【技术分享】sqlmap源码解读(1)

  • A+
所属分类:安全文章

【技术分享】sqlmap源码解读(1)

 

【技术分享】sqlmap源码解读(1)

介绍

作为web渗透界的神器之一,无论是挖掘src或者渗透测试,不少的师傅们都离不开这个工具。他的强大也不只是简单地自动化注入,后续文章我会逐渐带大家熟悉这个工具的原理。其实网上已有大佬做了很多的分析,我将更细致更基础地进行分析

当然,一开始就直接拿最新版本分析是不妥的,目前该工具已经趋于完善,内置各种插件脚本,直接阅读将会受到很大的影响,因此我找到一个比较老且稳定的版本

【技术分享】sqlmap源码解读(1)

初始化

sqlmap全局变量如下

# 路径相关paths = advancedDict()# 配置相关conf = advancedDict()# 共享一些对象kb = advancedDict()# 临时对象temp = advancedDict()# 每个DBMS用到的语句queries = {}# 日志logger = LOGGER

全局变量使用的是自带dict和它实现了的advancedDict类型,具体代码并不是很复杂,初始化加入一个__initialised属性。在执行__init__的self.__initialised = True及之前时都会调用__setattr__,执行到第一个if条件进入,做到了在初始化的时候进行一些属性的赋值。后续以advancedDistObj.attr=value对advancedDictObj赋值时会直接走第2个和第3个条件。额,其实说这么多,sqlmap这样做是为了区别赋值方式,全局变量中凡是使用到advancedDict类型的在后续使用中只有advancedDistObj.attr=value这样的格式,而全局变量中的dict类型会使用dictObj[key]=value这样的格式

class advancedDict(dict):    ......    def __init__(self, indict=None, attribute=None):        ......        self.attribute = attribute        dict.__init__(self, indict)        self.__initialised = True    ......    def __setattr__(self, item, value):        if not self.__dict__.has_key('_advancedDict__initialised'):            return dict.__setattr__(self, item, value)        elif self.__dict__.has_key(item):            dict.__setattr__(self, item, value)        else:            self.__setitem__(item, value)

main函数

# 在全局变量path中初始化一些路径相关(输出目录等)setPaths()# 打印banner信息banner()# 解析命令行输入参数cmdLineOptions = cmdLineParser()# 初始化init(cmdLineOptions)if conf.start:    # 启动    start()

初始化部分代码量不小,简单概括如下:

  • 合并命令行的一些参数

  • 初始化日志相关

  • 初始化全局变量conf和kb

  • 过滤命令行参数的多于字符

  • 设置Cookie/Referer/UA头

  • 设置请求方法默认为GET

  • 处理HTTP基础认证头

  • 处理HTTP代理相关

  • 是否已知DBMS

  • 如果用户使用了谷歌语法这个功能进行处理

  • 初始化urllib2的opener

  • 尝试更新sqlmap版本和mssql的xml

  • 解析query的xml

mssql.xml:mssql的xml是一个类似数据库的文件,保存了每个版本的mssql的指纹信息(为了方便具体版本的识别)

<root>    <signatures release="2008">        <signature>            <version>                10.00.1750            </version>            <servicepack>                0+Q956718            </servicepack>        </signature>    ......    </signatures></root>

queries.xml:保存了注入需要用到的一些SQL语句

<dbms value="MySQL">        <cast query="CAST(%s AS CHAR(10000))"/>        <length query="LENGTH(%s)"/>        <isnull query="IFNULL(%s, ' ')"/>        <delimiter query=","/>        <limit query="LIMIT %d, %d"/>        <limitregexp query="s+LIMITs+([d]+)s*,s*([d]+)"/>        <limitgroupstart query="1"/>        <limitgroupstop query="2"/>        <limitstring query=" LIMIT "/>       ......

准备工作

根据输入参数得到URL后做基本的校验

def initTargetEnv():    # 正则结合分割字符串方式拿到url的host,port等基本信息    parseTargetUrl()    # 如果是GET注入的方式直接分割字符串拿到请求参数    # 如果是POST或HTTP头注入需要输入参数存在data文件,解析得到具体参数    __setRequestParams()    # 处理恢复功能(如果程序中断下次启动用到)    __setOutputResume()

检测是否连接成功(并没有采用requests而是使用原生urllib2)

checkConnection()

然后进行Cookie的封装,向用户询问使用新Cookie或提供的输入参数。如果没有进行Cookie注入会进行所有可能参数的注入检测,这也是核心的一部分

检测闭合符号

值得一看的是检测注入前先进行稳定性检测,延时请求三次目标页面,如果三次结果不一致认为是不稳定的

firstResult = Request.queryPage()    time.sleep(0.5)
secondResult = Request.queryPage() time.sleep(0.5)
thirdResult = Request.queryPage()
condition = firstResult == secondResult condition &= secondResult == thirdResult

检测每个参数是否动态,如果该参数不是动态的,也就是改变它不会造成页面改变,那么认为它不存在注入,将会检测下一个参数是否动态。而动态检测类似稳定性检测,都是三次请求页面对比结果

# 构造随机数    randInt = randomInt()    # 这个agent相当于是做了个字符串拼接    payload = agent.payload(place, parameter, value, str(randInt))    dynResult1 = Request.queryPage(payload, place)
# 如果改变这个参数但返回页面一致,认为它不是动态的 if kb.defaultResult == dynResult1: return False
logMsg = "confirming that %s parameter '%s' is dynamic" % (place, parameter) logger.info(logMsg)
payload = agent.payload(place, parameter, value, "'%s" % randomStr()) dynResult2 = Request.queryPage(payload, place)
payload = agent.payload(place, parameter, value, ""%s" % randomStr()) dynResult3 = Request.queryPage(payload, place)
condition = kb.defaultResult != dynResult2 condition |= kb.defaultResult != dynResult3

检测到可能存在注入的参数后,将会进行核心函数checkSqlInjection,检测是否存在注入以及注入类型。注意这里的注入类型不是报错注入盲注这样的意思,而是检测它的闭合符号,是id=0这样的数字注入还是key=value这样的字符串注入,而字符串注入又分为单双引号。下文的parenthesis是处理括号问题,例如select * from table where id=((1));,默认范围是0-4,即没有括号或最多三个括号,一般不会有超过三个括号的情况

注意到首先构造一个true的payload,如果返回结果和不包含payload的页面相等,进入第一个if。这时候构造一个false的payload,将结果再次对比,如果false和true的结果不一致,可以初步确认存在注入

    payload = agent.payload(place, parameter, value, "%s%s AND %s%d=%d" % (value, ")" * parenthesis, "(" * parenthesis, randInt, randInt))    trueResult = Request.queryPage(payload, place)
if trueResult == kb.defaultResult: payload = agent.payload(place, parameter, value, "%s%s AND %s%d=%d" % (value, ")" * parenthesis, "(" * parenthesis, randInt, randInt + 1)) falseResult = Request.queryPage(payload, place) if falseResult != kb.defaultResult: ......

进行最终确认的代码如下,由于这里是判断数字型注入,注意上面的初步判断使用的是randint随机数字,而不是randstr随机字符串。下方随机的字符串构造的payload在存在数字注入的情况下不可能注入成功,根据这个条件最终确认数字注入

          payload = agent.payload(place, parameter, value, "%s%s AND %s%s" % (value, ")" * parenthesis, "(" * parenthesis, randStr))            falseResult = Request.queryPage(payload, place)
if falseResult != kb.defaultResult: ...... return "numeric"

单双引号类型的注入基本逻辑类似,最终确认payload如下,and后的条件也是不可能满足的

            payload = agent.payload(place, parameter, value, "%s'%s and %s%s" % (value, ")" * parenthesis, "(" * parenthesis, randStr))

最终判断出注入类型会添加到injData中,如果有多个注入点会调用__selectInjection让用户自行选择一个

 if injType:        injData.append((place, parameter, injType)) ......if len(injData) == 1:    injDataSelected = injData[0]elif len(injData) > 1:    injDataSelected = __selectInjection(injData)
checkForParenthesis()检查最终是几个括号进行闭合的。createTargetDirs()函数创建输出目录。action()是核心部分的函数if condition: checkForParenthesis() createTargetDirs() action()

检测DBMS

action()函数首先在确认目标DBMS,因为不同数据库的语句和注入方式都有区别,首先初始化Handler,最后调用getFingerprint()方法

conf.dbmsHandler = setHandler()......conf.dbmsHandler.getFingerprint()

setHandler()中具体识别的插件是这里的每个Map。遍历dbmsMap拿到Map插件,直接()调用,并在后续使用checkDbms()函数进行检测

   dbmsMap   = (                  ( MYSQL_ALIASES, MySQLMap ),                  ( ORACLE_ALIASES, OracleMap ),                  ( PGSQL_ALIASES, PostgreSQLMap ),                  ( MSSQL_ALIASES, MSSQLServerMap ),                )
for dbmsAliases, dbmsEntry in dbmsMap: if conf.dbms and conf.dbms not in dbmsAliases: debugMsg = "skipping to test for %s" % dbmsNames[count] logger.debug(debugMsg) count += 1 continue
dbmsHandler = dbmsEntry()
if dbmsHandler.checkDbms(): if not conf.dbms or conf.dbms in dbmsAliases: kb.dbmsDetected = True
return dbmsHandler
return None

注意到一个基类,各种数据库的识别插件都继承自此类,其中的escape和unescape主要做编码和解码的作用

class Fingerprint:    @staticmethod    def unescape(expression)    @staticmethod    def escape(expression)    def getFingerprint(self)    def checkDbms(self)

无需具体分析每一个DBMS,可以重点关注大家最常用的MySQL,它的初始化又调用了Enumeration,无需关心,只是简单的一个类,包含很多MySQL相关的属性

class MySQLMap(Fingerprint, Enumeration, Filesystem, Takeover):    def __init__(self):        self.excludeDbsList = MYSQL_SYSTEM_DBS        Enumeration.__init__(self, "MySQL")
unescaper.setUnescape(MySQLMap.unescape)

跟入MySQL的checkDbms(),首先就看到大家比较熟悉的一个细节,判断是否大于5.0,因为MySQL5.0以上有至关重要的information_schema

if int(kb.dbmsVersion[0]) >= 5:    self.has_information_schema = True

初步判断版本逻辑,根据CONCAT语法逻辑进行判断。其中inject.getValue这个函数很复杂,后续分析,现在认为它是根据注入的语句返回注入的结果即可。这里有一个小坑:randInt * 2是什么意思?如果randInt是1,那么答案应该是11而不是2,因为randInt = str(randomInt(1))

randInt = str(randomInt(1))query = "CONCAT('%s', '%s')" % (randInt, randInt)
if inject.getValue(query) == (randInt * 2): logMsg = "confirming MySQL"

使用LENGTH函数再次确认

query = "LENGTH('%s')" % randInt
if not inject.getValue(query) == "1": warnMsg = "the back-end DMBS is not MySQL"

尝试从information_schema获取数据,如果可以拿到,说明是MySQL5.0以上

if inject.getValue("SELECT %s FROM information_schema.TABLES LIMIT 0, 1" % randInt) == randInt:    setDbms("MySQL 5")    self.has_information_schema = True

MySQL6某些小版本的检测。例如PARAMETERS表存放这存储过程和存储函数的参数信息以及存储函数的返回值,及我们一般意义上的存储过程和函数;PROFILING表提供了语句分析信息。这两个表分别在6.0.5和6.0.3版本提供

if inject.getValue("SELECT %s FROM information_schema.PARAMETERS LIMIT 0, 1" % randInt) == randInt:                    if inject.getValue("SELECT %s FROM information_schema.PROFILING LIMIT 0, 1" % randInt) == randInt:                        kb.dbmsVersion = [">= 6.0.5"]                    else:                        kb.dbmsVersion = [">= 6.0.3", "< 6.0.5"]

后续的代码可以跳过了,都是根据information_schema中某些表是否存在进行精确版本判断

【技术分享】sqlmap源码解读(1)

最后一个else使用了我们常用的函数self.banner = inject.getValue("VERSION()")

判断结束后,会在conf.dbmsHandler.getFingerprint()中格式化输出,而格式化输出中有再次校验DBMS的一个函数__commentCheck,这里用到一个技术正是大家绕WAF常用的:内敛版本注释。首先/* NoValue */请求确认响应和默认响应一致,然后构造内敛版本注释判断语句是否能正常执行,对版本信息进行再次确认

query   = agent.prefixQuery("/* NoValue */")query   = agent.postfixQuery(query)payload = agent.payload(newValue=query)result  = Request.queryPage(payload)
if result != kb.defaultResult: warnMsg = "unable to perform MySQL comment injection" logger.warn(warnMsg)
return None
# MySQL valid versions updated at 10/2008versions = ( (32200, 32233), # MySQL 3.22 (32300, 32354), # MySQL 3.23 (40000, 40024), # MySQL 4.0 (40100, 40122), # MySQL 4.1 (50000, 50072), # MySQL 5.0 (50100, 50129), # MySQL 5.1 (60000, 60008), # MySQL 6.0)......randInt = randomInt()version = str(version)query = agent.prefixQuery("/*!%s AND %d=%d*/" % (version, randInt, randInt + 1))query = agent.postfixQuery(query)payload = agent.payload(newValue=query)result = Request.queryPage(payload)
if result == kb.defaultResult: ......

确认完DBMS之后,将进行具体的注入,下一篇文章将分析,顺便分析至关重要的inject.getValue是如何做到传入一个注入表达式得到结果的【技术分享】sqlmap源码解读(1)


- End -
精彩推荐
【技术分享】OpenRASP xss算法的几种绕过方法
【技术分享】某网游刷坐骑、刷极品道具、刷经验漏洞实现分享
【技术分享】Struts2-001 远程代码执行漏洞浅析

【技术分享】sqlmap源码解读(1)
戳“阅读原文”查看更多内容

本文始发于微信公众号(安全客):【技术分享】sqlmap源码解读(1)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: