记一次基于Union的sqlmap自定义payload

01.3W+0
华盟原创文章投稿奖励计划

hw期间某晚上10点,某知名小朋友审计了一套bc源码,有sql注入,注入的位置比较刁钻,sqlmap无法识别,不能取证

注入场景 

pay.php?id=pay`+/*_*/where+false 注入error 
pay.php?id=pay`+/*_*/where+false# 注入正常

自动草稿

自动草稿

sqlmap无法识别

自动草稿

注入位置比较刁钻,小朋友说得保留

pay`+/*_*/where+false

字段才可控,

在网上搜了一圈,没有找到基于union的自定义查询,于是下了些功夫,研究了sqlmap的union注入流程

union注入流程

union联合查询,用于合并左右两侧select语句的结果,得要求两侧select的列数相同,两侧select列数不同发生error,那注入就失败;因此
union注入必须得先进行order by的判断确定列数,后续才能拼接子查询测试。

自动草稿

自动草稿

所以,站点union注入失败的原因在于order by测试没命中

自动草稿

sqlmap测试union注入的文件在data\xml\payloads\union_query.xml
根据发包提示信息和order by相关的是”Generic UNION query”模板

自动草稿

网上转了一圈,参考报错注入和时间注入的修改request和response两处标签,通过正则等方式去匹配命中,发现无法过编译,
后续测试,union_query.xml的标签[vector]、[request]、[response]不可控,(修改后测试流程依旧没变化)。

猜测可能和子句测试有关,站在sqlmap的视角,他肯定是无法识别当前子句注入方式的,比如位置是在where后可控还是order by后可控,或者是逻辑符可控,比如例示列名
(SELECT * FROM users ORDER BY column_name)等,得构造某特定的类型才能识别,自定义类型,跟进到xml/payloads/boundaries.xml

自定义payload

boundaries文件几处属性是控制自定义字符的,preffix和suffix,把这里的preffix改为站点的自定义字段

自动草稿

然后得考虑该字段如何去和union模板里的test组合问题,网上转了一圈,当boundaries的clause和where属性值包含union模板的clause、where两个属性值即会匹配组合

clause取值为1-9,联合查询有关的子查询有 where、order by,取值为1,3

自动草稿

where取值为1-3,where标签,用来确定整体注入payload的插入位置,比如第一个注入参数,取值为1,第二个注入参数,取值为2,这里就默认为1

自动草稿 

<boundary>
    <level>1</level>
    <clause>1,2</clause>
    <where>1</where>
    <ptype>1</ptype>
    <prefix>pay`+/*_*/where+false</prefix>
    <suffix>#</suffix>
</boundary>

观察union模板的”Generic UNION query” where、clause标签是否能匹配

自动草稿

没啥问题,发包测试

测试问题

再测试已经能识别到自定义的payload了,但探测的深度很有限,order by的注入得取两个值,一大一小来确定字段,从发包payload来看只发了order by 1

自动草稿

把流量挂到burp看看,代理后,再次发包

自动草稿 

pay`+/*_*/where+false order by 1# pay`+/*_*/where+false order by 4839#

这里命中了,但没识别出order by的注入

编码问题

在这折腾了好久,觉得是sqlmap的版本原因,下载了最新的版本,再次发包,再测试发现order by 4839#这部分包又不测试了,觉得是代理的问题,于是换了socks发现也一样,后续发现报文出问题了

自动草稿

sqlmap报文编码导致自定义的字符失效了,被编码了%2B%2F%2A_%2A%2F

burp做个发包替换, 

%2B%2F%2A_%2A%2F->pay`+/*_*/where
识别注入

识别成功,order by

自动草稿

后续的流程就很简单了,识别到order by 判断列数,union子查询拼接case条件从句

自动草稿

取证完成

自动草稿

扩展思路

自定义后缀

后续发现一种更便捷的方式,不用修改boundary,自定义前后缀,在sqlmap发包的时候提供 

preffix="pay`+/*_*/where" suffix="#" technique=U

这样发包会更精准,由于提供了前缀,sqlma后续不会从boundary取注入符,会调用默认的clause和where去匹配union_query.xml里的test模板,免去了其他符号的测试

完整参数

自动草稿 

 --proxy=https://127.0.0.1:8080 --prefix=pay`+/*_*/where+false --suffix=# -v 3 --technique U

首发于奇安信攻防社区:https://forum.butian.net/share/3708

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
渗透测试
喜欢就支持一下吧
点赞0 分享
guaigou的头像-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!-华盟网
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
HW在即,今日分享|常用的渗透测试工具及相关资料整理,查收!
2年前 29.1W+
重磅|华盟HW工程师招募-华盟网
重磅|华盟HW工程师招募
重磅|华盟HW工程师招募
4年前 27.4W+
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”-华盟网
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”
4年前 25.8W+
挖矿病毒“盯上”了 Docker 服务器-华盟网
挖矿病毒“盯上”了 Docker 服务器
挖矿病毒“盯上”了 Docker 服务器
4年前 24.1W+
让所有反病毒引擎都无法检测到的恶意软件出现了!-华盟网
让所有反病毒引擎都无法检测到的恶意软件出现了!
让所有反病毒引擎都无法检测到的恶意软件出现了!
4年前 23.8W+
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗-华盟网
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
功能太强大!网络犯罪论坛新成员Prynt Stealer无所不盗
4年前 23.1W+
相关推荐
一个免杀钓鱼思路分享-华盟网
一个免杀钓鱼思路分享
一个免杀钓鱼思路分享
6年前 22.6W+
实战 | 记一次较为详细的代码审计过程-华盟网
实战 | 记一次较为详细的代码审计过程
实战 | 记一次较为详细的代码审计过程
4年前 17.1W+
实战 | 记一次较为详细的代码审计过程-华盟网
实战 | 记一次较为详细的代码审计过程
实战 | 记一次较为详细的代码审计过程
4年前 15.9W+
【渗透测试】看怎么搞定黄网!-华盟网
【渗透测试】看怎么搞定黄网!
【渗透测试】看怎么搞定黄网!
10年前 15.9W+
使用LUKS加密分区-华盟网
使用LUKS加密分区
使用LUKS加密分区
8年前 15.5W+
解码内置不安全“加密芯片”的勒索软件Gomasom-华盟网
解码内置不安全“加密芯片”的勒索软件Gomasom
解码内置不安全“加密芯片”的勒索软件Gomasom
9年前 15.1W+
评论 抢沙发

请登录后发表评论

    暂无评论内容