kali linux之sqlmap

一款开源的命令行自动SQL注入工具,它能够对多种主流数据库进行扫描支持,基于Python环境。

检测动态页面中get/post参数,cookie,http头

数据榨取/文件系统访问

操作系统命令执行

引擎强大,特性丰富

xss检测

支持主流的数据库

 

 

五种漏洞检测技术:

基于布尔的盲注检测

基于时间的盲注检测( 'and (select(sleep(20)))a)-- )

基于错误的检测

基于union联合查询的检测(适用于通过循环直接输出联合查询结果,否则只显示第一项结果)

基于堆叠查询的检测(;堆叠多个语句,适用于非select的数据修改,删除的操作)

 

其他特性:

数据库直接连接 -d(不通过sql注入,制定身份认证信息,ip,端口)

与burp,google结合使用,支持政策表达式限定测试目标

get,post,cookie,refere,user-agent(随机或指定)

支持basic,digest,ntml,ca身份认证

数据库版本,用户,权限,hash枚举和字典破解,暴力破解表列名称

文件上传下载,udf,启动并执行存储过程,操作系统命令执行,访问windows注册表

与metasploit集成结合使用,基于数据服务进程提权和上传执行后门

 

Target:
-d:直接连接数据库服务器,作为数据库客户端使用
-u:后面跟URL地址,最好用双引号括起来,一定要存在变量名称
-l:logfile,将Burpsuite或WEbScarab代理记录的log日志文件提交上来
-x:sitemapurl,将站点地图sitemap文件提交上来
-m:将有多个URL的文件提交上来进行扫描
-r:提交HTTP request信息的文件
-g:用Google去搜索
-c:提交配置文件

 

实例:

-p参数只对指定的参数进行注入,在上述命令中指定了对username参数进行注入

-f参数查看指纹信息

 

GET方法

sqlmap -u "http://192.168.1.12/mutillidae/index.php?page=user-info.php&username=1&password=2&user-info-php-submit-button=View+Account+Details" -p username -f


查询的结果会保存在log文件中,位于一个root下的隐藏目录.sqlmap,可以进入查看相应的信息

 

 --users:查看当前数据库所有用户
将注入命令的-f参数改为--users参数,确定过有注入点所以后面的执行速度会很快

 

 

--banner:查看数据库版本信息

--dbs:查看目标数据库系统的所有库

--schema:查看元数据库,查看到的信息会很多

-a:所有数据都查找

-m:将有多个URL的文件提交上来进行扫描

-g参数,扫描Google搜索结果

 

POST方法:

简单判断POST方法的方法,输入的参数内容提交后没有出现在URL中,而GET方法中会出现。
使用http request文件,可通过Burpsuite抓取

 

使用Burpsuite的log文件

在Options>Misc>Logging

 

sqlmap -r reuqset.txt

 

sqlmap -l xx-log

 

--force-ssl:扫描HTTPS网站时需要添加参数

-c:扫描配置文件

 

 

Request:

--data数据段:将URL中的参数部分放到后面

GET/POST都适用,在GET方法中将URL后面的参数部分提取出来就好,在POST方法中需要自己用Burpsuite查看URL和参数的值即可,当然也可以在浏览器中F12打开开发者工具来查看

 

--param-del:变量分隔符,默认情况下参数变量的分隔符为&,若为其他符号时要使用变量分隔符。

 

 

--cookie:Cookie头,因为DVWA进入之前需要登录,即要有cookie,所以在对DVWA进行sqlmap查询时需要用到cookie参数。同样,cookie值用Burpsuite可以很方便地查看。

 

sqlmap会自动检查cookie中的注入点,level至少为2,通过--level 2来执行

 

Sqlmap会自动检查Set-cookie并更新,若想保留之前使用是用--drop-set-cookie


--user-agent:随机user-agent

 


Sqlmap检查user-agent的注入点,level>=3

 

--host:修改Host头主机内容(Level=5时sqlmap自动扫描)

 

--referer:Level>=3时sqlmap自动扫描

--headers:自定义的HTTP头,每行一个头,大小写区分:

--method=GET/POST:指定使用GET方法或者POST方法


基于HTTP协议的身份验证:
Basic:基本身份验证
Digest:摘要身份验证
NTLM:Windows可能用的身份验证

 

--delay:每次http(s)请求之间延迟时间,浮点数,单位为秒,默认为无延迟
--timeout:请求超时时间,浮点数,默认为30s
--retries:http(s)连接超时重试次数,默认3次
delay、timeout和retries等参数的设置可有利于避免被发现
--randomize:长度、类型与原始值保持一致的前提下,指定每次请求随机取值的参数名

--safe-url和--safe-freq:因为检测和盲注阶段会产生大量失败请求,服务器可能会销毁session。因此可以使用上述两个参数来解决,每发送--safe-freq次注入请求后,发送一次正常请求,即发送几个失败请求后就发送一次正常信息,绕过服务器的检测机制

--safe-url和--safe-freq:因为检测和盲注阶段会产生大量失败请求,服务器可能会销毁session。因此可以使用上述两个参数来解决,每发送--safe-freq次注入请求后,发送一次正常请求,即发送几个失败请求后就发送一次正常信息,绕过服务器的检测机制

 

 

 Optimization优化性能:

--predict-output:与--threads参数不兼容,根据检测方法,将返回值跟统计表中的内容进行比较,缩小检测范围,提高效率,统计表在/usr/share/sqlmap/txt/common-outputs.txt,其中有版本名、用户名、密码、权限、角色、数据库名、表名、列名等等


--keep-alive:使用http(s)长连接,避免重复建立连接的网络开销,但大量长连接会严重占用服务器资源,与--proxy参数不兼容

--null-connection:常用于盲注判断,只获取相应页面的大小值,而不是页面的具体内容,降低了网络带宽消耗,与--text-only参数不兼容(也常用于盲注,基于页面内容的比较判断真假)

-o:同时使用--predict-output、--keep-alive和--null-connection三个参数


--threads:最大并发线程,默认值为1,建议不要超过10,否则会影响站点可用性,与--predict-output参数不兼容,盲注时每个线程获取一个字符(7次请求),获取完成后线程结束

 

 

Injection:

-p:指定扫描的参数,其他的参数的注入不会进行,使--level失效

 --skip:排除指定的扫描参数

--level=5 --skip=”id,user-agent”



URI注入点:

sqlmap -u “http://1.1.1.1/param1/value1*/param2/value2/”



--dbms:指定数据库,可以加版本号,提高注入的效率,数据库名如MySQL<5.0>、Oracle<11i>、Microsoft SQL Server<2005>、PostgreSQL等


--os:指定目标操作系统,提高效率,如Linux、Windows


--invalid-bignum / --invalid-logical:默认情况下,sqlmap使用赋值使参数值失效,Bignum使用大数使参数值失效,Logical使用布尔判断使参数值失效


--no-cast:默认情况下,sqlmap榨取数据时会将所有结果转换为字符串,并用空格替换NULL结果,老版本mysql数据库对此提取不到数据,因而需要该参数取消这个默认处理方式


--no-escape:默认情况下,当payload中有单引号括起字符串时,为了避免混淆和出错,sqlmap使用char()函数编码来替换字符串,但有些服务器对于编码数据的处理会出错,而这时就需要该参数来关闭此功能
 

--tamper:混淆脚本,用于绕过应用层过滤、IPS、WAF,查看脚本:dpkg -L sqlmap | grep tamper

 

 Detection:

--level:1-5级,默认为1
每个级别发送不同的xml类型的payload:/usr/share/sqlmap/xml/payloads


--risk:1-4级,默认为1、无害
Risk升高可造成数据被篡改等风险


--string / --not-string:指定出现的字段或指定不出现的字段判断真假


--regexp:正则表达式


--code:指定HTTP返回代码判断真假


--text-only:指定页面的一段内容判断真假


--titles:指定页面的标题判断真假



Techniques:

默认使用全部技术

B:基于布尔的盲注漏洞

E:基于错误的检测

U:基于UNION联合查询的检测

S:基于堆叠查询的检测(文件系统、操作系统、注册表必须)

T:基于时间的盲注漏洞


--time-sec:基于时间的注入检测相应的延迟时间,默认为5s


--union-cols:默认联合查询1-10列,随--level增加最多支持50列,--union-cols 6-9


--union-char:默认NULL,可以手动指定数值:--union-char 123


--dns-domain:攻击者控制了一台DNS服务器,使用该参数可提高数据榨取的速度


--second-order:不同的情况:在一个页面注入的结果,从另一个页面体现出来(--second-order http://192.168.1.12/b.php)



Fingerprint:

-f、--fingerprint、-b、--banner:查看数据库管理系统指纹信息、DBMS、操作系统、架构、补丁



Enumeration枚举:

--current-user:查看当前数据库管理系统用户

--current-db:查看当前数据库

--hostname:查看目标主机名

--users:查看数据库管理系统所有用户账号

--privileges -U username:查看用户权限,CU为当前用户

--roles:查看角色

--dbs:查看所有数据库

--tables:查看表

 --exclude-sysdbs:排除系统数据库的查询

--count:计算该项的数目

--schema:查看元数据库
 
--batch:参数采用默认选项,不进行询问

--dump-all查看全部

 

Brute Force:


无权读取information_schema库时,需要用到暴力破解来扫描


--common-tables:暴力破解表名

--common-columns:暴力破解列名


 

OS:

--os-cmd:执行一条命令,前提是当前用户有权执行

--os-shell:获取一个shell,前提是当前用户有权执行

--sql-shell:获取sql-shell,前提是当前用户有权执行

 

 

 

 

友情链接 http://www.cnblogs.com/klionsec

               http://www.cnblogs.com/l0cm

               http://www.cnblogs.com/Anonyaptxxx

               http://www.feiyusafe.cn

 

posted @ 2019-03-02 21:56  Hydraxx  阅读(3477)  评论(4编辑  收藏  举报