20189224《网络攻防实践》第五周学习总结

教材学习内容总结（教材十一，十二章）

（500字以内总结一下本周学习内容）

教材学习中的问题和解决过程

视频学习中的问题和解决过程（视频16-20）

数据库评估

• bbqsql
  BBQSQL是一个Python编写的盲注工具（blind SQL injection framework），当你检测可疑的注入漏洞时会很有用。同时BBQSQL是一个半自动工具，允许客户自定义参数。BBQSQL最重要的是它不关心数据或数据库，而大多数SQL注入工具是要具体的数据库或语言建立的。
  
  
  
  BBQSQL特征:
  1）利用SQL盲注漏洞
  2）半自动
  3）与数据库无关
  4）多功能
  5）利用两种搜索技术（二元搜索和按频次搜索）
  6）并发的HTTP请求
  7）配置导入/导出
  8)自定义的Hooks
  9)高速
• DBPwAudit(数据库用户名密码枚举工具)
  功能：通过挂载字典对目标数据库进行密码暴力猜解，目
  前支持的数据库包括SQLServer、MySQL、Oracle、DB2
  程序位置：/pentest/database/dbpwaudit/
  驱动位置：/pentest/database/dbpwaudit/jdbc/

1. 破解SQLServer数据库命令实例
   ./dbpwaudit.sh -s IP -d master -D mssql -U username -P password
2. 破解MySQL数据库命令实例
   ./dbpwaudit.sh -s IP -d mysql -D mysql -U username -P password

• HexorBase
  有图形界面工具，它支持MySQL、Oracle、PostgreSQL、SQLite和SQL Server五大主流数据库。它允许安全人员指定用户字典和密码字典，然后实施字典攻击。同时，它还提供对应的图形界面客户端，允许安全人员使用破解出的用户名和密码，对数据库进行远程管理。
  
• jSQL Injection
  jSQL injection是一款由JAVA开法的SQL自动化注入工具，它提供了数据库查询、后台爆破、文件读取、Web shell、SQL Shell、文件上传、暴力枚举、编码、批量注入测试等强大的功能，是一款非常不错的工具，也是渗透测试人员的强大助手。它支持GET\POST注入，同时也可以进行HTTP头注入（这个需要用户自动构建）。对于JSQL，用户可以通过在终端中直接输入jsql，之后会直接调用,jsql对于哪些网站搭建在Nginx上目标站点来说是一款非常不错的测试工具，当然有时候所测试出的结果也不一定正确，建议对于一些SQL注入点还是可以先手工判断，之后通过SQLmap、jsql进行测试，不同工具结果存在差异。将存在注入漏洞的URL贴进来即可进行响应的漏洞利用。
  
• MDBTools
  包括MDB-Export（Export data in an MDB database table to CVS format)，以及MDB-Dump，mdb-prasecvs，mdb-sql，mdb-table等子工具，具体环境具体使用。
  
• oscanner
  使用Java语言编写。它可以采用字典方式，枚举Oracle服务的Sid、密码、版本号、账户角色、账户权限、账户哈希值、安全审计信息、密码策略、数据库链等内容。虽然该工具提供了一些最常用的字典值，但在实际使用中，用户还是需要自己额外添加字典值，以提高枚举的成功率。通过枚举获取信息后，就可以根据进行下一步的渗透测试。
  
• SIDGusser
  针对Oracle的SID进行暴力枚举的工具。SID为Oracle连接字符串，通过实例名+用户+密码连接
  
• sqldict
  是一个WIndows程序，运行时会自动调用Kali Linux内置的Wine组件。渗透测试人员只要指定目标IP地址、账户名和密码字典，就可以实施密码爆破。
• tnscmd10g
  Oracle服务器通常都配置TNS，用来管理和配置客户端和数据库的连接。每个Oracle服务器都会运行一个TNS监听器进程tnslsnr用来处理客户端和服务器的数据传输。该接口默认工作在TCP 1521端口。由于该监听器在验证请求的身份之前，可以对部分命令进行响应，所以造成一定程度的漏洞。Kali Linux提供的tnscmd10g工具可以利用该漏洞。使用该工具，用户可以获取数据库的版本信息、服务信息、配置信息，甚至可以关闭TNS服务，导致客户端无法连接服务器。
  
  
  
• sqlsus
  sqlsus是一个开放源代码的MySQL注入和接管工具，sqlsus使用perl编写，基于命令行界面。sqlsus可以获取数据库结构，注入你自己的SQL语句，从服务器下载文件，爬行web站点可写目录，上传和控制后门，克隆数据库等等。最好用的两点就是注射获取数据速度非常快，另一个最大的特点就是自动搜索可写目录。
  1）生成配置文件
  
  2）编辑配置文件
  
  3）修改 our $url_start = "":写入地址
  4）启动并且测试sqlsus test.conf
  5）获取数据库数据
  6）查看全部数据库名字
  7）sqlsus > get database
• sqlninja
  一个专门针对Microsoft SQL Server的sql注入工具
  可找到远程SQL服务器的标志和特征(版本、用户执行的查询、用户特权、xp_cmdshell的可用性、身份验证模式等)
  “sa”口令的强力攻击
  如果找到口令后，就将特权提升到“sa”
  如果原始的xp_cmdshell被禁用后，就创建一个定制的xp_cmdshell。
  使用纯粹的ASCII GET/POST请求来上载netcat.exe程序(以及其它任何可执行的程序)，因此并不需要FTP连接。
  为了找到目标网络的防火墙所允许的端口，可以实施针对目标SQL　服务器的TCP/UDP端口扫描。
  逃避技术，这是为了使注入式代码“模糊”不清，并且混淆/绕过基于签名的IPS和应用层防火墙。
  采用“盲目执行”攻击模式，在其它模式失效时，可以用于发布命令并执行诊断。
  在sqlninja生成的SQL代码上，执行的是自动化的URL编码，这使得用户可以更精细地控制漏洞利用的字符串。
  如果得到权限为sa，可以结合msf进一步对目标主机进行渗透。
  sqlninja的一些常用命令.

./sqlninja
       -m <mode> : Required. Available modes are:  //加载modle
         t/test - test whether the injection is working   //测试注入点是否可用
         f/fingerprint - fingerprint user, xp_cmdshell and more
         b/bruteforce - bruteforce sa account //爆破sa口令用的。。可以-w指定字典，也可以不使用字典，这样sqlninja就会自己穷举
         e/escalation - add user to sysadmin server role
         x/resurrectxp - try to recreate xp_cmdshell  //尝试创建
         u/upload - upload a .scr file   //上传
         s/dirshell - start a direct shell  //获得一个目标主机的shell
         k/backscan - look for an open outbound port  //查找目标主机允许哪些端口外连
         r/revshell - start a reverse shell  //反弹shell
         d/dnstunnel - attempt a dns tunneled shell
         c/sqlcmd - issue a 'blind' OS command //执行系统命令，如果为sa的话直接可以net user
         m/metasploit - wrapper to Metasploit stagers  //配合msf使用
       -f <file> : configuration file (default: sqlninja.conf) //配置sqlninja.conf文件
       -p <password> : sa password
       -w <wordlist> : wordlist to use in bruteforce mode (dictionary methodonly) //字典文件的路径。。爆破sa密码用的
       -v : verbose output
       -d <mode> : activate debug //调试模式
         1 - print each injected command
         2 - print each raw HTTP request
         3 - print each raw HTTP response
         all - all of the above

在-f下面又有以下参数

   0 - Database version (2000/2005)   //检测当前数据库版本
   1 - Database user   //当前数据库用户
   2 - Database user rights  //当前数据库用户权限
   3 - Whether xp_cmdshell is working  //检查xp_cmdshell是否可以用
   4 - Whether mixed or Windows-only authentication is used  //是否windows本地系统权限
   a - All of the above  //以上所有选项
   h - Print this menu   //显示当前帮助菜单
   q - exit  //退出

注入连接写到配置文件中

# GET EXAMPLE:
--httprequest_start--
GET http://www.xxx.com/informationdetail.aspx?id=11&titleid=%e3h;__SQL2INJECT__ HTTP/1.1
Host: www.xxxx.com
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept:*/*
Accept-Language: en-us,en;q=0.7,it;q=0.3
Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
Connection: Keep-alive
--httprequest_end--
#
# POST EXAMPLE: (The Content-Length Header is automatically added by sqlninja!)
# --httprequest_start--
# POST https://www.victim.com/page.asp HTTP/1.0
# Host: www.victim.com
# User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.13) Gecko/20060418 Firefox/1.0.8
# Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*
# Accept-Language: en-us,en;q=0.7,it;q=0.3
# Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
# Content-Type: application/x-www-form-urlencoded
# Cookie: ASPSESSIONID=xxxxxxxxxxxxxxxxxxxx
# Authorization: Basic yyyyyyyyyyyyyyyyyyyyy
# Connection: close
#
# vulnerableparam=aaa';__SQL2INJECT__&otherparam=blah
# --httprequest_end--
#
# HEADER-BASED EXAMPLE:
# --httprequest_start--
# GET http://www.victim.com/page.asp HTTP/1.0
# Host: www.victim.com
# User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.13) Gecko/20060418 Firefox/1.0.8
# Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*
# Accept-Language: en-us,en;q=0.7,it;q=0.3
# Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
# Content-Type: application/x-www-form-urlencoded
# Cookie: VulnCookie=xxx'%3B__SQL2INJECT__
# Connection: close
# --httprequest_end--
#

• sqlmap
  sqlmap是一个开源的渗透测试工具，它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。Sqlmap配有强大的侦测引擎，适用于高级渗透测试用户，不仅可以获得不同数据库的指纹信息，哈可以从数据库中提取数据，此外还能够处理潜在的文件系统以及通过带外数据连接执行系统命令等。

Usage: python sqlmap [options]

Options:
  -h, --help            Show basic help message and exit
  -hh                   Show advanced help message and exit
  --version             Show program's version number and exit
  -v VERBOSE            Verbosity level: 0-6 (default 1)

  Target:
    At least one of these options has to be provided to define the
    target(s)

    -u URL, --url=URL   Target URL (e.g. "http://www.site.com/vuln.php?id=1")
    -g GOOGLEDORK       Process Google dork results as target URLs

  Request:
    These options can be used to specify how to connect to the target URL

    --data=DATA         Data string to be sent through POST
    --cookie=COOKIE     HTTP Cookie header value
    --random-agent      Use randomly selected HTTP User-Agent header value
    --proxy=PROXY       Use a proxy to connect to the target URL
    --tor               Use Tor anonymity network
    --check-tor         Check to see if Tor is used properly

  Injection:
    These options can be used to specify which parameters to test for,
    provide custom injection payloads and optional tampering scripts

    -p TESTPARAMETER    Testable parameter(s)
    --dbms=DBMS         Force back-end DBMS to this value

  Detection:
    These options can be used to customize the detection phase

    --level=LEVEL       Level of tests to perform (1-5, default 1)
    --risk=RISK         Risk of tests to perform (1-3, default 1)

  Techniques:
    These options can be used to tweak testing of specific SQL injection
    techniques

    --technique=TECH    SQL injection techniques to use (default "BEUSTQ")

  Enumeration:
    These options can be used to enumerate the back-end database
    management system information, structure and data contained in the
    tables. Moreover you can run your own SQL statements

    -a, --all           Retrieve everything
    -b, --banner        Retrieve DBMS banner
    --current-user      Retrieve DBMS current user
    --current-db        Retrieve DBMS current database
    --passwords         Enumerate DBMS users password hashes
    --tables            Enumerate DBMS database tables
    --columns           Enumerate DBMS database table columns
    --schema            Enumerate DBMS schema
    --dump              Dump DBMS database table entries
    --dump-all          Dump all DBMS databases tables entries
    -D DB               DBMS database to enumerate
    -T TBL              DBMS database table(s) to enumerate
    -C COL              DBMS database table column(s) to enumerate

  Operating system access:
    These options can be used to access the back-end database management
    system underlying operating system

    --os-shell          Prompt for an interactive operating system shell
    --os-pwn            Prompt for an OOB shell, Meterpreter or VNC

  General:
    These options can be used to set some general working parameters

    --batch             Never ask for user input, use the default behaviour
    --flush-session     Flush session files for current target

  Miscellaneous:
    --sqlmap-shell      Prompt for an interactive sqlmap shell
    --wizard            Simple wizard interface for beginner users

[!] to see full list of options run with '-hh'

Web应用代理

其他（感悟、思考等，可选）

参考资料

• 网络攻防技术与实践 (官网)

20189224《网络攻防实践》第五周学习总结

原文：https://www.cnblogs.com/20189224sxy/p/10633320.html