i春秋作家：__LSA__

0x00 概述

近日在利用sqlmap注入測試時遇到一個奇怪的現象，高版本sqlmap無法檢測出注入，但是低版本的可以測出注入，並且能跑出資料不是誤報，經過對比測試和檢視sqlmap原始碼，發現兩個小坑。

0x01 情景重現

注入點形式：json
……”whereparams”:[{“name”:”keyWord”,”value”:”test”}]}
可注入引數：value
sqlmap命令：
python sqlmap.py -r sqlpk.txt –flush-session -vv
sqlmap v1.2.11無法注入
 
sqlmap v1.2成功注入
 

同理v1.2.10無法注入，v1.1.12可以注入

經過分析，兩坑如下：
（1）v1.2.11(/v1.2.10/v1.2.9/master)的boundaries.xml沒有了針對模糊查詢(%)的測試，而v1.2(/v1.1.12/1.1.4/1.2.2)則有。
（2）v1.2.11(/v1.2.10/1.2.9/master)必須手動設定json的某個引數為*才能對這個引數進行注入（即使選了y-inject inside），否則payload直接跟在json後導致無法注入，而v1.2(/v1.1.12)則可以預設回車(y)即可對json的某個引數注入。


0x02 詳細測試

坑點（1）：
先了解sqlmap的payload組成：

 
//圖片來源https://www.freebuf.com/column/161797.html

看看v1.2的測試payload:
 

使用了payload：%‘ and 5731=5731 and ‘%’=’
這是挺常見的搜尋框注入
看看V1.2的boundaries.xml：
 

而v1.2.11的boundaries.xml沒有對模糊查詢的注入測試！
https://github.com/sqlmapproject/sqlmap/blob/master/xml/boundaries.xml
於是新增模糊查詢的注入測試到v1.2.11的該檔案中，並手動新增*到注入引數（如value），即可成功注入！
附上新增後的版本：

https://github.com/theLSA/sqlmap/tree/dev

 

pr得到答覆是因為誤報太多所以移除了相關payload，但是將會有限的恢復。
https://github.com/sqlmapproject/sqlmap/pull/3372

坑點（2）：
對比v1.2和v1.2.11的payload：
 

可以看出v1.2.11直接將payload接在json末尾了。
在注入引數value手動新增*
%22whereparams%22%3A%5B%7B%22name%22%3A%22keyWord%22%2C%22value%22%3A%22*%22%7D%5D%7D
即可成功注入！

0x03 結語