqresdata):     reqresdata=str(reqresdata)     index=reqresdata.index('#')     reqresdata=reqresdata[index+2:]     index=reqresdata.index('#')     seq=reqresdata[0:index]     return seq #生成用户唯一的标识 def generateSeq(reqresseq):     return str(reqresseq)+str(ClintId)   def doGet(url,cookies='',ua=''):     req=urllib2.Request(url)     if cookies!='':         req.add_header('Cookie',cookies)     if(''==ua):         req.add_header('User-Agent','Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36')     else:         req.add_header('User-Agent',ua)     f=urllib2.urlopen(req)     return f.read() def doPost(url,data='',cookies='',ua=''):     if data=='':         data={}     req=urllib2.Request(url,data,{'Content-Type': 'application/json'})     if cookies!='':         req.add_header('Cookie',cookies)     if(''==ua):         req.add_header('User-Agent','Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36')     else:         req.add_header('User-Agent',ua)     f=urllib2.urlopen(req)     return f.read() def send2Sqlmap(url,ua,cookie='',body='',otherheaders=''):        sqlurl=sqlmapapiurl+'/task/new'     resjson=doGet(sqlurl)     jsonobj=json.loads(resjson)     taskid=jsonobj['taskid']     data={}     data['url']=url     if(cookie!=[] and cookie!=''):         data['cookie']=cookie[0]     data['headers']="User-Agent:"+ua[0]     if(''!=body):         data['data']=body     myjsondata=json.dumps(data)     sqlurl=sqlmapapiurl+'/scan/'+taskid+'/start'     doPost(sqlurl,myjsondata,cookie,ua)     if(otherheaders!=''):         print otherheaders def sendReq2Api():       return def sendRes2Api():     return def proxy_mangle_request(req):     ReqSeqNum=getSeqNum(req)     print "ReqSeqNum: "+str(ReqSeqNum)     cookie=req.getHeader("Cookie")     ua=req.getHeader("User-Agent")     body=req.body     url=req.url     if(req.method=="CONNECT"):         url="https://"+url     if(isHavaParam(url,body)):         send2Sqlmap(url,ua,cookie,body)         print "send["+url+"]to sqlmapapi"     return req def proxy_mangle_response(res):     #print res     print "ResSeq: "+str(getSeqNum(res))     return res def fileNameCheck(urlpath):     i = len(urlpath) - 1     while i > 0:         if urlpath[i] == '/':             break         i = i - 1     filename=urlpath[i+1:len(urlpath)]     print "Filename: ",filename     res=filename.split('.')     if(len(res)>1):         extname=res[-1]         ext=["css","js","jpg","jpeg","gif","png","bmp","html","htm","swf","ico","ttf","woff","svg","cur","woff2"]         for blacklist in ext:             if(extname==blacklist):                 return False     return True def isHavaParam(urlori,body=''):     url = urlparse(urlori)     #放过管理地址URL     if(url.hostname=='termite.xseclab.com'):         return False     if not fileNameCheck(url.path):         return False     if(''!=body or url.params!='' or url.query!='' or url.username!=None or url.password!=None):         return True     #you can add your own filter here!     return False

*本文来自FreeBuf特约作者扛把子首席小弟投稿,属FreeBuf黑客与极客(Freebuf.COM)独家发布,未经允许禁止转载

本文标签:
分析勒索软件Cerber的攻击方法
内网渗透之域渗透01-域基础知识及介绍
分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)敲诈者病毒新变种:山寨版CTB-Locker技术分析(附解密方法)敲诈者病毒新变种:山寨版CTB-Locker技术分析(附解密方法)BruteXSS:XSS暴力破解神器BruteXSS:XSS暴力破解神器

已有6条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

  1. avatar
    #6 烟台

    谢谢分享,顶一个!

    2016-09-06 上午 8:49回复
  2. avatar
    #5 福利博客

    的确!认可!

    2016-10-30 上午 8:06回复
  3. avatar
    #4 铝材

    这样注入的方法很特别,应该是熟能生巧吧。

    2016-11-05 上午 2:34回复
  4. avatar
    #3 天下

    谢谢分享哦,学习了

    2016-11-17 上午 6:09回复
  5. avatar
    #2 凯哥自媒体

    挺好的,感谢博主的分享。

    2017-01-10 上午 7:33回复
  6. avatar
    #1 blog

    感觉还是非常复杂的呢。。。。

    2017-05-27 上午 10:32回复


注册帐号  |  忘记密码