基于Python的SQLMAP注入漏洞分析

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于Python的SQLMAP注入漏洞分析范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：本文主要介绍基于python的sqlmap注入漏洞分析。通过角色转换，站在攻击者的立场进行渗透性测试，挖掘系统注入漏洞信息，通过SQLMAP注入获取服务器管理员权限，控制系统。帮助系统进行漏洞查找，保证系统正常运行，提升系统安全系数。

关键词：Python；SQLMAP；系统安全

引言

随着我国互联网的高速发展，基于Web的三层网络架构体系得到广泛应用。浏览器/服务器（B/S）架构的网络应用越来越多，这意味着更多企业单位选择浏览器/服务器的应用系统取代传统的客户端/服务器应用系统。由于网络攻击技术发展速度远超于网络防御技术的发展，加之编程人员细节编写不规范，导致网络攻击泛滥。

1 Python

1.1 概述

Python是一种开源的、面向对象的、解释型的计算机程序设计语言，由Guido Rossum于1989年发明。其源代码及解释器CPython遵循GPL（GNU General Public License）协议。Python的语法简洁清晰，是一种代表简单主义思想的语言，强制用空白符（white space）作为语句缩进是其特色之一。Python具有高效率的高层数据结构，简单而有效的实现面向对象编程。

1.2 特点

Python具有极其丰富和强大的库。Python又被称为胶水语言，能够把用其他语言制作的各种模块（尤其是C/C++）轻松地联合在一起。在众多应用情形中，比较常见的是使用Python快速生成程序原型（有时是程序的的最终界面），然后对其别要求的部分，采用更合适的语言进行改写。

2 SQLMAP检测试验

2.1 注入点扫描

SQLMAP是一款基于Python用来检测与利用注入漏洞的免费开源工具，在整个注入过程中可实现自动化处理（数据库指纹、访问底层文件系统、执行命令）。

对Asp站点进行注入点扫描，扫描后最终注入点汇总见图1，选取正确的注入点对服务器进行注入工作，获取服务器超级管理员权限。

2.2 服务器信息获取

检测代码（sqlmap.py-u "http：//www.*****.com/contact.asp？classid=65"-dbs）经检测该站点服务器系统为Windows 2008 R2或者Windows 7版本，使用的是微软Access数据库。注入点注入类型为布尔型GET型注入，命令代码-u指定url链接-dbs是获得服务器及数据库信息。

利用注入点对数据库进行比对获得以下表单（user、admin、company、news、service），通过SQLmap对站点数据库进行自动化比对，获取站点主数据库中的表admin中的相关数据。对admin表进行数据库下载拖拽，获得超级管理员用户名与加密后的用户密码，对密文进行解密获得明文为nanwang1999。

在暴力破解后台超级管理员账号密码后进行登陆验证，验证注入漏洞的真实性，及时进行后台升级工作、补丁安装等工作，加强字符过滤。保证内部数据安全性。

3 结论

本文介绍基于Python语言下的SQLmap的注入漏洞扫描，使用SQLmap对站点进行注入点检查测试，利用注入漏洞，进行网络渗透测试工作，获取站点数据库，获取站点超级管理员登陆账号及密码。通过对站点进行注入漏洞测试检查，及时发现安全问题，提高网络安全系数，保证使用单位数据安全性。

参考文献

[1]Pual Barry.深入浅出Python（影印版）[M].南京：东南大学出版社，2011.

[2]David M.Beazley，Python参考手册[M].北京：人民邮电出版社，2011.

[3]吴翰清.白帽子讲Web安全[M].北京：电子工业出版社，2012.

[4]梁亚声.计算机网络安全教程[M].北京：机械工业出版社，2008.

[5]孙建国.网络安全实验教程[M].北京：清华大学出版社，2013.

[6]邓吉.黑客攻防实战详解[M].北京：电子工业出版，2006.