1.8?（實(shí)驗(yàn)）如何使用SQLMap進(jìn)行cookie注入

第一步：登錄目標(biāo)地址，輸入用戶名和密碼，用戶名和密碼都是admin。

點(diǎn)擊Submit。

開啟代理服務(wù)。【選項(xiàng)】—【高級】—【網(wǎng)絡(luò)】—【設(shè)置】，選擇【手動(dòng)配置代理】，輸入HTTP代理：127.0.0.1，端口：8080，清空不使用代理文本框中的內(nèi)容，點(diǎn)擊確定。

雙擊打開桌面的【實(shí)驗(yàn)工具】文件夾下的【Burp suite Pro 1.6】文件夾，雙擊【BurpLoader.jar】，打開BurpSuite軟件。遇到彈窗，點(diǎn)擊【I Accept】

回到瀏覽器，刷新界面http://www.any.com/sqli/Less-20/index.php。

Burpsuite會自動(dòng)進(jìn)行抓包，點(diǎn)擊【Proxy】，即可看到被獲取的cookie。如下圖所示

通過抓包，我們知道登錄的cookie是uname=admin

第二步：進(jìn)行sqlmap的cookie注入攻擊。雙擊打開桌面的【實(shí)驗(yàn)工具】文件夾，雙擊打開名為【sqlmap.exe】的快捷方式，輸入命令

python?sqlmap/sqlmap.py?-u?http://www.any.com/sqli/Less-20/index.php?--cookie?"uname=admin"?--level?2

使用參數(shù)-u后接網(wǎng)站的url用于明確使用sqlmap進(jìn)行sql注入的網(wǎng)址。使用參數(shù)--cookie，指定cookie內(nèi)容是“uname=admin”。?參數(shù)--level共有五個(gè)等級，默認(rèn)為1，sqlmap使用的payload可以在xml/payloads.xml中看到，你也可以根據(jù)相應(yīng)的格式添加自己的payload。這個(gè)參數(shù)不僅影響使用哪些payload同時(shí)也會影響測試的注入點(diǎn)，GET和POST的數(shù)據(jù)都會測試，HTTP Cookie在level為2的時(shí)候就會測試，HTTP User-Agent/Referer頭在level為3的時(shí)候就會測試。

遇到如下圖所示的選擇，直接點(diǎn)擊回車即可

最終結(jié)果如下圖

對最終結(jié)果的分析（上圖中紅框內(nèi)的部分）：

Web服務(wù)器的系統(tǒng)是Windows；web應(yīng)用技術(shù)的PHP版本是5.3.29，Apache版本是2.4.10；后臺數(shù)據(jù)庫使用的是MySQL，版本大于5.5。

第三步：開始暴庫。

命令如下：python sqlmap/sqlmap.py -u http://www.any.com/sqli/Less-20/index.php --cookie "uname=admin"? --level 2 –dbs

使用參數(shù)-u后接網(wǎng)站的url用于明確使用sqlmap進(jìn)行sql注入的網(wǎng)址。使用參數(shù)--cookie，指定cookie內(nèi)容是“uname=admin”。?參數(shù)--level共有五個(gè)等級，默認(rèn)為1，HTTP Cookie在level為2的時(shí)候就會測試，HTTP User-Agent/Referer頭在level為3的時(shí)候就會測試。--dbs是用來獲取所有數(shù)據(jù)庫名稱的參數(shù)。

遇到如下圖所示的選擇，直接點(diǎn)擊回車即可。

結(jié)果如下圖

對最終結(jié)果的分析（上圖中紅框內(nèi)的部分）：

?系統(tǒng)由10個(gè)可以使用的數(shù)據(jù)庫，名稱分別是510cms，challenges，cms，dvwa，efucms，information_schema，mysql，performation_schema，security，test。

可以看見里面庫挺多的，我們獲取一下當(dāng)前是哪個(gè)庫，命令為：python sqlmap/sqlmap.py -u http://www.any.com/sqli/Less-20/index.php --cookie "uname=admin"? --level 2 --current-db

使用參數(shù)-u后接網(wǎng)站的url用于明確使用sqlmap進(jìn)行sql注入的網(wǎng)址。使用的參數(shù)是--cookie，cookie內(nèi)容是“uname=admin”。?參數(shù)--level，level等級設(shè)置為2是為了測試HTTP Cookie。--current-db是為了獲取當(dāng)前數(shù)據(jù)庫名稱。

遇到如下圖所示的選擇，直接點(diǎn)擊回車即可。最終結(jié)果如下圖：

對最終結(jié)果的分析（上圖中紅框內(nèi)的部分）：

?當(dāng)前網(wǎng)頁使用的數(shù)據(jù)庫名稱是security。

第四步：數(shù)據(jù)庫知道了，接下來我們進(jìn)行爆表，

命令如下：python sqlmap/sqlmap.py -u http://www.any.com/sqli/Less-20/index.php --cookie "uname=admin"? --level 2 –D security --tables

?使用參數(shù)-u后接網(wǎng)站的url用于明確使用sqlmap進(jìn)行sql注入的網(wǎng)址。使用的參數(shù)是--cookie，cookie內(nèi)容是“uname=admin”。?參數(shù)--level是將level等級設(shè)置為2。參數(shù)-D用于指定數(shù)據(jù)庫名稱為security。參數(shù)--tables為了明確獲取的內(nèi)容是security數(shù)據(jù)庫中的表的名稱。

遇到如下圖所示的選擇，直接點(diǎn)擊回車即可。最終結(jié)果如下圖：

對最終結(jié)果的分析（上圖中紅框內(nèi)的部分）：

?當(dāng)前網(wǎng)頁使用的數(shù)據(jù)庫名稱是security。進(jìn)一步獲取到了security庫所有的表，security數(shù)據(jù)庫中的數(shù)據(jù)表有4個(gè)，名稱分別是emails，referers，uagents，users，我們更關(guān)注users這個(gè)表。根據(jù)經(jīng)驗(yàn)，這里面存儲著后臺的管理賬號和密碼。

第五步：接下來爆字段。

命令如下：python sqlmap/sqlmap.py -u http://www.any.com/sqli/Less-20/index.php --cookie "uname=admin"? --level 2 -Dsecurity -T users --columns

?使用參數(shù)-u后接網(wǎng)站的url用于明確使用sqlmap進(jìn)行sql注入的網(wǎng)址。使用的參數(shù)是--cookie，cookie內(nèi)容是“uname=admin”。?參數(shù)--level是將level等級設(shè)置為2。參數(shù)-D用于指定數(shù)據(jù)庫名稱為security。參數(shù)-T用于指定目標(biāo)是security數(shù)據(jù)庫中的名為users表。參數(shù)--columns為了明確獲取的內(nèi)容是security數(shù)據(jù)庫中的users表的列的名稱。

遇到如下圖所示的選擇，直接點(diǎn)擊回車即可。最終結(jié)果如下圖：

對最終結(jié)果的分析（上圖中紅框內(nèi)的部分）：

?當(dāng)前網(wǎng)頁使用的數(shù)據(jù)庫名稱是security。數(shù)據(jù)表的名稱是users。在這個(gè)表中有三個(gè)字段，字段名稱分別是id，password，username，字符類型分別是最長是3位的整型數(shù)據(jù)，最長為20位的字符型數(shù)據(jù)和最長是20位的字符型數(shù)據(jù)。理論上password和username分別存儲著密碼和用戶名。

第六步：我們對關(guān)鍵字段進(jìn)行詳細(xì)展示。

命令如下：python sqlmap/sqlmap.py -u http://www.any.com/sqli/Less-20/index.php --cookie "uname=admin"? --level 2 -Dsecurity -T users -C password,username –dump

?使用參數(shù)-u后接網(wǎng)站的url用于明確使用sqlmap進(jìn)行sql注入的網(wǎng)址。使用的參數(shù)是--cookie，cookie內(nèi)容是“uname=admin”。?參數(shù)--level是將level等級設(shè)置為2。參數(shù)-D用于指定數(shù)據(jù)庫名稱為security。參數(shù)-T用于指定目標(biāo)是security數(shù)據(jù)庫中的名為users表。參數(shù)-C password,username用于指定目標(biāo)是security數(shù)據(jù)庫中名為users表的password列和username列，順便指出來這兩列的輸出順序。參數(shù)--dump為了明確獲取的內(nèi)容是security數(shù)據(jù)庫中的users表的password列和username列的內(nèi)容。

遇到如下圖所示的選擇，直接點(diǎn)擊回車即可。

結(jié)果如下圖：

對最終結(jié)果的分析（上圖中紅框內(nèi)的部分）：

?當(dāng)前網(wǎng)頁使用的數(shù)據(jù)庫名稱是security。數(shù)據(jù)表的名稱是users。在這個(gè)表中有13條記錄。用戶名（username）為Dumb的用戶的密碼（password）是Dumb，用戶名（username）為Angelina的用戶的密碼（password）是I-kill-you，用戶名（username）為Dummy的用戶的密碼（password）是p@assword，用戶名（username）為secure的用戶的密碼（password）是crappy，用戶名（username）為stupid的用戶的密碼（password）是stupidity，用戶名（username）為superman的用戶的密碼（password）是genious，用戶名（username）為batman的用戶的密碼（password）是mob!le，用戶名（username）為admin的用戶的密碼（password）是admin，用戶名（username）為admin1的用戶的密碼（password）是admin1，用戶名（username）為admin2的用戶的密碼（password）是admin2，用戶名（username）為admin3的用戶的密碼（password）是admin3，用戶名（username）為dhakkan的用戶的密碼（password）是dumbo，用戶名（username）為admin4的用戶的密碼（password）是admin4。

?實(shí)驗(yàn)結(jié)束。