【技术分享】sqlmap源码解读（1）

介绍

作为web渗透界的神器之一，无论是挖掘src或者渗透测试，不少的师傅们都离不开这个工具。他的强大也不只是简单地自动化注入，后续文章我会逐渐带大家熟悉这个工具的原理。其实网上已有大佬做了很多的分析，我将更细致更基础地进行分析

当然，一开始就直接拿最新版本分析是不妥的，目前该工具已经趋于完善，内置各种插件脚本，直接阅读将会受到很大的影响，因此我找到一个比较老且稳定的版本

初始化

sqlmap全局变量如下

# 路径相关paths = advancedDict()# 配置相关conf = advancedDict()# 共享一些对象kb = advancedDict()# 临时对象temp = advancedDict()# 每个DBMS用到的语句queries = {}# 日志logger = LOGGER

全局变量使用的是自带dict和它实现了的advancedDict类型，具体代码并不是很复杂，初始化加入一个__initialised属性。在执行__init__的self.__initialised = True及之前时都会调用__setattr__，执行到第一个if条件进入，做到了在初始化的时候进行一些属性的赋值。后续以advancedDistObj.attr=value对advancedDictObj赋值时会直接走第2个和第3个条件。额，其实说这么多，sqlmap这样做是为了区别赋值方式，全局变量中凡是使用到advancedDict类型的在后续使用中只有advancedDistObj.attr=value这样的格式，而全局变量中的dict类型会使用dictObj[key]=value这样的格式
class advancedDict(dict):    ......    def __init__(self, indict=None, attribute=None):        ......        self.attribute = attribute        dict.__init__(self, indict)        self.__initialised = True    ......    def __setattr__(self, item, value):        if not self.__dict__.has_key('_advancedDict__initialised'):            return dict.__setattr__(self, item, value)        elif self.__dict__.has_key(item):            dict.__setattr__(self, item, value)        else:            self.__setitem__(item, value)

main函数
# 在全局变量path中初始化一些路径相关（输出目录等）setPaths()# 打印banner信息banner()# 解析命令行输入参数cmdLineOptions = cmdLineParser()# 初始化init(cmdLineOptions)if conf.start:    # 启动    start()

初始化部分代码量不小，简单概括如下：


合并命令行的一些参数


初始化日志相关


初始化全局变量conf和kb


过滤命令行参数的多于字符


设置Cookie/Referer/UA头


设置请求方法默认为GET


处理HTTP基础认证头


处理HTTP代理相关


是否已知DBMS


如果用户使用了谷歌语法这个功能进行处理


初始化urllib2的opener


尝试更新sqlmap版本和mssql的xml


解析query的xml


mssql.xml：mssql的xml是一个类似数据库的文件，保存了每个版本的mssql的指纹信息（为了方便具体版本的识别）
<root>    <signatures release="2008">        <signature>            <version>                10.00.1750            </version>            <servicepack>                0+Q956718            </servicepack>        </signature>    ......    </signatures></root>

queries.xml：保存了注入需要用到的一些SQL语句




<dbms value="MySQL">        <cast query="CAST(%s AS CHAR(10000))"/>        <length query="LENGTH(%s)"/>        <isnull query="IFNULL(%s, ' ')"/>        <delimiter query=","/>        <limit query="LIMIT %d, %d"/>        <limitregexp query="s+LIMITs+([d]+)s*,s*([d]+)"/>        <limitgroupstart query="1"/>        <limitgroupstop query="2"/>        <limitstring query=" LIMIT "/>       ......

准备工作
根据输入参数得到URL后做基本的校验
def initTargetEnv():    # 正则结合分割字符串方式拿到url的host,port等基本信息    parseTargetUrl()    # 如果是GET注入的方式直接分割字符串拿到请求参数    # 如果是POST或HTTP头注入需要输入参数存在data文件，解析得到具体参数    __setRequestParams()    # 处理恢复功能（如果程序中断下次启动用到）    __setOutputResume()

检测是否连接成功（并没有采用requests而是使用原生urllib2）
checkConnection()

然后进行Cookie的封装，向用户询问使用新Cookie或提供的输入参数。如果没有进行Cookie注入会进行所有可能参数的注入检测，这也是核心的一部分
检测闭合符号
值得一看的是检测注入前先进行稳定性检测，延时请求三次目标页面，如果三次结果不一致认为是不稳定的
firstResult = Request.queryPage()    time.sleep(0.5)
    secondResult = Request.queryPage()    time.sleep(0.5)
    thirdResult = Request.queryPage()
    condition  = firstResult == secondResult    condition &= secondResult == thirdResult

检测每个参数是否动态，如果该参数不是动态的，也就是改变它不会造成页面改变，那么认为它不存在注入，将会检测下一个参数是否动态。而动态检测类似稳定性检测，都是三次请求页面对比结果




# 构造随机数    randInt = randomInt()    # 这个agent相当于是做了个字符串拼接    payload = agent.payload(place, parameter, value, str(randInt))    dynResult1 = Request.queryPage(payload, place)
    # 如果改变这个参数但返回页面一致，认为它不是动态的    if kb.defaultResult == dynResult1:        return False
    logMsg = "confirming that %s parameter '%s' is dynamic" % (place, parameter)    logger.info(logMsg)
    payload = agent.payload(place, parameter, value, "'%s" % randomStr())    dynResult2 = Request.queryPage(payload, place)
    payload = agent.payload(place, parameter, value, ""%s" % randomStr())    dynResult3 = Request.queryPage(payload, place)
    condition  = kb.defaultResult != dynResult2    condition |= kb.defaultResult != dynResult3

检测到可能存在注入的参数后，将会进行核心函数checkSqlInjection，检测是否存在注入以及注入类型。注意这里的注入类型不是报错注入盲注这样的意思，而是检测它的闭合符号，是id=0这样的数字注入还是key=value这样的字符串注入，而字符串注入又分为单双引号。下文的parenthesis是处理括号问题，例如select * from table where id=((1));，默认范围是0-4，即没有括号或最多三个括号，一般不会有超过三个括号的情况
注意到首先构造一个true的payload，如果返回结果和不包含payload的页面相等，进入第一个if。这时候构造一个false的payload，将结果再次对比，如果false和true的结果不一致，可以初步确认存在注入
    payload = agent.payload(place, parameter, value, "%s%s AND %s%d=%d" % (value, ")" * parenthesis, "(" * parenthesis, randInt, randInt))    trueResult = Request.queryPage(payload, place)
    if trueResult == kb.defaultResult:        payload = agent.payload(place, parameter, value, "%s%s AND %s%d=%d" % (value, ")" * parenthesis, "(" * parenthesis, randInt, randInt + 1))        falseResult = Request.queryPage(payload, place)        if falseResult != kb.defaultResult:            ......

进行最终确认的代码如下，由于这里是判断数字型注入，注意上面的初步判断使用的是randint随机数字，而不是randstr随机字符串。下方随机的字符串构造的payload在存在数字注入的情况下不可能注入成功，根据这个条件最终确认数字注入
          payload = agent.payload(place, parameter, value, "%s%s AND %s%s" % (value, ")" * parenthesis, "(" * parenthesis, randStr))            falseResult = Request.queryPage(payload, place)
            if falseResult != kb.defaultResult:                ......                return "numeric"

单双引号类型的注入基本逻辑类似，最终确认payload如下，and后的条件也是不可能满足的
            payload = agent.payload(place, parameter, value, "%s'%s and %s%s" % (value, ")" * parenthesis, "(" * parenthesis, randStr))

最终判断出注入类型会添加到injData中，如果有多个注入点会调用__selectInjection让用户自行选择一个




 if injType:        injData.append((place, parameter, injType)) ......if len(injData) == 1:    injDataSelected = injData[0]elif len(injData) > 1:    injDataSelected = __selectInjection(injData)
checkForParenthesis()检查最终是几个括号进行闭合的。createTargetDirs()函数创建输出目录。action()是核心部分的函数if condition:    checkForParenthesis()    createTargetDirs()    action()

检测DBMS
action()函数首先在确认目标DBMS，因为不同数据库的语句和注入方式都有区别，首先初始化Handler，最后调用getFingerprint()方法

conf.dbmsHandler = setHandler()......conf.dbmsHandler.getFingerprint()

setHandler()中具体识别的插件是这里的每个Map。遍历dbmsMap拿到Map插件，直接()调用，并在后续使用checkDbms()函数进行检测
   dbmsMap   = (                  ( MYSQL_ALIASES, MySQLMap ),                  ( ORACLE_ALIASES, OracleMap ),                  ( PGSQL_ALIASES, PostgreSQLMap ),                  ( MSSQL_ALIASES, MSSQLServerMap ),                )
    for dbmsAliases, dbmsEntry in dbmsMap:        if conf.dbms and conf.dbms not in dbmsAliases:            debugMsg  = "skipping to test for %s" % dbmsNames[count]            logger.debug(debugMsg)            count += 1            continue
        dbmsHandler = dbmsEntry()
        if dbmsHandler.checkDbms():            if not conf.dbms or conf.dbms in dbmsAliases:                kb.dbmsDetected = True
                return dbmsHandler
    return None

注意到一个基类，各种数据库的识别插件都继承自此类，其中的escape和unescape主要做编码和解码的作用
class Fingerprint:    @staticmethod    def unescape(expression)    @staticmethod    def escape(expression)    def getFingerprint(self)    def checkDbms(self)

无需具体分析每一个DBMS，可以重点关注大家最常用的MySQL，它的初始化又调用了Enumeration，无需关心，只是简单的一个类，包含很多MySQL相关的属性
class MySQLMap(Fingerprint, Enumeration, Filesystem, Takeover):    def __init__(self):        self.excludeDbsList = MYSQL_SYSTEM_DBS        Enumeration.__init__(self, "MySQL")
        unescaper.setUnescape(MySQLMap.unescape)

跟入MySQL的checkDbms()，首先就看到大家比较熟悉的一个细节，判断是否大于5.0，因为MySQL5.0以上有至关重要的information_schema
if int(kb.dbmsVersion[0]) >= 5:    self.has_information_schema = True

初步判断版本逻辑，根据CONCAT语法逻辑进行判断。其中inject.getValue这个函数很复杂，后续分析，现在认为它是根据注入的语句返回注入的结果即可。这里有一个小坑：randInt * 2是什么意思？如果randInt是1，那么答案应该是11而不是2，因为randInt = str(randomInt(1))
randInt = str(randomInt(1))query = "CONCAT('%s', '%s')" % (randInt, randInt)
if inject.getValue(query) == (randInt * 2):    logMsg = "confirming MySQL"

使用LENGTH函数再次确认
query = "LENGTH('%s')" % randInt
if not inject.getValue(query) == "1":    warnMsg = "the back-end DMBS is not MySQL"

尝试从information_schema获取数据，如果可以拿到，说明是MySQL5.0以上
if inject.getValue("SELECT %s FROM information_schema.TABLES LIMIT 0, 1" % randInt) == randInt:    setDbms("MySQL 5")    self.has_information_schema = True

MySQL6某些小版本的检测。例如PARAMETERS表存放这存储过程和存储函数的参数信息以及存储函数的返回值，及我们一般意义上的存储过程和函数；PROFILING表提供了语句分析信息。这两个表分别在6.0.5和6.0.3版本提供




if inject.getValue("SELECT %s FROM information_schema.PARAMETERS LIMIT 0, 1" % randInt) == randInt:                    if inject.getValue("SELECT %s FROM information_schema.PROFILING LIMIT 0, 1" % randInt) == randInt:                        kb.dbmsVersion = [">= 6.0.5"]                    else:                        kb.dbmsVersion = [">= 6.0.3", "< 6.0.5"]

后续的代码可以跳过了，都是根据information_schema中某些表是否存在进行精确版本判断


最后一个else使用了我们常用的函数self.banner = inject.getValue("VERSION()")
判断结束后，会在conf.dbmsHandler.getFingerprint()中格式化输出，而格式化输出中有再次校验DBMS的一个函数__commentCheck，这里用到一个技术正是大家绕WAF常用的：内敛版本注释。首先/* NoValue */请求确认响应和默认响应一致，然后构造内敛版本注释判断语句是否能正常执行，对版本信息进行再次确认
query   = agent.prefixQuery("/* NoValue */")query   = agent.postfixQuery(query)payload = agent.payload(newValue=query)result  = Request.queryPage(payload)
if result != kb.defaultResult:    warnMsg = "unable to perform MySQL comment injection"    logger.warn(warnMsg)
    return None
# MySQL valid versions updated at 10/2008versions = (    (32200, 32233),    # MySQL 3.22    (32300, 32354),    # MySQL 3.23    (40000, 40024),    # MySQL 4.0    (40100, 40122),    # MySQL 4.1    (50000, 50072),    # MySQL 5.0    (50100, 50129),    # MySQL 5.1    (60000, 60008),    # MySQL 6.0)......randInt = randomInt()version = str(version)query   = agent.prefixQuery("/*!%s AND %d=%d*/" % (version, randInt, randInt + 1))query   = agent.postfixQuery(query)payload = agent.payload(newValue=query)result  = Request.queryPage(payload)
if result == kb.defaultResult:    ......

确认完DBMS之后，将进行具体的注入，下一篇文章将分析，顺便分析至关重要的inject.getValue是如何做到传入一个注入表达式得到结果的


- End -
精彩推荐
【技术分享】OpenRASP xss算法的几种绕过方法
【技术分享】某网游刷坐骑、刷极品道具、刷经验漏洞实现分享
【技术分享】Struts2-001 远程代码执行漏洞浅析

戳“阅读原文”查看更多内容




本文始发于微信公众号（安全客）：【技术分享】sqlmap源码解读（1）