Fiddler手机APP抓包渗透测试

Fiddler可以捕获移动APP流量并检测SQL注入等漏洞。

手机或电脑使用WiFi网段或者夜神、BlueStack模拟器。
Fiddler 站起来并开始奔跑。

计算机Fiddler,工具-选项-连接,勾选允许远程计算机并将端口设置为8 8 8 8 重新启动Fiddler。

移动 WiFi 代理,输入计算机 LAN IP (1 9 2 .1 6 8 .1 .1 00) 作为服务器 IP,输入 8 8 8 8 作为端口。
保存
在手机上打开投票等​​应用程序。
Fiddler 实时显示流量。
运行APP就像投票一样。
POST 请求即将到来。
在 Fiddler 中查找请求,例如
/index.php?c=vote&do=pc。
双击或右键单击“检查”可查看详细信息。

u=3 6 1 4 ,没有过滤器查看请求参数,例如可能的 SQL 注入。
尝试输入 u=3 6 1 4 ' 或 '1 '='1 '。

通过返回异常来确认。
使用 SQLMap 实现自动化导出 har 文件或复制 URL 参数。
sqlmap 命令有效。

加密 HTTPS;进入电脑上的Fiddler工具-选项-HTTPS;检查解密 HTTPS 并输入证书。

手机浏览器访问Fiddler IP端口(如1 9 2 .1 6 8 .1 .1 00:8 8 8 8 )并安装根证书。

参见 Cookie/Referer 参数;更改值以查看响应;相对比较不同的用户参数。
与APP逻辑集成。

Sniffmaster 无需代理即可加密 HTTPS。
BurpSuite功能更强大,可以自动更改请求和扫描。

给自己计时。

sqlmap怎么注入sql server

上周有客户问我,他用sqlmap测试一个网站,结果报错说参数不可用。
这让我想起了以前走过的陷阱。

想想看,sqlmap确实很酷。
你给它一个 URL,比如 http://example.com/search?keyword=apple,它就会开始工作。

首先,它扫描URL中的参数,看看哪些参数可以插入。
您提供的示例非常清楚,它将测试 GET 参数、POST 参数、HTTP cookie、用户代理、引用者等。
之前测试一个论坛的时候,发现它的登录界面对POST参数不太友好。
sqlmap 最初没有响应。
接下来,我手动编辑了请求头,成功插入了。

然后,sqlmap 将尝试确定哪种 SQL 注入技术可用。
提到的五种模式很全面:布尔盲注入、时间盲注入、错误注入、联合查询和堆查询。
上次我测试旧系统时,它使用布尔盲注。
sqlmap很快就找到了挂载点,但是数据库名总是错误。
最后,我指定了数据库类型,它读取数据没有任何问题。

数据库识别也很关键。
sqlmap支持您提供的数据库:MySQL、Oracle、PostgreSQL、SQL Server、Access、DB2 、SQLite等。
上次我遇到了一个奇怪的旧系统。
数据库是Sybase。
sqlmap 最初没有认识到这一点并报告了一系列错误。
最后检查系统注册表,发现是Sybase,并且工作正常。

读取数据取决于你如何设置。
您可以将其滑过数据库表,从表中读取数据,甚至导出数据。
上次查看某CMS后台数据,要求导出所有用户名,发现一个管理员账户没有密码。
现在我遇到了麻烦。

但是sqlmap如果使用不正确很容易出现问题。
上次有一个客户不知道为什么sqlmap一直报错。
后来我发现他输入的网址是错误的,缺少一个正斜杠。
这种低级错误确实让人愤怒。

总的来说,sqlmap的功能很强大,但是在使用之前最好先了解清楚网站的情况。
你说的这些功能其实都是我在实战中使用过的。
如果您是初学者,我们建议您从简单的布尔盲注入开始,逐渐熟悉其各种参数和选项。

sqlmap post注入怎么获取注入的参数

老实说,我是注射后的新手。
我自己修改了Burp Suite抓包的参数,差点就被卷进去了。
后来发现sqlmap其实可以直接使用--data参数,类似于GET请求,只是状态不同。
但更令人惊讶的是 -r 参数。
该参数允许用户将捕获的POST数据包直接扔到sqlmap中进行自我分析。
说实话,这部作品从美学角度来说是相当暴力的。

有趣的是,当涉及到有效负载时,我们总是犯错误。
过去,您总是必须打开本地代理并让 Trim Suite 为您接管。
最后,我不得不手动读取sqlmap的输出。
现在想一想。
使用 -v 参数就足够了。
我一直以为-v是控制警告级别和调试信息。
原来-v3 可以直接查看payload,非常方便。
后来我发现 -v4 、v5 和 v6 还允许您查看完整的 HTTP 请求、响应标头和页面内容。
这就简单的阐明了sqlmap的思想。

如果你使用sqlmap来测试Google搜索,这个功能真的很棒。
-g参数直接在搜索结果中搜索SQL注入。
但说实话,我其实用得不多。
也许我遇到的系统太老了,很少有人还在使用这些狡猾的操作。

但是,在延迟和绕过防火墙方面,我遇到过陷阱。
有一次我使用sqlmap,因为请求太多,被防火墙拦截了。
后来,我添加了 --delay 参数,并慢慢地弄清楚每个请求之间有 0.5 秒的间隔。
更令人惊讶的是--safe-url。
有时,当您访问常规页面时,您的防火墙会暂时忘记您是坏人。
这个技巧非常有效。

伪静态页面也很痛苦。
有些网站甚至完全隐藏参数。
此时只能使用替换,让sqlmap猜测哪个位置是参数。
说实话,这有点像蒙住大象的眼睛。

最有趣的是执行系统命令。
我就遇到过一次。
数据库支持此功能并且用户权限足够。
尝试使用--os-cmd。
但是,在大多数情况下,由于数据库限制,您只能生成 UDF 或 xp_cmdshell。
有时它会起作用,有时却可能是徒劳的。
我有一个朋友使用这个技巧在旧的 SQL Server 上创建了一个 webshel​​l。
当时我就觉得这个人真是了不起。

最后是测试级别。
默认为--level 1 ,这是最基本的。
在 2 中测试了 cookie 注入,在 3 中测试了 useragent。
说实话,我很少用这种高级的东西。
我认为通常 1 就足够了。
如果太高,很容易被系统检测到。
然而,这取决于。
有时你需要升级才能找到漏网之鱼。