细说 sqlmap_api 作者看不尽的尘埃_W

1、细说 sqlmap_api作者：看不尽的尘埃原文链接：/940/ 收集整理：/test/index.php本文由 干货1细说 sqlmap_api2019年06月05日 经验心得 作者：看不尽的尘埃本文为作者投稿，Seebug Paper 期待你的分享，凡经采用即有礼品相送！ 投稿邮箱：前言以前觉得 sqlmap 自己玩得挺溜了，结果最近有一个任务，需要调用 sqlmap api 接口来验证存在 sql 注入漏洞的站点，一开始听到这个任务觉得完了，可能完成不了了，后来我去网上搜了搜相

2、关的资 料，发现关于这方面的资料确实挺少的，于是参观了一下sqlmap 的源码，大致摸清楚了如何调用 api接口。因此，笔者打算写一篇完整些的文章，才有了本文。 笔者技术有限，有错误或者写的不好的地方敬请谅解！为什么要使用sqlmap API？ 由于SQLMAP每检测一个站点都需要开启一个新的命令行窗口或者结束掉上一个检测任务。虽然 -m2Paper安全技术精粹 SearchRSS 订阅投稿 首页漏洞分析安全工具&安全开报分析经验心得Web 安全二进制安全移动安全安全基础&教学篇CTFIoT安全区块链404 专栏专题报告 404 English Paper如何投稿归档文件 Copyright

3、404 TeamfromKnownsec.参数可以批量扫描URL，但是模式也是一个结束扫描后才开始另一个扫描任务。 通过 api 接口，下发 扫描任务就简单了，无需开启一个新的命令行窗口。 下载与安装如果您需要使用 sqlmap api接口或者没安装 sqlmap 工具的，您需要下载安装sqlmap程序。而sqlmap 是基于Python 2.7.x 开发的，因此您需要下载Python 2.7.x。 Python 2.7.x 下载地址：/downloads/release/python-2715/ sqlmap 下载地址：https:/github.c

4、om/sqlmapproject/sqlmap/zipball/master安装过程我这里就不详细说了，不会的话可以问问度娘(/s? wd=sqlmap%E5%AE%89%E8%A3%85%E6%95%99%E7%A8%8B)sqlmap的目录结构图如下：sqlmap 安装完成后，输入以下命令，返回内容如下图一样，意味着安装成功： 3pythonsqlmap.py-hsqlmap api说了那么多，到底 api 如何使用呢？在下载安装 SQLMAP 后，你会在 sqlmap 安装目录中找到一个sqlmapapi.py 的文件，这个 sqlmapapi.p

5、y 文件就是 sqlmmap api。 sqlmap api 分为服务端和客户端，sqlmap api 有两种模式，一种是基于 HTTP 协议的接口模式，一种是基于命令行的接口模式。 4sqlmapapi.py 的使用帮助 通过以下命令获取 sqlmapapi.py 的使用帮助：python sqlmapapi.py-h返回的信息： Usage: sqlmapapi.pyoptionsOptions:?-h, -help? ? ? ?-s, -server? ? ?-c, -client? ? ? ? ? ?显示帮助信息并退出做为api服务端运行做为api客户端运行 指定服务端IP地址 (默认

6、IP是-H HOST, -host=HOST?-p PORT, -port=PORT?)指定服务端端口 (默认端口8775)-adapter=ADAPTER? ? ?服务端标准接口 (默认是 wsgiref)-username=USERNAME? ?可空，设置用户名 -password=PASSWORD? ?可空，设置 开启api服务端无论是基于 HTTP 协议的接口模式还是基于命令行的接口模式，首先都是需要开启 api 服务端的。 通过输入以下命令即可开启 api 服务端:python sqlmapapi.py -s命令成功后，在命令行中会返回一些信息。以下命令大概的意思是

7、 api 服务端在本地 8775 端口上运行，admin token 为 1acac56427f272e316fceabe5ddff5a5 ，IPC 数据库的位置在/tmp/sqlmapipc-zOIGm_ ，api 服务端已经和 IPC 数据库连接上了，正在使用 bottle 框架 wsgiref 标准接口。 519:53:5719:53:5719:53:5719:53:5719:53:57INFO Running REST-JSON API server at :8775.INFO Admin (secret) token: 1acac56427f272e316fceab

8、e5ddff5a5 DEBUG IPC database: /tmp/sqlmapipc-zOIGm_DEBUG REST-JSON API server connected to IPC database DEBUG Using adapter wsgiref to run bottle但是通过上面的这种方式开启 api 服务端有一个缺点，当服务端和客户端不是一台主机会连接不上， 因此如果要解决这个问题，可以通过输入以下命令来开启 api 服务端:python sqlmapapi.py -s -H -p 8775命令成功后，远程客户端就可以通过指定远程主机 IP和端口来连接到

9、 API服务端。固定 admin token如果您有特殊的需求需要固定 admin token 的话，可以修改文件 api.py，该文件在 sqlmap 目录下的/lib/utils/ 中，修改该文件的第 661 行代码，以下是源代码： DataStore.admin_token = hexencode(os.urandom(16)sqlmap api 的两种模式命令行接口模式 输入以下命令，可连接 api 服务端，进行后期的指令发送操作： python sqlmapapi.py -c如果是客户端和服务端不是同一台计算机的话，输入以下命令： python sqlmapapi.py -c -H

10、01 -p 87756输入以上命令后，会进入交互模式，如下图所示： 命令行接口模式的相关命令通过在交互模式下输入 help 命令，获取所有命令，以下是该接口模式的所有命令： api helphelp? ? ? ? ? ?显示帮助信息 new ARGS? ? ? ?开启一个新的扫描任务use TASKID? ? ?切换taskiddata? ? ? ? ? ?获取当前任务返回的数据 log? ? ? ? ? ? 获取当前任务的扫描日志 status? ? ? ? ?获取当前任务的扫描状态 option OPTION? 获取当前任务的选项 options? ? ? ? 获取当

11、前任务的所有配置信息 stop? ? ? ? ? ?停止当前任务 kill? ? ? ? ? ?杀死当前任务 list? ? ? ? ? ?显示所有任务列表flush? ? ? ? ? exit清空所有任务退出客户端t? ? ? ? ? ?既然了解了命令行接口模式中所有命令，那么下面就通过一个 sql 注入来演示该模式接口下检测 sql注入的流程。 检测 GET 型注入通过输入以下命令可以检测 GET 注入new -u url7虽然我们仅仅只指定了-u 参数，但是从返回的信息中可以看出，输入 new 命令后，首先先请求了/task/new ，来创建一个新的taskid ，后又发起了一个请求去开

12、始任务，因此可以发现该模式实质也是基于 HTTP 协议的。 通过输入 status 命令，来获取该任务的扫描状态，若返回内容中的 status 字段为terminated，说明扫描完成，若返回内容中的 status 字段为 run，说明扫描还在进行中。 下图是扫描完成的截图： 通过输入 data命令，来获取扫描完成后注入出来的信息，若返回的内容中 data字段不为空就说明存在注入。 下图是存在 SQL 注入返回的内容，可以看到返回的内容有数据库类型、payload、注入的参数等等。 8下图是不存在注入返回的内容，data 字段为空： 9检测 POST 型、cookie、UA 等注入通过输入以下

13、命令，在 data.txt 中加入星号，指定注入的位置，来达到检测 POST、cookie、UA 等注入的目的： new -r data.txt总结基于命令行的接口模式用起来还是比较方便的，我们只需要通过 new 命令就可以自动创建 taskid 并开始该任务，但是如果写程序调用的话可能就不是那么友善了，因此笔者会重点介绍下面的一种接口 模式，基于 HTTP 协议的接口模式。 基于HTTP协议的接口模式下列都是基于 HTTP 协议 API 交互的所有方法：提示：“get” 就说明需要通过 GET 请求的，“post” 就说明需要通过 POST 请求的；POST 请求需要修改 HTTP 头中的

14、Content-Type 字段为application/json 。 10#辅助get(/error/401) get(/task/new)get(/task/delete)#Admin 命令 get(/admin/list) get(/admin/list) get(/admin/flush) get(/admin/flush)#sqlmap 核心交互命令 get(/option/list) post(/option/get) post(/option/set) post(/scan/start) get(/scan/stop) get(/scan/kill) get(/scan/statu

15、s) get(/scan/data) get(/scan/log/) get(/scan/log)get(/download/)get(/error/401)该接口在我的理解表明首先需要登录（Admin token），不然会返回状态码 401。 具体代码如下：? ? response.status = 401? ? return response11get(/task/new)该接口用于创建一个新的任务，使用后会返回一个随机的 taskid。 具体代码如下： deftask_new():Create a new task taskid = hexencode(os.urandom(8) rem

16、ote_addr = request.remote_addrDataStore.taskstaskid = Task(taskid, remote_addr) logger.debug(Created new task: %s % taskid) return jsonize(success: True, taskid: taskid)?12下图是调用该接口的截图： get(/task/delete)该接口用于删除 taskid。在调用时指定 taskid，不指定 taskid 会有问题。 具体代码如下： deftask_delete(taskid):Delete an existing ta

17、sk if taskid in DataStore.tasks:? ? DataStore.tasks.pop(taskid)? ? logger.debug(%s) Deleted task % taskid)? ? return jsonize(success: True) else:? ? response.status = 404? ? logger.warning(%s Non-existing? ? return jsonize(success: False,task ID provided to task_delete() % message: Non-existing task

18、 ID)taskid)下图是调用该接口的截图： get(/admin/list)/get(/admin/list)该接口用于返回所有 taskid。在调用时指定 taskid，不指定 taskid 会有问题。 具体代码如下： 13deftask_list(token=None):? ? Pull task list tasks = for key in DataStore.tasks:? ? if is_admin(token) or DataStore.taskskey.remote_addr = request.remote_addr:? ? ? ? taskskey = dejsoniz

19、e(scan_status(key)statuslogger.debug(%s) Listed task pool (%s) % (token, admin if is_admin(token) els? ? ? ? ? ? ? ?erequest.remote_addr)? ? return jsonize(success: True, tasks: tasks, tasks_num: len(tasks)下图是调用该接口的截图： get(/admin/flush)/get(/admin/flush)该接口用于删除所有任务。在调用时指定admin token，不指定admin token可能

20、会有问题。 具体代码 如下： deftask_flush(token=None):Flush task spool (delete all tasks) for key in list(DataStore.tasks):? ? if is_admin(token) or DataStore.taskskey.remote_addr = request.remote_addr:? ? ? ? DataStore.taskskey.engine_kill()? ? ? ? del DataStore.taskskeylogger.debug(%s) Flushed task pool (%s) %

21、 (token, admin if is_admin(token) el?se request.remote_addr)? return jsonize(success: True)下图是调用该接口的截图： 14get(/option/list)该接口可获取特定任务ID的列表选项，调用时请指定taskid，不然会出现问题。 具体代码如下： defoption_list(taskid):List options for a certain task ID if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task ID

22、provided to option_list() % taskid)? ? return jsonize(success: False, message: Invalid task ID) logger.debug(%s) Listed task options % taskid)?)?return jsonize(success:True,options:DataStore.taskstaskid.get_options()下图是调用该接口的截图： post(/option/get)该接口可获取特定任务ID的选项值，调用时请指定taskid，不然会出现问题。 具体代码如下： 15defop

23、tion_get(taskid):Get value of option(s) for a certain task ID if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task ID provided to option_get() % taskid)? ? return jsonize(success: False, message: Invalid task ID) options = request.json or results = ?foroption in options:if option in D

24、ataStore.taskstaskid.options:? ? resultsoption = DataStore.taskstaskid.optionsoption else:? ? logger.debug(%s) Requested value for unknown option %s % (taskid, opt?ion)? ? ?n)? ? return jsonize(success: False, message: Unknown option %s % optio? ? logger.debug(%s) Retrieved values for option(s) %s %

25、 (taskid, ,.join(option s)? ? return jsonize(success: True, options: results)下图是调用该接口的截图： post(/option/set)该接口为特定任务 ID 设置选项值，调用时请指定 taskid，不然会出现问题。 具体代码如下： 16defoption_set(taskid):Set value of option(s) for a certain task ID if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task? ? retu

26、rn jsonize(success: False, if request.json is None:? ? logger.warning(%s Invalid JSONID provided to option_set() % taskid)message: Invalidtask ID)options provided to message: Invalidoption_set() %taskid)? ?return jsonize(success: False,JSONoptions)for option, value in request.json.items():? ? DataSt

27、ore.taskstaskid.set_option(option, value) logger.debug(%s) Requested to set options % taskid) return jsonize(success: True)下图是调用该接口的截图： post(/scan/start)该接口定义开始扫描特定任务，调用时请指定 taskid，不然会出现问题。 具体代码如下:17defscan_start(taskid):Launch a scan if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid ta

28、sk? ? return jsonize(success: False, if request.json is None:? ? logger.warning(%s Invalid JSON? ? return jsonize(success: False,?ID provided to scan_start() % taskid) message: Invalid task ID)options provided to scan_start() % taskid) message: Invalid JSON options)# Initialize sqlmap engines option

29、s with users provided options, if any for option, value in request.json.items():? ? DataStore.taskstaskid.set_option(option, value) # Launch sqlmap engine in a separate process DataStore.taskstaskid.engine_start() logger.debug(%s) Started scan % taskid)return jsonize(success: True, engineid: DataSto

30、re.taskstaskid.engine_get_id()下图是调用该接口的截图： get(/scan/stop)该接口定义停止扫描特定任务，调用时请指定 taskid，不然会出现问题。 具体代码如下： 18def? ? ? ? ?onescan_stop(taskid):Stop a scan if (taskid not in DataStore.tasks or DataStore.taskstaskid.engine_process() or DataStore.taskstaskid.engine_has_terminated():? ? logger.warning(%s Inv

31、alid task ID provided to scan_stop() % taskid)isN? ? return jsonize(success: False, message: DataStore.taskstaskid.engine_stop() logger.debug(%s) Stopped scan % taskid) return jsonize(success: True)Invalidtask ID)下图是调用该接口的截图： get(/scan/kill)该接口可杀死特定任务，需要指定 taskid，不然会出现问题。 具体代码如下： def? ? ? ? ?one? ?

32、? ? ? ?scan_kill(taskid):Kill a scan if (taskid not in DataStore.tasks or DataStore.taskstaskid.engine_process() or DataStore.taskstaskid.engine_has_terminated():? ? logger.warning(%s Invalid task ID provided to scan_kill() % taskid)? ? return jsonize(success: False, message: Invalid task ID) DataSt

33、ore.taskstaskid.engine_kill()logger.debug(%s) Killed scan % taskid) return jsonize(success: True)isNget(/scan/status)19该接口可查询扫描状态，调用时请指定 taskid，不然会出现问题。 具体代码如下： defscan_status(taskid):Returns status of a scan if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task ID provided to scan_sta

34、tus() % taskid)? ? return jsonize(success: False, message: Invalid task ID) if DataStore.taskstaskid.engine_process() is None:? ? status = not running else:? ? status = terminated if DataStore.taskstaskid.engine_has_terminated()?isTrue else running? logger.debug(%s) Retrieved scan status % taskid)?

35、return jsonize(? ? ? success: True,? ? ? status: status,? ? )? returncode: DataStore.taskstaskid.engine_get_returncode()下图是调用该接口的截图： get(/scan/data)该接口可获得到扫描结果，调用时请指定 taskid，不然会出现问题。 具体代码如下： 20defscan_data(taskid):Retrieve the data of a scan json_data_message = list() json_errors_message = list()if

36、taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task ID provided to scan_data() % taskid)? ? return jsonize(success: False, message: Invalid task ID) # Read all data from the IPC database for the taskidfor status, content_type, value in DataStore.current_db.execute(SELECT status, co?nten

37、t_type, value FROM data WHERE taskid = ? ORDER BY id ASC, (taskid,):? ? ? ? json_data_message.append(status: status, type: content_type, value: dej sonize(value)? ? # Read all error messages from the IPC database? ? for error in DataStore.current_db.execute(SELECT error FROM errors WHERE taskid =? O

38、RDER BY id ASC, (taskid,):? ? ? ? json_errors_message.append(error)? ? logger.debug(%s) Retrieved scan data and error messages % taskid)? ? return jsonize(success: True, data: json_data_message, error: essage)json_errors_m下图是调用该接口的截图： 存在 SQL 注入的返回结果，返回的内容包括 payload、数据库类型等等。不存在注入的返回结果 21get(/scan/log

39、)/get(/scan/log/)该接口可查询特定任务的扫描的日志，调用时请指定 taskid，不然会出现问题。 具体代码如下： 22defscan_log(taskid):Retrieve the log messages json_log_messages = list()if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task ID provided to scan_log() % taskid)? ? return jsonize(success: False, message: Invalid task I

40、D) # Read all log messages from the IPC database?for time_, level, message in DataStore.current_db.execute(SELECT time,level, message FROM logs WHERE taskid = ? ORDER BY id ASC, (taskid,):? ? json_log_messages.append(time: time_, level: level, message: logger.debug(%s) Retrieved scan log messages %

41、taskid)return jsonize(success: True, log: json_log_messages)message)defscan_log_limited(taskid, start, end):Retrieve a subset of log messages json_log_messages = list()if taskid not in DataStore.tasks:? ? logger.warning(%s Invalid task ID provided to scan_log_limited() % taskid)? ? return jsonize(success: False, message: Invalid task ID) if not start.isdigit() or not end.isdigit() or end = ? AND id r = requests.get(:8775/task/new) r.json()taskid: c87dbb0