蔣小波　沈藝敏　龐富寧

摘要：Burpsuite具備數(shù)據(jù)包抓取、重放、掃描等信息收集能力以及爆破、解碼等主動攻擊行為功能，已成為攻擊者或滲透測試人員必備工具之一。全面掌握、靈活使用Burpsuite抓包技術(shù)，針對網(wǎng)站信息安全滲透測試具有重要意義。本文將在使用Burpsuite進行大量滲透測試實驗的基礎(chǔ)上，結(jié)合Sqlmap對目標數(shù)據(jù)庫注入及目標服務(wù)器提權(quán)過程中數(shù)據(jù)包抓取的操作方法及技巧思路進行梳理和原理分析。

關(guān)鍵詞：Burpsuite;數(shù)據(jù)包抓取;提權(quán)過程

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2019）05-0194-01

安全滲透測試環(huán)境中，數(shù)據(jù)庫注入占據(jù)網(wǎng)站漏洞攻擊的70%以上。本文使用Burpsuite工具結(jié)合Sqlmap抓取注入過程數(shù)據(jù)包，分析其攻擊原理是防御注入的必要基礎(chǔ)。而注入成功后獲取其登錄權(quán)限，利用網(wǎng)頁木馬由客戶端上傳至服務(wù)端，以控制服務(wù)器相關(guān)權(quán)限，通過提權(quán)技術(shù)獲取目標服務(wù)器所有控制權(quán)，本文在提權(quán)過程中使用Burpsuite抓包并分析其原理，并提出防御措施實現(xiàn)對網(wǎng)站防護的全面掌控。

1 Sqlmap工具注入攻擊抓包操作與技巧思路

Sqlmap工具使用前需安裝Python環(huán)境，Burpsuite需設(shè)置代理，本文以抓取Get型注入為例，分析Sqlmap中注入數(shù)據(jù)包，在操作模式下，綜合利用各類操作命令，實施對目標的進一步利用。

本文中出現(xiàn)的縮略詞：Burpsuite為工具，Python sqlmap -u? http：//127.0.0.1/P/P_DETAIL.asp？id=15”為注入環(huán)境，--proxy" http：//127.0.0.1：8080"為代理，--tables為表，--columns為列。

1.1 判斷注入

命令構(gòu)造：注入環(huán)境，若存在注入，則返回數(shù)據(jù)庫類型，本試驗提示關(guān)鍵結(jié)果為：DBMS： Microsoft Access，初步判斷為：Access數(shù)據(jù)庫。利用工具攔截，結(jié)果為Get請求。

1.2 列庫中表名

命令構(gòu)造：注入環(huán)境 表，返回關(guān)鍵表名為：admin，猜測admin表為登錄所屬表。

攔截，列表名，命令構(gòu)造為：注入環(huán)境 表 代理，返回關(guān)鍵包，經(jīng)解密后如下：

AND ASCW（MID（（SELECTIIF（LEN（CVAR（COUNT（Name）））=0，CHR（32），CVAR（COUNT（Name））） FROM MSysObjects WHERE Type=1），1，1））>1。分析發(fā)現(xiàn)用Sql語句猜表名，返回成功字符。

1.3 列admin表列名

命令構(gòu)造：注入環(huán)境表列-T admin。返回關(guān)鍵結(jié)果為：Table：admin |admin||password|。

攔截列名，命令構(gòu)造：注入環(huán)境表列-Tadmin 代理，關(guān)鍵包解密后攔截內(nèi)容與猜解表名一致。

1.4 列字符

命令構(gòu)造：注入環(huán)境--dump -T admin -C admin，password。返回關(guān)鍵結(jié)果：

admin 4621d373cade4e83。

攔截列字符解密發(fā)現(xiàn)內(nèi)容仍與猜表名一致。Password解密明文為：test。

結(jié)合上傳漏洞，可獲服務(wù)器權(quán)限。

1.5 防御上傳漏洞思路

（1）服務(wù)端嚴格驗證，注意文件頭比對與擴展名過濾。（2）文件名隨機化。（3）上傳數(shù)據(jù)存數(shù)據(jù)庫等。

2 提權(quán)包分析技巧

獲服務(wù)器權(quán)限后，上傳大馬，獲取Websehll，利用提權(quán)操作，進一步對目標利用。截取大馬包，解密后分析發(fā)現(xiàn)，Webshell調(diào)用wscript函數(shù)和exec執(zhí)行提權(quán)命令。防御思路：在webconfig中刪除讀取注冊表行，設(shè)置impersonate為ture，刪除OCX組件等。

經(jīng)分析，Sqlmap注入利用猜解字符操作。防御SQL注入思路：

（1）過濾常見字符：select，exec，union，create，insert，update，delete，and，*等。（2）正則表達式過濾傳參及內(nèi)容。（3）前端Js代碼防范。

3 Burpsuite利用方法總結(jié)與展望

除上述抓取注入技術(shù)外，此工具還集成Web攻擊程序，提供豐富滲透模塊庫，將抓包技術(shù)與滲透測試模塊組合應(yīng)用，可實現(xiàn)對目標權(quán)限控制的全面掌控，對網(wǎng)站服務(wù)器進行全面的系統(tǒng)安全測試，在信息系統(tǒng)安全評估與防護工作中發(fā)揮重要作用。

參考文獻

[1] 張坤鵬，郭秀娟.基于SQLMAP的自動注入檢測分析[J].民營科技，2017（08）：101.

[2] 王琦，白淼.滲透工具SqlMap GET注入使用及原理分析[J].計算機安全，2013（06）：73-76.