黃慶濤 霍人楷 金翔 張華 閩江學(xué)院 計(jì)算機(jī)與控制工程學(xué)院

引言

網(wǎng)絡(luò)空間既是人的生存環(huán)境，也是信息的生存環(huán)境，因此網(wǎng)絡(luò)空間安全是人和信息對(duì)網(wǎng)絡(luò)空間的基本要求。另一方面，網(wǎng)絡(luò)空間是所有信息系統(tǒng)的集合，而且是復(fù)雜的巨系統(tǒng)。人在其中與信息相互作用、相互影響。網(wǎng)絡(luò)空間安全，為實(shí)施國(guó)家安全戰(zhàn)略，加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)。因此，網(wǎng)絡(luò)空間安全問(wèn)題更加綜合、更加復(fù)雜。所培養(yǎng)的人才為網(wǎng)絡(luò)空間安全的立法、治理、戰(zhàn)略規(guī)劃和輿情監(jiān)管服務(wù)。

從2013年的棱鏡門(mén)事件開(kāi)始，網(wǎng)絡(luò)空間安全一點(diǎn)點(diǎn)走進(jìn)我們生活，慢慢的更多因?yàn)樽陨硐到y(tǒng)安全級(jí)別不夠而導(dǎo)致酒店入住信息被泄露、Facebook公司的數(shù)據(jù)遭到外泄曝光、Cclearner清理工具被黑客惡意篡改信息……國(guó)家開(kāi)始重視網(wǎng)絡(luò)空間安全，并開(kāi)設(shè)相關(guān)專業(yè)，意在培養(yǎng)這方面的人才，彌補(bǔ)人才缺口。網(wǎng)絡(luò)空間安全專業(yè)的人才培養(yǎng)目標(biāo)是，培養(yǎng)具有扎實(shí)的網(wǎng)絡(luò)空間安全基礎(chǔ)理論和基本技術(shù)，系統(tǒng)掌握信息內(nèi)容安全、網(wǎng)絡(luò)安全法律、網(wǎng)絡(luò)安全管理的專業(yè)知識(shí)，政治思想過(guò)硬，較強(qiáng)的中英文溝通和寫(xiě)作能力，有技術(shù)，懂法律，會(huì)談判的復(fù)合型人才。

1 SQL漏洞及sqlmap的介紹

1.1 SQL注入危害

(1）繞過(guò)登錄驗(yàn)證：使用萬(wàn)能密碼登錄網(wǎng)站后臺(tái)等。

(2）獲取敏感數(shù)據(jù)：獲取網(wǎng)站管理員帳號(hào)、密碼等。

(3）文件系統(tǒng)操作：列目錄，讀取、寫(xiě)入文件等。

(4）注冊(cè)表操作：讀取、寫(xiě)入、刪除注冊(cè)表等。

(5）執(zhí)行系統(tǒng)命令：遠(yuǎn)程執(zhí)行命令。

1.2 SQL注入的原理

SQL語(yǔ)句是動(dòng)態(tài)頁(yè)面有時(shí)會(huì)通過(guò)腳本引擎，將用戶輸入的參數(shù)按照預(yù)先設(shè)定的規(guī)則，構(gòu)造成SQL語(yǔ)句進(jìn)行數(shù)據(jù)庫(kù)操作。攻擊原理：通過(guò)構(gòu)建特殊的輸入作為參數(shù)，傳入Web應(yīng)用程序，改變?cè)械腟QL語(yǔ)句的語(yǔ)義，以執(zhí)行攻擊者想要的操作。如圖一，此處通過(guò)構(gòu)造SQL語(yǔ)句的漏洞進(jìn)行利用，實(shí)現(xiàn)用戶信息的泄露。

圖一

1.3 SQLmap的介紹

SQLmap是一個(gè)開(kāi)放源碼的滲透測(cè)試工具，它可以用來(lái)進(jìn)行自動(dòng)化檢測(cè)，利用SQL注入漏洞，獲取數(shù)據(jù)庫(kù)服務(wù)器的權(quán)限；具有功能強(qiáng)大的檢測(cè)引擎,針對(duì)各種不同類型數(shù)據(jù)庫(kù)的滲透測(cè)試的功能選項(xiàng)。它配備了一個(gè)強(qiáng)大的探測(cè)引擎，為最終滲透測(cè)試人員提供很多強(qiáng)大的功能，可以拖庫(kù)，可以訪問(wèn)底層的文件系統(tǒng)，還可以通過(guò)帶外連接執(zhí)行操作系統(tǒng)上的命令。

SQLmap支持五種不同的注入模式：

(1）基于布爾的盲注，即可以根據(jù)返回頁(yè)面判斷條件真假的注入；

(2）基于時(shí)間的盲注，即不能根據(jù)頁(yè)面返回內(nèi)容判斷任何信息，用條件語(yǔ)句查看時(shí)間延遲語(yǔ)句是否執(zhí)行（即頁(yè)面返回時(shí)間是否增加）來(lái)判斷；

(3）基于報(bào)錯(cuò)注入，即頁(yè)面會(huì)返回錯(cuò)誤信息，或者把注入的語(yǔ)句的結(jié)果直接返回在頁(yè)面中；

(4）聯(lián)合查詢注入，可以使用union的情況下的注入；

(5）堆查詢注入，可以同時(shí)執(zhí)行多條語(yǔ)句的執(zhí)行時(shí)的注入。

2 SQLmap使用參數(shù)的詳細(xì)介紹

本文以SQLmap 1.1.8-8版本為例，對(duì)其主要使用參數(shù)進(jìn)行詳細(xì)的分析和講解。

用法：sqlmap [選項(xiàng)]

2.1 Options（選項(xiàng)）

- h、-help：顯示基本幫助信息并退出

- version：顯示程序版本信息并退出

- v VERBOSE：詳細(xì)級(jí)別0-6，默認(rèn)為1

2.2 Optimization（優(yōu)化）

這些選項(xiàng)適用于優(yōu)化SQLmap的性能

- o：打開(kāi)所有的優(yōu)化開(kāi)關(guān)

- keep-alive：使用持久HTTP（S）連接

- null-connection：從沒(méi)有實(shí)際的HTTP響應(yīng)體中檢索頁(yè)面長(zhǎng)度

- threads=THREADS：當(dāng)前HTTP（S）最大請(qǐng)求并發(fā)量（默認(rèn)為1）

2.3 Target（目標(biāo)）

在這些選項(xiàng)使用時(shí)需要提供最少一個(gè)確定的目標(biāo)；

- d DIRECT：直接連接數(shù)據(jù)庫(kù)的連接字符串；

- u URL：設(shè)置目標(biāo)URL，例：目標(biāo)URL為http：//192.168.43.1/vv.php，則命令為sqlmap -u http：//192.168.43.1/vv.php；

- l LOGFILE：從Burpsuite或者WebScarab代理日志文件中分析目標(biāo)；

- m BULKFILE：將目標(biāo)地址保存在文件中，一行為一個(gè)URL地址進(jìn)行批量檢測(cè)；

- r REQUESTFILE：加載外部請(qǐng)求包，從文件加載HTTP請(qǐng)求，sqlmap可以從一個(gè)文本文件中獲取HTTP請(qǐng)求，這樣就可以跳過(guò)設(shè)置一些其他參數(shù)（比如cookie，POST數(shù)據(jù)，等等）；

2.4 Request（請(qǐng)求）

這些選項(xiàng)是用來(lái)指定如何連接到目標(biāo)URL

- data=DATA：通過(guò)POST發(fā)送的數(shù)據(jù)字符串

- cookie-urlencode URL：編碼生成的cookie注入

- drop-set-cookie：忽略響應(yīng)的Set Cookie頭信息

- user-agent=AGENT：指定 HTTP User Agent頭

- random-agent：使用隨機(jī)選定的HTTP User Agent頭

- referer=REFERER：指定 HTTP Referer頭

- headers=HEADERS：換行分開(kāi)，加入其他的HTTP頭

- auth-type=ATYPE HTT：身份驗(yàn)證類型（基本，摘要或NTLM）(Basic, Digest or NTLM)

- proxy=PROXY：使用HTTP代理連接到目標(biāo)URL

- ignore-proxy：忽略系統(tǒng)默認(rèn)的HTTP代理

- delay=DELAY：在每個(gè)HTTP請(qǐng)求之間的延遲時(shí)間，單位為秒

- timeout=TIMEOUT：等待連接超時(shí)的時(shí)間（默認(rèn)為30秒）

- retries=RETRIES：連接超時(shí)后重新連接的時(shí)間（默認(rèn)3）

- scope=SCOPE：從所提供的代理日志中過(guò)濾器目標(biāo)的正則表達(dá)式

- safe-url=SAFURL：在測(cè)試過(guò)程中經(jīng)常訪問(wèn)的url地址

- safe-freq=SAFREQ：兩次訪問(wèn)之間測(cè)試請(qǐng)求，給出安全的URL

2.5 Injection（注入）

這些選項(xiàng)用于指定測(cè)試哪些參數(shù)并提供自定義的注入payloads和可選篡改腳本

- p TESTPARAMETER：可測(cè)試的參數(shù)

- dbms=DBMS：強(qiáng)制后端的DBMS為此值

- os=OS：強(qiáng)制后端的DBMS操作系統(tǒng)為這個(gè)值

- prefix=PREFIX：注入payload字符串前綴

- suffix=SUFFIX：注入payload字符串后綴

- tamper=TAMPER：使用給定的腳本（S）篡改注入數(shù)據(jù)

- no-cast：關(guān)閉有效載荷鑄造機(jī)制

- no-escape：關(guān)閉字符串逃逸機(jī)制

2.6 Enumeration（枚舉）

這些選項(xiàng)可以用來(lái)列舉后端數(shù)據(jù)庫(kù)管理系統(tǒng)的信息、表中的結(jié)構(gòu)和數(shù)據(jù)以及運(yùn)行自己的SQL語(yǔ)句

- D DB：指定要進(jìn)行枚舉的數(shù)據(jù)庫(kù)名

- T TBL：指定要進(jìn)行枚舉的數(shù)據(jù)庫(kù)表

- C COL：指定要進(jìn)行枚舉的數(shù)據(jù)庫(kù)列

- U USER：指定要進(jìn)行枚舉的數(shù)據(jù)庫(kù)用戶

- dump：轉(zhuǎn)儲(chǔ)數(shù)據(jù)庫(kù)管理系統(tǒng)的數(shù)據(jù)庫(kù)中的表項(xiàng)

- dump-all：轉(zhuǎn)儲(chǔ)所有的DBMS數(shù)據(jù)庫(kù)表中的條目

- sql-shell：執(zhí)行SQL命令

- b,- banner：檢索數(shù)據(jù)庫(kù)管理系統(tǒng)的標(biāo)識(shí)

2.7 Detection（檢測(cè)）

- level=LEVEL：執(zhí)行測(cè)試的等級(jí)（1-5，默認(rèn)為1）

- risk=RISK：執(zhí)行測(cè)試的風(fēng)險(xiǎn)（0-3，默認(rèn)為1）

3 仿真實(shí)驗(yàn)

利用phpStudy軟件搭建存有SQL漏洞的DVWA網(wǎng)站，并使用Kali中的SQLmap工具進(jìn)行攻擊，獲取數(shù)據(jù)庫(kù)的信息。

3.1 前期準(zhǔn)備

因DVWA需要登錄，此處應(yīng)選擇的是POST方法注入，即需要先獲取登錄的cookie信息；我們這里通過(guò)萬(wàn)能密碼進(jìn)行登錄。

(1）設(shè)置Brupsuite攔截報(bào)文的工具以及瀏覽器的代理；

(2）攔截POST請(qǐng)求內(nèi)容，并另存為url.txt并將其存放在/etc目錄下；如圖二。

3.2 利用SQLmap進(jìn)一步獲取信息

(1）判斷注入點(diǎn)和數(shù)據(jù)庫(kù)類型：sqlmap -r /etc/url；此處判斷出了服務(wù)器的系統(tǒng)版本為Windows系統(tǒng)、PHP的版本為5.3.29、Apache的版本為2.4.18和MySQL數(shù)據(jù)庫(kù)的版本是大于等于5.5，并將這些信息保存在了目錄/root/.sqlmap/output中，若是使用Windows系統(tǒng)則保存在目錄C：UsersAdministrator.sqlmapoutput中，如圖三；這時(shí)我們了解到了更多有關(guān)網(wǎng)站的信息，對(duì)于之后獲取數(shù)據(jù)庫(kù)信息更為有利。

圖二

圖三

(3）判斷數(shù)據(jù)庫(kù)名：sqlmap -r /etc/url --dbs；通過(guò)使用SQLmap工具，我們得知了與MySQL數(shù)據(jù)庫(kù)服務(wù)器一共管理系統(tǒng)的數(shù)據(jù)庫(kù)有7個(gè)，如圖四；

(4）通過(guò)上一步知道MySQL中管理的數(shù)據(jù)庫(kù)名，找到所需要的數(shù)據(jù)庫(kù)名：dvwa；接下來(lái)，判斷數(shù)據(jù)庫(kù)中的表名：sqlmap -r /etc/url -D dvwa tables，如圖五；

圖四

圖五

(5）對(duì)獲取到的表進(jìn)行分析后，從中找到了兩組列名，判斷表名中列名：sqlmap -r /etc/url -D dvwa -T users column，如圖六；在users的列名中找到了user和password的信息，自此收集信息工作結(jié)束。

3.3 利用SQLmap進(jìn)行注入

通過(guò)之前收集的信息，我們已經(jīng)確定了用戶和密碼的存在SQL數(shù)據(jù)庫(kù)中的位置，此時(shí)我們可以通過(guò)SQLmap進(jìn)行注入攻擊，從而獲取用戶名以及密碼的信息。

(1）獲取user字段信息：sqlmap -r /etc/url -D dvwa -T users -C user dump，如圖七；通過(guò)SQLmap工具進(jìn)行自動(dòng)SQL注入可以直接獲得user用戶名的信息。

圖六

圖七

(2）獲取password字段信息：sqlmap -r /etc/url -D dvwa-T users -C password dump，如圖八；與獲取用戶名的方式相同我們也可以獲取到密碼password；此處有兩個(gè)值：括號(hào)內(nèi)的為密碼、括號(hào)外的為密碼的MD5加密后的值。

圖八

至此，我們已經(jīng)獲取了該網(wǎng)站的所有用戶名和密碼的相關(guān)信息，并且這些信息都會(huì)保存在目錄/root/.sqlmap/output下。

4 結(jié)語(yǔ)

通過(guò)上述實(shí)驗(yàn)，進(jìn)一步證明了SQL漏洞的對(duì)我們生活的危害性以及SQLmap的強(qiáng)大之處，當(dāng)然對(duì)于SQL漏洞也不是無(wú)法避免的，只要在產(chǎn)品推出前，由安全滲透從業(yè)人員使用相關(guān)方法對(duì)其進(jìn)行滲透測(cè)試，如SQLmap的檢查；相信絕大多數(shù)的SQL漏洞都是可以避免的。

除了安全人員外，對(duì)人們提高個(gè)人網(wǎng)絡(luò)空間安全意識(shí)起到警示作用，讓學(xué)生們提高相關(guān)知識(shí)的學(xué)習(xí)興趣，培養(yǎng)學(xué)生的相關(guān)專業(yè)知識(shí)和技術(shù)，填補(bǔ)網(wǎng)絡(luò)空間安全的相關(guān)領(lǐng)域的空白。