如何使用sqlmap對(duì)進(jìn)行php+MySQL注入，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

專(zhuān)注于為中小企業(yè)提供成都網(wǎng)站制作、成都做網(wǎng)站服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)普陀免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了成百上千家企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

1.1php注入點(diǎn)的發(fā)現(xiàn)及掃描

1.使用漏洞掃描工具進(jìn)行漏洞掃描

    將目標(biāo)url地址放在wvs中進(jìn)行漏洞掃描，如圖1所示，掃描結(jié)果顯示存在SQL盲注和SQL注入，其漏洞存在的參數(shù)為同一頁(yè)面。

圖1使用wvs掃描目標(biāo)網(wǎng)站

2.使用sqlmap工具對(duì)注入點(diǎn)進(jìn)行漏洞驗(yàn)證

   如圖2所示，使用sqlmap注入檢查命令進(jìn)行驗(yàn)證：

   驗(yàn)證結(jié)果顯示該url確實(shí)存在sql注入漏洞，且數(shù)據(jù)庫(kù)為mysql。

圖2使用sqlmap工具對(duì)注入點(diǎn)進(jìn)行漏洞驗(yàn)證

1.2使用sqlmap進(jìn)行sql注入測(cè)試

1.sql注入payload

   如圖3所示，通過(guò)sqlmap或者該注入點(diǎn)存在boolean-based blind、 AND/OR time-based blind 、UNION query三種類(lèi)型漏洞，跟wvs掃描結(jié)果一致。sqlmap漏洞測(cè)試完畢后會(huì)自動(dòng)給出相應(yīng)的payload，例如對(duì)第一個(gè)可以在瀏覽器中進(jìn)行測(cè)試：

圖3 sql注入payload

2.獲取當(dāng)前數(shù)據(jù)庫(kù)名稱(chēng)

獲取當(dāng)前數(shù)據(jù)庫(kù)為xbase，如圖4所示。

圖4獲取當(dāng)前數(shù)據(jù)庫(kù)名稱(chēng)

3.獲取當(dāng)前用戶(hù)

命令直接獲取當(dāng)前數(shù)據(jù)庫(kù)賬號(hào)為root@localhost，如圖5所示。

圖5獲取當(dāng)前數(shù)據(jù)庫(kù)用戶(hù)賬號(hào)

4.查看數(shù)據(jù)庫(kù)用戶(hù)及密碼

   由于本例注入點(diǎn)是mysql root賬號(hào)，因此可以通過(guò)sqlmap命令來(lái)查看數(shù)據(jù)庫(kù)用戶(hù)（--users）及數(shù)據(jù)庫(kù)密碼(--password)，如圖6所示，執(zhí)行命令如下：

圖6查看數(shù)據(jù)庫(kù)用戶(hù)及密碼

5.破解并獲取數(shù)據(jù)庫(kù)明文密碼

（1）在線(xiàn)破解并整理數(shù)據(jù)庫(kù)密碼

   將密碼哈希值去掉前面的“*”號(hào)，將其復(fù)制到www.cmd5.com及somd5.com進(jìn)行破解，注意該值需要選擇密碼類(lèi)型mysql5，整理查詢(xún)結(jié)果如下所示：

（2）還可以通過(guò)--sql-shell直接查詢(xún)數(shù)據(jù)庫(kù)用戶(hù)及密碼

   執(zhí)行上面命令后，通過(guò)查詢(xún)命令來(lái)獲取密碼，如圖7所示：

圖7查詢(xún)mysql數(shù)據(jù)庫(kù)host、user及密碼

（3）對(duì)服務(wù)器端口進(jìn)行掃描

masscan -p 3306 114.**.***.***

如果開(kāi)放數(shù)據(jù)庫(kù)端口，則可以直接進(jìn)行連接，掃描結(jié)果顯示僅僅開(kāi)放80端口。

6.一些常用的sqlmap命令總結(jié)

1.3php網(wǎng)站webshell獲取

（4）后臺(tái)文件上傳漏洞利用及獲取

   通過(guò)注入點(diǎn)獲取管理員密碼及后臺(tái)地址，登錄后臺(tái)尋找上傳地址及上傳漏洞來(lái)獲取webshell。

（5）文件包含漏洞來(lái)獲取webshell

2.直接獲取webshell失敗

   對(duì)于root賬號(hào)而言，一般情況都可以通過(guò)--os-shell命令來(lái)獲取webshell，如圖8所示，執(zhí)行命令后，并未獲取shell。

圖8獲取shell失敗

3.獲取真實(shí)物理路徑

   通過(guò)測(cè)試，在網(wǎng)站根目錄下發(fā)現(xiàn)存在phpinfo頁(yè)面，如圖9所示，在該頁(yè)面中可以看到數(shù)據(jù)庫(kù)為內(nèi)網(wǎng)IP地址192.168.77.88，真實(shí)物理路徑為/usr/local/apache/htdocs

圖9獲取網(wǎng)站正式路徑

4.寫(xiě)入文件測(cè)試

   知道物理路徑，可以通過(guò)sqlmap進(jìn)行文件讀取和寫(xiě)入命令，執(zhí)行命令：

sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 --file-write="C:\tools\sqlmap\1.php"  --file-dest="/usr/local/apache/htdocs/happystudy/shell.php"

   如圖10所示，sqlmap執(zhí)行命令成功，通過(guò)url對(duì)文件進(jìn)行訪(fǎng)問(wèn)測(cè)試，頁(yè)面不存在。

圖10寫(xiě)入文件測(cè)試

5.本地搭建環(huán)境測(cè)試寫(xiě)入文件

   前面寫(xiě)入文件執(zhí)行成功，懷疑是命令有問(wèn)題，因此在本地搭建環(huán)境進(jìn)行測(cè)試，測(cè)試命令為：

sqlmap.py -d mysql://root:123456@172.17.26.16:3306/mysql  --file-write="C:\tools\sqlmap\1.php"  --file-dest="C:\ComsenzEXP\wwwroot\shell.php"

   結(jié)果在C:\ComsenzEXP\wwwroot\目錄下成功寫(xiě)入shell.php文件，為此分析原因可能為：

（1）該目錄無(wú)寫(xiě)入權(quán)限

（2）magic_quotes_gpc值為on

6.嘗試general_log文件獲取webshell方法

（1）查看genera文件配置情況

（2）關(guān)閉general_log

（3）通過(guò)general_log選項(xiàng)來(lái)獲取webshell

   由于以上命令需要在mysql客戶(hù)端命令行或者phpmyadmin中進(jìn)行執(zhí)行，本案例中不具備，通過(guò)--sql-shell以及--sql-query命令均未能實(shí)現(xiàn)。

7.使用pangolin工具進(jìn)行導(dǎo)出webshell

   如圖11所示，通過(guò)pangolin對(duì)該sql注入地址進(jìn)行測(cè)試，嘗試將webshell導(dǎo)出到網(wǎng)站根目錄/usr/local/apache/htdocs/xxx.php文件，結(jié)果顯示跟前面的分析情況一致。

圖11使用pangolin工具進(jìn)行導(dǎo)出webshell失敗

8.讀取文件測(cè)試

（1）讀取文件

   如圖12所示，依次執(zhí)行命令，分別讀取/etc/passwd、/usr/local/apache/htdocs/index.php等文件

sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 --file-read="/usr/local/apache/htdocs/index.php"[/align]

[align=left]sqlmap.py -u http://www.***.com.cn/happystudy/happystudy_info.php?idnow=34 --file-read="/etc/passwd"  [/align]

[align=left]

圖12讀取系統(tǒng)文件及其他文件

（2）獲取數(shù)據(jù)庫(kù)密碼

sqlmap會(huì)將獲取的文件自動(dòng)保存到當(dāng)前系統(tǒng)用戶(hù)下C:\Users\john\.sqlmap\output\www.****.com.cn\files，如圖13所示，讀取conn.php文件的內(nèi)容，成功獲取數(shù)據(jù)庫(kù)root賬號(hào)密碼。

圖13讀取源代碼獲取root密碼

1.4艱難的后臺(tái)地址獲取

1.使用havij對(duì)后臺(tái)進(jìn)行掃描

   如圖14所示，通過(guò)havij等工具對(duì)目標(biāo)后臺(tái)地址進(jìn)行獲取，在本例中獲取的是普通用戶(hù)的登錄地址，未獲取真正的后臺(tái)地址。

圖14使用havij對(duì)后臺(tái)地址進(jìn)行掃描

2.通過(guò)google成功獲取后臺(tái)地址

   后面使用百度對(duì)該url地址進(jìn)行查詢(xún)“site:somesite.com 后臺(tái)管理”未能獲取相關(guān)信息，但在google中成功獲取其后臺(tái)地址，如圖15所示。有時(shí)候google黑客技術(shù)還是挺管用的。從url中可以看到該管理地址很難掃描獲取。

圖15成功獲取后臺(tái)管理地址

3.獲取真正的管理表

   通過(guò)sqlmap對(duì)該數(shù)據(jù)庫(kù)中所有的表進(jìn)行查詢(xún)，發(fā)現(xiàn)存在多個(gè)涉及密碼的表，admin、admin_files、admin_groups、tb_admin，依次進(jìn)行和密碼破解，將其進(jìn)行后臺(tái)登陸，均為成功登錄。后面通過(guò)讀取登錄地址的源代碼成功獲取，其真正的管理員表為tygb，如圖16所示，通過(guò)sql-shell進(jìn)行查詢(xún)：select * from tygb

圖16獲取真正的管理表

4.登錄后臺(tái)管理

   如圖17所示，登錄成功后，可以看到其cms系統(tǒng)存在多個(gè)系統(tǒng)，對(duì)每個(gè)管理入口進(jìn)行查看和測(cè)試，雖然某些模塊存在上傳，經(jīng)過(guò)測(cè)試，無(wú)寫(xiě)入權(quán)限。

圖17登錄后臺(tái)進(jìn)行管理

5.fckeditor漏洞驗(yàn)證

   在后臺(tái)中發(fā)現(xiàn)其使用了fckeditor編輯器，成功找到其fckeditor編輯器文件測(cè)試頁(yè)面，并對(duì)其進(jìn)行測(cè)試，如圖18，有無(wú)文件權(quán)限問(wèn)題，該漏洞無(wú)法利用。

圖18文件上傳漏洞無(wú)法利用

6.網(wǎng)站旁注漏洞利用失敗

    后面對(duì)該目標(biāo)網(wǎng)站進(jìn)行同IP地址域名反查，發(fā)現(xiàn)該IP下存在多個(gè)域名，通過(guò)仔細(xì)的核對(duì)，發(fā)現(xiàn)前面的sql注入點(diǎn)可以讀取其數(shù)據(jù)庫(kù)，通過(guò)獲取后臺(tái)密碼，成功進(jìn)入后臺(tái)，但也無(wú)用，系統(tǒng)存在錯(cuò)誤，fckeditor無(wú)法上傳文件，也無(wú)法寫(xiě)入文件。

1.5php網(wǎng)站sql注入防御及總結(jié)

1.滲透總結(jié)

（1）本次滲透主要在于對(duì)mysql+php架構(gòu)下sql注入點(diǎn)注入漏洞sqlmap的利用

（2）利用sqlmap的文件讀取和寫(xiě)入功能寫(xiě)入webshell

（3）有些情況下即使存在漏洞，也可能無(wú)法獲取webshell

2.php網(wǎng)站sql注入防御

（1）過(guò)濾一些常見(jiàn)的數(shù)據(jù)庫(kù)操作關(guān)鍵字,例如對(duì)select ,insert,update,delete,and,*等或通過(guò)系統(tǒng)函數(shù)addslashes對(duì)內(nèi)容進(jìn)行過(guò)濾。

（2）php配置文件php.ini中register_globals=off;設(shè)置為關(guān)閉狀態(tài)

（3）對(duì)于sql語(yǔ)句加以封裝,避免直接暴漏SQL語(yǔ)句

（4）開(kāi)啟PHP安全模式safe_mode=on

（5）打開(kāi)magic_quotes_gpc來(lái)防止SQL注入,默認(rèn)為關(guān)閉,開(kāi)啟后自動(dòng)把用戶(hù)提交sql查詢(xún)語(yǔ)句進(jìn)行轉(zhuǎn)換把"'"轉(zhuǎn)換成"\'"

（6）控制錯(cuò)誤信息輸出，關(guān)閉錯(cuò)誤信息提示，將錯(cuò)誤信息寫(xiě)到系統(tǒng)日志。

（7）網(wǎng)站安裝waf防護(hù)軟件

看完上述內(nèi)容，你們掌握如何使用sqlmap對(duì)進(jìn)行php+mysql注入的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！