|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
- |
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
. |
|
|
|
8.8.e |
Skipfish |
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
|
p |
df |
|
|
|
g |
.c |
|
|
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Аналогично WPScan, но не только для WordPress. Skipfish - это сканер веб приложений, который даст вам представление практически о каждом типе веб-приложений.
Он быстрый и простой в использовании. Кроме того, его метод рекурсивно го сканирования делает его еще лучше.
Для профессиональных оценок безопасности веб-приложений пригодится отчет, созданный Skipfish. Полученную от сканера информацию об уязвимо стях ты можешь использовать для взлома систем.
Попробуем использовать инструмент на практике. Для запуска нужно пере дать, как минимум, две опции-результирующий каталог, куда будут помеще ны результаты сканирования, а также URL сайта. Сначала нужно указывать опцию, а затем название сайта, иначе программа не поймет последователь ность опций:
skipfish -о /root/skipfish <Имя сайта>
Далее (рис. 8.9) программа отобразит памятку для пользователя:
1.Ты можешь прервать сканирование в любой момент, нажав Ctrl + С, частичный отчет будет записан в указанное тобою расположение.
2.Для просмотра списка просканированных URL нажми Пробел в любое время сканирования.
3.Просмотри количество запросов в секунду на главном экране. Если оно меньше 100, сканирование займет длительное время. На рис. 8.1О на дан ный момент 8.1 запроса в секунду. Это очень мало, сканирование займет много времени.
4.Новые версии сканера выходят каждый месяц, не забывай обновлять систему для их получения (можно обновлять не всю систему, а только пакет сканера).
118- ---------.-----.--------· |
-- ----··-- |
------ -- |
- |
• |
·····--. |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Рис. 8.9. Пам11тка Skipfish
Рис. 8.10. Сканирование в процессе
Если ты сканируешь сайт легально и у тебя есть доступы к нему, подклю чись по ssh и посмотри нагрузку на сервер (команда htop). Если нагрузка--
высокая, это говорит о следующем:
•
·-- - - - - --------- -- - -------- - ---- ----- ---- - - ------ - --- --------------- - --------- - --
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
Click |
|
|
|
• |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
Возможно, следует прекратить тестирование и повторить его не в бизнесClick |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
|
p |
|
|
|
|
g |
|
|
|
время. Иначе есть вероятность "положить" сайт и обычные пользователи |
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
не смогут получить предоставляемые ним услуги (это особенно критич |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
но для Интернет-магазинов). |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• |
|
|
Это явный признак того, что ресурсов не хватает и их нужно добавить. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Представь, что сканирование запустишь не ты, а кто то другой. Если |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
skipfish "положил" сайт, то нужно явно поднять ресурсы - количество |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
процессоров и оперативную память. |
|
|
|
|
|
|
|
|
|
|
|
Рис. 8.11. Использование ресурсов во время сканирования
Нужно отметить, что skipfish работает довольно корректно по умолчанию (если иного не задано в опциях) и админ того сайта даже не заметит факт сканирования, поскольку нагрузка на сервер должна быть в пределах нормы.
Если тебе надоело ждать, в любой момент можно прервать сканирование сайта, нажав Ctrl + С. На рис. 8.12 показано, что сканирование как раз пре рвано пользователем.
После этого открой файловый менеджер и перейди в каталог с результатами (в нашем случае это /root/skipfish). Открой файл index.html, в нем и будет отчет о результатах сканирования. На рис. 8.13 показано, что Skipfish на шел 4 уязвимости, несмотря на то, что сканирование было прервано раньше. Раскрой узлы страницы и ознакомься с содержимым отчета - далее ты пой мешь, какой вектор атаки выбрать для взлома сайта.
--···--·-··---- |
··-·-··-·---- |
··-··---··--··---···-·-------------- |
"---------- |
·----- |
' |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Рис. 8.12. Сканирование прервано пользователем
. 11,J |
• ,, |
·• , |
, |
• |
О |
II О i |
С· |
|
|
|
>•'' • "' '''" ,, .... • ' |
|
|
- |
о ,, |
'•
':? |
. |
•. 11 :J,''• |
|
•\П :,: ;;; |
.;.,11, .,. ,, "' ,. |
.,, • ..,L, |
.. ,,,,С:,,-• |
••••.rc N • 1'l' |
..,..<,.,:..- •1 •t,j: 11,1< 'у ';,)",• |
|
|
|
|
|
|
SumeJ__, 2.1(1) |
scaid8W Tt. tlkflU:нн |
|
|
|
|
иесl: С 1(16( |
lЬtalllmlt 1sr1.tмtt1r;'Al:18Вm,; |
Crawl results • click to ех and: |
|
|
|
|
е overview • click to ех |
and: |
|
|
|
....., textlhtml (З) |
|
|
|
|
|
|
....•,_, text/plain(lJ |
|
|
|
|
|
|
lssue type overview • click to expand:
(iJJ Qu«Y lnJection vec:tor щShell infection veaor f1t
Q lnternting ltfV'tf' message IIO)
е ExttmaJ conrent emЬtdded on а PAQI (hJgМf risk) (22)
Рис. 8.13. Информ.ация о 4 уязвимостях
8.9. Sqlmap
Данный инструмент позволяет автоматизировать процесс поиска SQL
•инъекций и позволяет хакеру захватить серверы баз данных.
·················································•·••··················..··········ID
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
:\а1,:11111 11а I i1111, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
|
SQLm |
-инъекция (SQL Injection)-это тип атаки, при котором хакер изменяетw Click |
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
логику SQL запросов веб-приложения, что позволяет ему читать/изменять/ |
|
|
|
g |
|
|
|
|
|
|
|
|
|
g |
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
удалять значения в базе данных, а иногда-даже выполнять произвольный код на стороне сервера. Далее мы рассмотрим самый популярный инстру мент для поиска sqlmap.
На данный момент, SQL-инъекция является наиболее опасным типом уяз вимости из всех возможных. На протяжении последних 5 лет, лидирующую строчку "OWASP ТОР-1О" воз:главляют именно SQL инъекции.
Существует 5 основных причин возникновения этой уязвимости:
1.Недостаточный уровень или отсутствие валидации входных пара метров, в особенности пользовательского ввода. Если ты проектируешь систему, то ты должен понимать, что любой входной параметр, поступа ющий извне, должен проходить тщательную валидацию, прежде чем он передается в базу данных. Относись к каждому параметру так, как будто бы он содержит SQL-инъекцию. В некоторых случаях помогает провер ка содержимого параметра. Если он содержит SQL-операторы вроде
DELEТE, SELECT, UPDAТE, INSERT, ТRUNCAТE, СRЕАТЕ, DRОР-такой параметр не должен быть принят. Но такая проверка не всегда оправдана, например, если ты проектируешь блог, посвященный синтаксису SQL, то запросто такие операторы могут встречаться в статьях, которые пользова тели будут добавлять в базу данных при их написании.
2.Необоснованный и слабозащищенный доступ к базам данных. В эту категорию входят такие факторы как: большое количество администрато ров и супер-пользователей (root), слабая система аутентификации, боль шое количество прав для второстепенных администраторов и т.д.
3.Архитектура. Использование устаревших технологий, отсутствие кон трольных мер, пренебрежение методологией "моделирование угроз".
4.Наследственность заведомо уязвимого кода, использование готовых решений с низким уровнем безопасности. Это касается всевозможных плагинов, устанавливаемых в CMS. WordPress, например, довольно за щищенная система, чего не скажешь обо всех плагинах для нее. Бывает так, что установка одного плагина с "дырой" сводит на нет все старания по обеспечению безопасности.
5. Отсутс"Fвие должного уровня абстрагированности исполняемого
кода от данных. |
|
|
• |
--- ---- - ----- -- --------------------- - --- --- - - -- - - -- - - - - - - --- - - -- - - - -- - -- - - -- -- |
---- · |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
1. |
Х. ( Hi |
I |
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
В oтаблице 8.1 приводится описание всех типов SQL-инъекций, которые |
|
|
|
|
|
|
w Click |
|
|
|
|
|
|
m |
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
|
|
p |
|
|
|
|
держивает инструмент sqlmap. |
|
|
|
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
под |
|
|
|
|
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Таблица 8.1. Типы SQL-инъекций
|
Тип инъекции |
Описание |
|
|
|
|
|
Данный метод подразумевает, что httр |
|
|
запросы и ответы будут считываться посим |
|
|
вольно для обнаружения уязвимости. Как |
|
|
только уязвимый параметр будет найден, |
|
|
инструмент заменяет или добавляет синтак |
|
|
сически правиль_ныеоператоры SQL, ожидая |
|
Boolean Based Blind SQL |
реакции выполнения этого кода сервером. |
|
Injection |
SQLMap сравнивает оригинальный валид |
|
|
ный запрос с ответом от запроса с внедрен |
|
|
ным зловредным кодом. |
|
|
SQLMap использует ш горитм деления попо |
|
|
лам (Ьisectional algorithm) для выборки каж |
|
|
дого символа ответа с использованием мак |
|
|
симум семи НТТР-запросов |
|
|
|
|
|
Предполагает, что существует некоторое |
|
|
сравнение на основе времени запроса и отве |
|
|
та путем инъекции синтаксически правиль |
|
Time-Based Blind SQL |
ного оператора SQL в уязвимый параметр. |
|
Injection |
SQLMap использует операторы SQL, кото |
|
|
рые помещают базу данных в режим ожида |
|
|
ния для возврата на определенное количество |
|
|
времени |
|
|
|
|
|
Инструмент испщ1ьзует SQL-операторы, |
|
|
которые могут спровоцировать генерацию |
|
Error-Based SQL lnjection |
специфической ошибки. Утилита ищет ошиб |
|
ки в НТТР-ответе сервера. Метод сработает |
|
|
только в случае, если приложение настроено |
|
|
на раскрытие сообщений об ошибках |
|
- - - - - - - - - - - - -- - -- - - - - - - - - - - - - - - - |
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- |
•. |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
d |
|
|
F |
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
w Click |
|
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
-x cha |
|
|
o |
|
|
Вводится оператор UNION ALL SELECT. |
|
|
.c |
|
|
|
. |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
|
|
|
|
|
Инъекция, основанная на запросах UNION, |
|
|
|
|
|
|
|
|
|
работает на основе поведения приложения, |
|
|
|
|
|
|
|
|
|
т.е. когда приложение передает результат |
|
|
|
|
|
|
|
|
|
письменного запроса SELECT через опреде |
|
|
|
|
|
|
|
|
UNIONQuery |
ленный цикл или строку инструкций, кото |
|
|
|
|
|
|
|
|
|
рые позволяют выводить выходные данные |
|
|
|
|
|
|
|
|
|
на содержимое страницы. Если вывод не |
|
|
|
|
|
|
|
|
|
циклируется через какой-либо цикл for или |
|
|
|
|
|
|
|
|
|
другую строку операторов, SQLMap исполь |
|
|
|
|
|
|
|
|
|
зует однократную инъекцию запроса UNION |
|
|
|
|
|
|
|
|
|
Метод подразумевает использование сложен |
|
|
|
|
|
|
|
|
|
ных (не вложенных, а именно сложенных!) |
|
|
|
|
|
|
|
|
|
запросов. SQLMap добавляет точку с запятой |
|
|
|
|
|
|
|
|
|
(;) в значение уязвимого параметра и добав |
|
|
|
|
|
|
|
|
|
ляет инструкцию SQL, которая должна быть |
|
|
|
|
|
|
|
|
Stacked Query |
выполнена. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Используя эту технику, можно выполнять |
|
|
|
|
|
|
|
|
|
SQL-выражения, отличные от SELECТ. Это |
|
|
|
|
|
|
|
|
|
полезно для манипуляции данными, получе |
|
|
|
|
|
|
|
|
|
ния доступа на чтение и запись и, наконец, |
|
|
|
|
|
|
|
|
|
захвата операционной системой |
|
|
|
|
|
|
|
|
|
|
В этом методе используется вторичный или
другой канал связи для вывода результатов
запросов, запущенных в уязвимом приложе Out-Of-Band нии. Например, вставка выполняется в веб
приложение, а вторичный канал, такой как DNS-запросы, используется для пересылки
данных обратно на домен злоумышленника
С помощью sqlmap можно проверять, имеется ли в сайтах уязвимость.
Если сайт уязвим к SQL-инъекции, то возможно:
• Получать информацию из базы данных, в том числе дамп (всю) базу дан |
ных |
|
• |
|
|
...... . . - - - -- - - . . . . - - -- - - - --- -- - - - - - . . . . . |
- - - - -- · · ·· · . . . . . . . . . . . . . . |
- - --- - . · · - - --------· |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
X |
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
|
w |
|
|
|
|
• |
o |
Изменять и удалять информацию из базы данных |
|
|
|
|
|
|
w Click |
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
.c |
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
-xcha |
• |
|
|
Заливать шелл (бэкдор) на веб-сервер |
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
X |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
|
m |
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
-x cha |
|
|
|
|
Один из сценариев использования sqlmap:
•Получение имени пользователя и пароля из базы данных
•Поиск панелей администрирования сайта (админок)
•Вход в админку с полученным логином и паролем
При наличии уязвимости атака может развиваться по различным направле ниям:
•Модификация данных
•Заливка бэкдора
•Внедрение JavaScript кода дщ1 получения данных пользователей
•Внедрение кода для подцепления на BeEF
Как мы можем убедиться, SQL-инъекция - очень опасная уязвимость, кото рая дает хакеру большие возможности.
Найти инъекцию довольно просто, если она, конечно, есть. Представим, что у нас есть следующий адрес сайта http://www.dwib.org/faq2.php?id=4 (можно спокойно потренироваться на этом сайте, тебе ничего за это не будет!). В данном случае сценарию faq2.php передается параметр id со значением 4. Попробуем·проверить, можем ли мы что-то сделать с этим сайтом:
sqlrnap -u http://www.dwib.org/faq2.php?id=4
В процессе проверки sqlmap может задавать различные вопросы и на них нужно отвечать у (т.е. Да) или n (т.е. Нет). Буква у и n могут быть заглавными или маленькими. Заглавная буква означает выбор по умолчанию, если вы с ним согласны, то просто нажмите Enter.
• |
·-·· |
·-------·-------------------- |
- - - - - - - - - - - - - - - - - - - - - - - - -- - -- - - - - - - - - - - . - - - - - - - - - - - - - - - - - - - -
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
P |
|
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
|
i1111, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
'\а1,11111 11а I |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
Click |
|
|
Посмотримm |
вывод sqlmap (рис. 8.14). В данном случае sqlmap не нашел уязClick |
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
.c |
|
w |
|
|
|
|
|
|
|
.c |
|
|
|
. |
|
|
|
|
|
|
|
|
. |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
вимости, честно написав в отчете: |
GET parameter 'id' does not seem to Ье |
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
g |
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
injectaЬ/e.
Рис. 8.14. Отчет sqlmap
Также программа сообщает, что можно выполнить дополнительные тесты, указав опцию --risk. Делается это так:
sqlmap --risk 3 -u http://www.dwib.org/faq2.php?id=4
Данная опция может принимать целые значения от 1 до 3, 3 - наивысшая степень риска. Если и с этой опцией ничего не получится, значит, этот пара метр не уязвим и нужно найти какой-то другой параметр.
Полное описание работы этого инструмента выходит за рамки этой книги, но мы не оставим тебя без напутствий:
https:llmedium.com/@haeniken/sql-inj-sqlmap-rus-flc4d7jЬ1е68 https://xakep.ru/2011112/06/5795О/
-Этих двух ссьmок вполне будет достаточно для освоения данного инстру мента.
- - - - - - - - - - - - - --- - - - _,
