SQLMap工具处理三重Base64编码参数的注入技巧

背景介绍

在Web应用安全测试中，经常会遇到各种编码形式的参数传递。其中Base64编码是一种常见的数据编码方式，而某些安全防护较为严格的系统甚至会采用多重Base64编码来传输数据。本文将以SQLMap工具为例，介绍如何正确处理三重Base64编码的JSON参数注入场景。

问题场景分析

测试人员发现目标系统的一个JSON参数经过了三重Base64编码处理。原始请求如下：

GET /list?id=WlhsS2QxbFlTbWhpVkVWcFQybEplazFUU1hOSmJrSm9ZMjFHZEUxcFNUWkpibEpzWXpOUmFVeERTbmRaV0Vwb1lsUk5hVTlwU2pCYVdFNHdTVzR3UFE9PQ==

经过三次Base64解码后，实际参数内容为：

{"param1":"31","param2":"test","param3":"test"}

初始尝试与问题

测试人员最初尝试使用SQLMap的tamper脚本(triplebase64)来处理，但发现工具仅对payload部分进行三重编码，而整个JSON参数并未被完整编码：

GET /list?id={"param1":"31VFhwRmJrc3dSazlTUTNONlQxUkJNRkJVVlRGTlZHZDBURk4wYzJWWFJrND0=","param2":"test","param3":"test"}

这种部分编码的方式导致SQLMap无法正确识别和利用问题。

解决方案

正确的处理方法是使用SQLMap的--eval参数，在请求发送前对整个参数进行三重Base64编码处理。具体命令如下：

python3 sqlmap.py -u 'http://<URL>/?id={"param1":"31","param2":"test","param3":"test"}' \
--eval='import base64; id=base64.b64encode(base64.b64encode(base64.b64encode(id.encode())))' \
--answer="JSON=y" \
--batch \
-v 6

关键参数解析

1. --eval：允许在请求发送前执行Python代码对参数进行处理
2. base64.b64encode()：Python的Base64编码函数，连续调用三次实现三重编码
3. --answer="JSON=y"：自动确认对JSON格式参数进行注入测试
4. --batch：自动选择默认选项，无需人工干预
5. -v 6：启用详细输出模式，便于调试

技术原理

这种处理方式的优势在于：

1. 完整编码：对整个JSON参数进行三重编码，而非仅编码payload部分
2. 自动化处理：在请求发送前自动完成编码，无需手动干预
3. 保持一致性：确保测试请求与正常请求的编码方式完全一致
4. 兼容JSON注入：正确处理JSON格式参数的注入点识别

实际应用效果

使用上述方法后，SQLMap能够正确识别并利用该三重Base64编码的JSON参数中的SQL注入问题。测试人员确认该方法有效解决了初始部分编码的问题。

总结

对于采用多重编码(特别是Base64)的Web应用参数，安全测试人员需要特别注意编码处理的完整性。SQLMap的--eval参数提供了灵活的预处理能力，可以应对各种复杂的编码场景。掌握这种技术能够有效提升对加固系统的安全测试能力。

在实际测试中，建议先手动验证编码/解码逻辑，确认无误后再通过自动化工具进行批量测试，以确保测试的准确性和有效性。