Sqlmap的使用
使用流程:
当给sqlmap一个url的时候,它会有如下流程:
1、判断可注入的参数
2、判断可用哪种SQL注入技术进行注入
3、识别出哪种数据库
4、根据用户选择,读取哪些数据
支持的模式(5种)
1、基于布尔的盲注,即可根据返回页面判断条件的真假的注入
2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(通过页面返回时间是否增加来判断)
3、基于报错的盲注,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中
4、联合查询注入,可以使用union的情况下进行注入
5、堆查询注入,可以同时执行多条语句的执行注入
Sqlmap支持的数据库:
MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB
可以提供一个简单的URL,Burp或WebScarab请求日志文件,文本文档中的完整http请求或者Google的搜索,匹配出结果页面,也可以自己定义一个正则来判断那个地址去测试。测试GET参数,POST参数,HTTP Cookie参数,HTTP User-Agent头和HTTP Referer头来确认是否有SQL注入,它也可以指定用逗号分隔的列表的具体参数来测试。可以设定HTTP(S)请求的并发数,来提高盲注时的效率。
Sqlmap的等级(7个等级)
如果想观察sqlmap对一个点时怎么进行尝试判断及读取数据的,可以使用参数-v
共有7个等级,默认为1
0、只显示python错误及严重的信息
1、同时显示基本信息和警告信息。(默认)
2、同时显示debug信息
3、同时显示注入的payload
4、同时显示HTTP请求
5、同时显示HTTP响应头
6、同时显示HTTP响应页面
相关的参数:(在前面的都是常用的)
-u/--url:获取目标url,格式:http(s)://targeturl[:port]/[…]
-r:从文件中获取HTTP请求,可以跳过设置一些其他参数(如cookie、POST数据等)
--dbs:列出数据库系统的数据库(当前用户有权限读取包含所有数据库列表信息的表中的时候,即可列出所有的数据库)
--tables:列举数据库表
--columns:列举数据库表中的字段
-D,-T,-C:在得知数据库,表名,字段名时,联立读取数据,后面加上--dump
-m:从文本中获取多个目标扫描
-l:从Burp或者WebScarab代理中获取日志,交给sqlmap来一个个检测是否有注入
-g:sql可以检测注入Google搜索结果中GET参数(只获取前100个结果)
python sqlmap.py -g "inurl:\".php?id=1\""
--force-ssl:当请求是HTTPS的时候需要配合这个参数,或者在Host头后面加上:443
--data:该参数是把数据以POST方式提交
python sqlmap.py -u "http://www.target.com/vuln.php" --data="id=1" -f --banner --dbs --users
--param-del:GET或POST的数据需要用其他字符分割测试参数的时候用
python sqlmap.py -u "http://www.target.com/vuln.php" --data="query=foobar;id=1" --param-del=";" -f --banner --dbs --users
--cookie,--load-cookies,--drop-set-cookie:
该参数在两方面有用:web应用登录时,想要在这些头参数中测试SQL注入时。可以通过抓包把cookie获取到,复制出来,然后加到--cookie参数里。在HTTP请求中,遇到Set-Cookie的话,sqlmap会自动获取并且在以后的请求中加入,并且会尝试SQL注入。如果你不想接受Set-Cookie可以使用--drop-set-cookie参数来拒接。
当使用-cookie参数时,当返回一个Set-Cookie头的时候,sqlmap会询问你用哪个cookie来继续接下来的请求。当--level的参数设定为2或者2以上的时候,sqlmap会尝试注入Cookie参数。
--user-agent,--random-agent:默认sql的HTTP的请求头中User-Agent值为
sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org)
可以使用--user-anget参数来修改,同时也可以使用--random-agnet参数来随机的从./txt/user-agents.txt中获取。
当--level参数设定为3或者3以上的时候,会尝试对User-Angent进行注入。
--referer:sqlmap可以在请求中伪造Referer,当--level参数设定为3或者3以上的时候会尝试对referer注入。
--headers:通过该参数来增加额外的http头
--auth-type,--auth-cred:可以用来登录HTTP的认证保护支持的三种方式:Basic、Digest、NTLM
python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"
--auth-cert:HTTP协议的证书认证,当Web服务器需要客户端证书进行身份认证时,需要提供两个文件:key_file,cert_file
key_file是格式为PEM文件,包含着你的私钥,cert_file是格式为PEM的连接文件。
--proxy,--proxy-cred,--ignore-proxy:HTTP(S)代理
使用--proxy代理是格式为:http://url:port。
当HTTP(S)代理需要认证是可以使用--proxy-cred参数:username:password。
--ignore-proxy拒绝使用本地局域网的HTTP(S)代理。
--scope:利用正则过滤目标网址
python sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"
--safe-url,--safe-freq:避免过多的错误请求被屏蔽
有的web应用程序会在你多次访问错误的请求时屏蔽掉你以后的所有请求,这样在sqlmap进行探测或者注入的时候可能造成错误请求而触发这个策略,导致以后无法进行。
绕过这个策略有两种方式:
1、--safe-url:提供一个安全不错误的连接,每隔一段时间都会去访问一下。
2、--safe-freq:提供一个安全不错误的连接,每次测试请求之后都会再访问一边安全连接。
--eval:每次请求时候自定义的python代码
在有些时候,需要根据某个参数的变化,而修改另个一参数,才能形成正常的请求,这时可以用--eval参数在每次请求时根据所写python代码做完修改后请求。
python sqlmap.py -u "http://www.target.com/vuln.php?id=1&hash=c4ca4238a0b923820dcc509a6f75849b" --eval="import hashlib;hash=hashlib.md5(id).hexdigest()"
--dbms:默认情况会自动探测web应用后端的数据库
--os:默认情况自动探测数据库服务器系统
--prefix,--suffix:注入payload,有些环境需要注入的payload的前面或者后面加一些字符,来保证payload的正常执行。
例如,代码中是这样调用数据库的:
$query = "SELECT * FROM users WHERE id=(’" . $_GET[’id’] . "’) LIMIT 0, 1";
这时你就需要--prefix和--suffix参数了:
python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "’)" --suffix "AND (’abc’=’abc"
这样执行的SQL语句变成:
$query = "SELECT * FROM users WHERE id=(’1’) <PAYLOAD> AND (’abc’=’abc’) LIMIT 0, 1";
--level:探测等级,共有5个等级,默认为1,等级越高,探测的越全面
--risk:风险等级,共有4个风险等级,默认为1,会测试大部分测试语句,2会增加基于事件的测试语句,3会增加OR语句的SQL注入测试
--second-order:二阶SQL注入,有些时候注入点输入的数据看返回结果的时候并不是当前的页面,而是另外的一个页面,这时候就需要你指定到哪个页面获取响应判断真假。--second-order后面跟一个判断页面的URL地址。
-b,--banner:返回数据库的版本号
-current-user:获取管理数据的用户
--current-db:返回当前连接的数据库
--users:当前用户有权限读取包含所有用户的表权限时,列出所有管理用户
--passwords:当前用户有权限读取包含用户密码的彪的权限时,sqlmap会现列举出用户,然后列出hash,并尝试破解。
--schema,--exclude-sysdbs:用户可以用此参数获取数据库的架构,包含所有的数据库,表和字段,以及各自的类型。
加上--exclude-sysdbs参数,将不会获取数据库自带的系统库内容。
$ python sqlmap.py -u "http://192.168.48.130/sqlmap/mysql/get_int.php?id=1" --schema --batch --exclude-sysdbs
--search:可以用来寻找特定的数据库名,所有数据库中的特定表名,所有数据库表中的特定字段
--udf-inject,--shared-lib:可以通过编译MySQL注入自定义的函数(UDFs),或PostgreSQL在windows中共享库,DLL,或者Linux/Unix中共享对象,sqlmap将会问你一些问题,上传到服务器数据库自定义函数,然后根据你的选择执行他们,当你注入完成后,sqlmap将会移除它们。
--os-cmd,--os-shell:
当数据库为MySQL,PostgreSQL或Microsoft SQL Server,并且当前用户有权限使用特定的函数。
在MySQL、PostgreSQL,sqlmap上传一个二进制库,包含用户自定义的函数,sys_exec()和sys_eval()。
那么他创建的这两个函数可以执行系统命令。在Microsoft SQL Server,sqlmap将会使用xp_cmdshell存储过程,如果被禁(在Microsoft SQL Server 2005及以上版本默认禁制),sqlmap会重新启用它,如果不存在,会自动创建。
用--os-shell参数也可以模拟一个真实的shell,可以输入你想执行的命令。
--batch:非交互模式,不需要用户输入,将会默认值一直运行下去
--crawl:爬行网站URL,sqlmap可以收集潜在的可能存在漏洞的连接,后面跟的参数是爬行的深度。
--check-waf:启发式检测WAF/IPS/IDS保护,WAF/IPS/IDS保护可能会对sqlmap造成很大的困扰,如果怀疑目标有此防护的话,可以使用此参数来测试。 sqlmap将会使用一个不存在的参数来注入测试
--identify-waf:sqlmap可以尝试找出WAF/IPS/IDS保护,方便用户做出绕过方式。目前大约支持30种产品的识别。
395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
