SQLMAP源码分析(一)

说起来,学习Python很大一部分原因是由于对WEB安全的兴趣以及对SQLMAP这款工具的好奇,曾经设想学完Python基础就读一读SQLMAP源码,然而懒病一犯,随之就大江东去。近来,又重新燃起了读源码的想法,耗费几天时间,基本算是了解一些,在此记录下来,分享出去。有始但不一定有终,但终究好于不做,惭愧。

我的源码学习环境如下:

 (1)PentesterLab虚拟机;

 (2)PyCharm Community Edition 2016.3;

 (3)Notepad++

 (4)SQLMAP 1.1.1.4#dev

好了,先将几个重要的函数、变量撩着,main()除外,不足在后续补充完善。

1.cmdLineParser()

位于sqlmap.py中第123行,cmdLineOptions.update(cmdLineParser().__dict__),此函数主要用了optparse模块来解析脚本传入的参数,定义在lib\parse\cmdline.py模块中,使用sqlmap工具的小伙伴们会在此发现很多常见的命令,比如-u -d --random-agent –current-db --dbs --tables --columns等等,在此版本中实际是有194个参数的,这么丰富的功能,有待挖掘啊!

2.initOptions(cmdLineOptions)

位于sqlmap.py中第124行,此函数主要作用是初始化conf、kb这两个始终贯穿程序的重要变量(自定义字典),定义在lib\core\option.py模块中,其中conf初始化后有26个键值对,kb初始化后有141个键值对,同时,此函数最后又调用了_mergeOptions函数,用来合并cmdLineParser()的参数以及conf初始化的参数,合并后conf总共有220个键值对。

3.init()

位于sqlmap.py中第141行,此函数主要作用是sqlmap运行的一系列初始化工作,定义在lib\core\option.py模块中,其中主要的作用包括检查依赖包、参数输入合规性检查、设置代理、加载tamper、解析targeturl、设置请求头、设置线程数、加载boundaries_xml、加载payloads_xml等。

4.start()

位于sqlmap.py中第151行,此函数主要作用是开始进行注入检查,判断是否存在SQL注入漏洞,定义在lib\controller\controller.py模块中,此函数是重中之重。start()函数中又调用了几个非常重要的函数,如下。

4.1 setupTargetEnv()

定义在lib\core\target.py模块中,此函数的主要作用是初始化扫描结果环境,包括创建扫描结果存放目录、sqllite3数据库(或者从已有结果中提取数据,对于已扫描的结果不用再扫描)等。

4.2 checkConnection()

位于lib\controller\controller.py中377行,此函数的主要作用是检查给定的url是否可以访问。

4.3 checkWaf()

位于lib\controller\controller.py第380行,此函数的主要作用是判断目标是否有WAF,payload会采用"AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert(\"XSS\")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')#"

 

4.4 checkStability()

位于lib\controller\controller.py第394行,此函数的主要作用是判断目标target内容是否是会很快变化,其核心是对比第一次访问目标target内容与延时再次访问target内容做比较,如果firstPage == secondPage,则认为页面时稳固的。

4.5 checkDynParam()

位于lib\controller\controller.py第493行,此函数的主要作用是检查给定url中的参数是否是动态的,如果不是动态的则需要选取其它参数。比如name=root,此处的参数则指name。其核心是给参数name另外一个随机值,比如name=2394,然后对比两次返回的页面,如果相似度高于0.98则认为页面内容基本没变,参数不是动态的。

4.6 heuristicCheckSqlInjection()

位于lib\controller\controller.py第516行,此函数的主要作用是一个试探性检查,payload是name=root)((\\'))."(,(或类似),有可能会爆出后端db信息、xss漏洞、文件上包含漏洞等信息。

4.7 checkSqlInjection()

位于lib\controller\controller.py第528行,真正的SQL注入检查,重中之重。此函数会结合xml\payloads\下的基于布尔的、基于时间的、基于错误的、内联查询、对查询、基于union的注入检查xml以及boundaries.xml来提取注入语句进行注入漏洞判断。此处不详细讲解,后期单独说。

 

OK,说完start()函数中的几个关键函数调用,其中4.2~4.7均在lib\controller\checks.py模块中定义,而它们在checks均会调用的一些核心函数如下:

5. Request.queryPage()

根据构造好的payload访问指定目标web,并对比返回内容与最初页面内容,包含两个重要的函数。位于lib\request\connect.py模块中

5.1 Connect.getPage()

实际访问web的方法,调用了urllib2.Request方法。

5.2 comparison()

此函数主要作用是比较页面内容,判断页面变化,调用了difflib库。

6. agent.payload()

定义于lib\core\agent.py模块中,主要作用是根据xml下的注入表达式生成实际可用的payload,用到了正则、随机数(字符串)等内容。

7. action()

位于lib\controller\controller.py中639行,主要作用是注入SQL,获取指定信息,比如数据库、表、字段、用户、版本等,定义于lib\controller\action.py模块。此模块后期单独列出分享。

SQLMAP源码分析第一章节就先到这吧,不足之处、错误之处后期深入后再处理。

  

  

posted @ 2017-04-03 11:57  挣扎的猪  阅读(6009)  评论(2编辑  收藏  举报