Sqlmap使用指南(一)

最新推荐文章于 2024-05-14 20:32:45 发布
最新推荐文章于 2024-05-14 20:32:45 发布
阅读量1.2k 收藏 2
点赞数
文章标签: 黑客 CTF 数据库 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/60333606
版权

最近接触sqlmap指南比较多,有时候由于不熟练常会忘记些命令,所以在此根据乌云知识库等来源进行归纳总结,详细介绍sqlmap。(本系列文章适合新手)

要了解SQLMap的扫描规则,也就是Payload,那麽到底Payload是哪里来,是根据什么逻辑生成的呢,接下来必须先了解几个文件的,SQLMap的扫描规则文件位于\xml文件夹中,其中boundaries.xml与Payloads文件夹则为SQLMap的扫描规则所在,\xml\payloads中的6个文件,里面的6个文件分别是存放着不同注入手法的PAYLOAD。
那麽就必须了解两个格式,一是boundary文件,一是payloads。
例子:

!html


1
1
1,2
1
'
AND ‘[RANDSTR]’=’[RANDSTR]

clause与where属性
这两个元素的作用是限制boundary所使用的范围,可以理解成当且仅当某个boundary元素的where节点的值包含test元素的子节点,clause节点的值包含test元素的子节点的时候,该boundary才能和当前的test匹配,从而进一步生成payload。
prefix与suffix属性
要理解这两个属性的作用,那麽就先利用一段代码去讲解。

!javascript

function getattachtablebypid(pid) {tableid = DB::result_first("SELECT tableid FROM ".DB::table('forum_attachment')." WHERE pid='pid’ LIMIT 1”);  
    return ‘forum_attachment_’.(tableid >= 0 && tableid<10?intval( tableid) : ‘unused’);
}
通过代码我们可以知道pid参与了SQL语句的拼接,那麽如果我们输入的pid为’ AND ‘test’ = ‘test呢,那麽最终拼接起来的SQL语句应该为:

!sql

SELECT tableid FROM “.DB::table(‘forum_attachment’).” WHERE pid=” AND ‘test’ = ‘test’ LIMIT 1
所以如果我们输入的是’ AND ‘test’ = ‘test,那麽最终拼接起来的SQL语句同样是合法的。那麽我们就可以把所测试的Payload放到prefix与suffix中间,使之最终的SQL合法,从而进行注入测试,所以通过了解,prefix与suffix的作用就是为了截断SQL的语句,从而让最终的Payload合法。
至此boundary文件的作用已经讲解完了,接下来就是payload的讲解了。

!html


MySQL >= 5.0 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause
2
1
1
1,2,3
1
AND (SELECT [RANDNUM] FROM(SELECT COUNT(*),CONCAT(‘[DELIMITER_START]’,([QUERY]),’[DELIMITER_STOP]’,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)

AND (SELECT [RANDNUM] FROM(SELECT COUNT(*),CONCAT(‘[DELIMITER_START]’,(SELECT (ELT([RANDNUM]=[RANDNUM],1))),’[DELIMITER_STOP]’,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)


DELIMITER_START[DELIMITER_STOP]


MySQL
>= 5.0


1 title属性
title属性为当前测试Payload的标题,通过标题就可以了解当前的注入手法与测试的数据库类型。
2 stype属性
这一个属性标记着当前的注入手法类型,1为布尔类型盲注,2为报错注入。
3 level属性
这个属性是每个test都有的,他是作用是是限定在SQL测试中处于哪个深度,简单的来说就是当你在使用SQLMAP进行SQL注入测试的时候,需要指定扫描的level,默认是1,最大为5,当level约高是,所执行的test越多,如果你是指定了level5进行注入测试,那麽估计执行的测试手法会将超过1000个。
4 clause与where属性
test中的clause与where属性与boundary中的clause与where属性功能是相同的。
5 payload属性
这一属性既是将要进行测试的SQL语句,也是SQLMap扫描逻辑的关键,其中的[RANDNUM],[DELIMITER_START],[DELIMITER_STOP]分别代表着随机数值与字符。当SQLMap扫描时会把对应的随机数替换掉,然后再与boundary的前缀与后缀拼接起来,最终成为测试的Payload。
6 details属性
其子节点会一般有两个,其dbms子节所代表的是当前Payload所适用的数据库类型,当前例子中的值为MySQL,则表示其Payload适用的数据库为MySQL,其dbms_version子节所代表的适用的数据库版本。
7 response属性
这一属性下的子节点标记着当前测试的Payload测试手法。
grep :报错注入
comparison :布尔类型忙注入
time :延时注入
char :联合查询注入
SQLMAP当中的checkSqlInjection函数即是用这一属性作为判断依据来进入不同的处理分支。而且其中response属性中的值则为其SQL注入判断依据,就如当前的例子中,grep中的值为DELIMITER_START[DELIMITER_STOP],SQLMap会将[DELIMITER_START]与[DELIMITER_STOP]替换成Payload中所对应替换的值,然后利用所得到的对返回的页面信息进行正则匹配,如果存在在判断为当前存在SQL注入漏洞。
其中要注意的是,Payload中的字符串会根据当前Payload所适用的数据库类型对字符串进行处理,其处理的代码位于\plugins\dbms下对应数据库文件夹中的syntax.py脚本中。
所以最终的payload是根据test的payload子节点和boundary的prefix(前缀)、suffix(后缀)子节点的值组合而成的,即:最终的payload = url参数 + boundary.prefix+test.payload+boundary.suffix
0x02 实例

接下来以报错注入来实际讲解下Payload与boundary的使用。
上例子中的boundary元素中的where节点的值为1,2,含有test元素的where节点的值(1),并且,boundary元素中的clause节点的值为1,含有test元素的where节点的值(1),因此,该boundary和test元素以匹配。test元素的payload的值为:

!sql

AND (SELECT [RANDNUM] FROM(SELECT COUNT(*),CONCAT(‘[DELIMITER_START]’,(SELECT (CASE WHEN ([RANDNUM]=[RANDNUM]) THEN 1 ELSE 0 END)),’[DELIMITER_STOP]’,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)
之前已经介绍了最终的Payload是如何的一个格式,所以最后将其中的[RANDNUM]、[DELIMITER_START]、[DELIMITER_STOP]替换掉与转义之后。
则生成的payload类似如下:

!sql

[RANDNUM] = 2214
[DELIMITER_START] = ~!(转义后则为0x7e21)
[DELIMITER_STOP] = !~(转义后则为0x217e)
Payload: ’ AND (SELECT 2214 FROM(SELECT COUNT(*),CONCAT(0x7e21,(SELECT (CASE WHEN (2214=2214) THEN 1 ELSE 0 END)),0x217e,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a) AND ‘pujM’=’pujM
如果http://127.0.0.1/search-result.php?keyword=&ad_id=3存在注入的话,那么执行的时候就会报如下错误:
Duplicate entry ‘~!1!~1’ for key ‘group_key’
根据之前的讲解,那麽最终于测试的URL如下

!sql

http://127.0.0.1/search-result.php?keyword=&ad_id=’ AND (SELECT 2214 FROM(SELECT COUNT(*),CONCAT(0x7e21,(SELECT (ELT(2214=2214,1))),0x217e,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND ‘YmRM’=’YmRM
如下为返回的页面信息

后根据grep中的正规来匹配当前页面。

!sql

DELIMITER_START[DELIMITER_STOP]
而使用正则:~!(?P.*?)!~来匹配Duplicate entry ‘~!1!~1’ for key ‘group_key’ 的结果为1,根据匹配的结果可以得出当前的页面确实存在着SQL注入。
0x03 总结

通过SQLMap的扫描逻辑,我们可以了解到SQL注入的常规手法与实现,熟悉SQLMap的配置文件之后,自己就可以根据实际的情况对Payload与boundary进行修改,通过增加Payload与boundary来增强SQLMap的扫描规则,也可以利用其扫描规则来打造一款自己的SQL扫描工具。

原文来源:http://drops.wooyun.org/tips/8614

Elwood Ying
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
史上最详细的sqlmap使用教程
大河之犬的博客
09-19 4万+
sqlmapsqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
SQLMAP简介及使用方式
weixin_61862241的博客
05-06 9209
SQLMAP是一款由Python开发的自动化SQL注入工具,其主要功能是扫描、发现并利用SQL注入漏洞,它内置了很多绕过插件,并且支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite等数据库;基于布尔类型的注入,即可根据返回页面判断条件真假的注入;基于时间的盲注,即不能根据页面返回判断的时候,利用时间线是否延时来判断条件的真假;
SQLmap
qq_41638872的博客
06-23 1639
SQLmap使用
网络安全最全SQLmap使用教程图文教程(超详细),2024年最新太厉害了
最新发布
2401_84264610的博客
05-14 1580
1、检测「注入点」2、查看所有「数据库」3、查看当前使用的数据库4、查看「数据表」5、查看「字段」6、查看「数据」
渗透利器-sqlmap超级详解
kracer的博客
11-08 4866
目录 0X01 背景介绍 0X02 原理简述 0X03 参数说明 0X04 实战举例 0X05 高级用法 0X06 总结 0X01 背景介绍 官网:http://sqlmap.org 目前支持的数据库有:Altibase,Apache Derby, CrateDB, Cubrid, Firebird, FrontBase, H2, HSQLDB, IBM DB2, Informix, InterSystems Cache, Mckoi, Microsoft...
细说——sqlmap
LainWith的博客
11-20 4733
目录一些地址关于SQLmap5种漏洞检测技术更多sqlmap参数常用命令指定某个url进行测试GET型POST型需要登录cookie型指定测试的参数检测cookie注入参数拆分字符从文件中加载HTTP请求测试GET型POST型从文本中获取多个目标扫描从谷歌引擎搜索结果扫描测试时常用的参数指定参数指定数据库指定数据库服务器系统指定无效的大数字指定无效的逻辑注入payload列出数据时常用的参数数据库版本用户获取所有库当前数据库当前用户是否为管理员列数据库用户列出并破解数据库用户的hash列出数据库管理员权限列
sqlmap操作指南
06-02
### SQLMap操作指南 #### 一、SQLMap简介与功能 **SQLMap**是一款开源的安全漏洞扫描工具,它主要用于自动化地发现和利用SQL注入漏洞,从而实现对数据库的访问。SQLMap支持多种数据库类型,包括MySQL、Oracle、...
SQLmap使用简明指南
05-22
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。
sqlmap-master
01-04
文档通常会提供安装、使用、调试以及开发扩展的指南。 使用SQLMap时,需要遵循合法的渗透测试道德准则,仅在授权或对自身系统进行测试时使用,不得用于非法入侵他人系统。对于开发者而言,了解SQLMap的工作原理有助...
SqlMap入门指南-思维导图.png
04-25
SqlMap入门指南.png
sqlmap自动扫描工具
06-14
SQLMap是一款广泛使用的开源自动化SQL注入工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全研究人员或渗透测试人员快速、有效地发现和利用数据库服务器中的安全漏洞。下面将详细介绍SQLMap的工作原理、功能...
SQLmap 扫描工具的使用
m0_61990875的博客
10-21 2887
sqlmap的使用方法
SQLMAP基本应用详解(实战演示)
刘桂香263的博客
07-31 4734
SQLMAP自动化注入工具具有扫描、发现并利用给定的URL的SQL漏洞。
SQL注入Sqlmap使用指南(手把手保姆版)持续更新
热门推荐
开水的博客
03-15 2万+
sqlmap 是一款开源的渗透测试工具,可以自动化进行SQL注入的检测、利用,并能接管数据库服务器。它具有功能强大的检测引擎,为渗透测试人员提供了许多专业的功能并且可以进行组合,其中包括数据库指纹识别、数据读取和访问底层文件系统,甚至可以通过带外数据连接的方式执行系统命令。python sqlmap.py -参数,sqlmap可以运行在python2.6、2.7和3.x的任何平台上。
安全测试--注入扫描 sqlmap
Qton_CSDN的博客
12-16 5485
1.url:  学校图书馆 http://210.38.192.31:81/test.aspx 2 开始使用SQLMAP  解压sqlmap到硬盘 比如D:/sqlmap,打开CMD,输入python D:sqlmapsqlmap.py 就可以用了。 列几个基本命令   ./sqlmap.py –h     //查看帮助信息 ./sqlmap.py –u “http://www...
sqlmap命令大全(附详细扫描流程)
m0_50818626的博客
05-24 7518
3.扫描指定数据库中的所有表名,-D可以指定要扫描的数据库,这里我扫的是security库。红框内就是我们所扫描出的字段名,一共有三个,分别为id,password,username。如上图所示,我们就把我们需要的username和password找出来啦!4.扫描users中的字段名是什么,-T可以指定扫描的表。上图红框内就是security库中的所有表啦。可以看到有漏洞,布尔盲注和时间盲注。可以看到所有的数据库都被扫描出来了。5.用dump扫描出字段中的所有数据。2.扫描所有数据库 -dbs。
sqlmap基础知识
ys1215的博客
03-29 683
sqlmap
SQLMAP工具详解
zxq850107005的博客
10-13 1668
sqlmap 支持的注入模式: ​ 基于布尔的盲注:根据返回的页面内容为条件判断真假的注入; ​ 基于时间的盲注:不能根据页面返回内容判断任何信息。用条件语句加入延时函数,通过页面的返回时间来判断; ​ 基于报错注入:利用页面会返回错误信息; ​ 联合查询注入:可以使用union的情况下的注入; ​ 堆查询注入:可以同时执行多条语句的注入。 支持的数据库:多种… 选项 1、输出等级 ​ -v:观察sqlmap对一个点进行了怎样的常识判断以及读取数据,默认是1 ​ 0(只显示python错误以及严重的信息
黑客狂喜】有手就行的Sqlmap漏洞扫描工具,保姆级使用教程
kjuhfkicf154的博客
02-13 502
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值