第三章-Sqlmap-CSDN博客

本文链接：https://blog.csdn.net/zerostruggle/article/details/127644253

第三章-Sqlmap

第一节 sqlmap介绍

1.1 sqlmap介绍

sqlmap是一个开源的渗透测试工具，它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。
它有一个强大的检测引擎，许多适合于终极渗透测试的小众特性和广泛的开关，从数据库指纹、从数据库获
取数据到访问底层文件系统和通过带外连接在操作系统上执行命令。

官方网址：http://sqlmap.org/

1.2 sqlmap环境安装

Python2.x环境下载地址：https://www.python.org/downloads/release/python-2715/

1.3 sqlmap下载

Sqlmap下载地址：https://github.com/sqlmapproject/sqlmap/zipball/master

1.4 sqlmap版本查看

由于Sqlmap使用Python(解释型语言)编写，所以可以直接在命令行中调用Python 解释器运行Sqlmap.py

第二节 Sqlmap获取目标

2.1 sqlmap直连数据库

Sqlmap支持直连数据库，通过以下命令来直连。
服务型数据库(前提知道数据库用户名和密码)：

DBMS://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME (MySQL, Oracle, Microsoft SQL
Server, PostgreSQL, etc.)

例如：

python sqlmap.py -d "mysql://admin:admin@192.168.21.17:3306/testdb" -f --banner --dbs --users

文件型数据库(前提知道数据库绝对路径)：

DBMS://DATABASE_FILEPATH (SQLite, Microsoft Access, Firebird, etc.)

2.2 sqlmap url探测

Sqlmap直接对单一URL探测，参数使用-u 或 --url

URL格式：http(s)://targeturl[:port]/[...]

例如：

python sqlmap.py -u "http://www.target.com/vuln.php?id=1" --banner

2.3 sqlmap文件读取目标

Sqlmap支持从不同类型的文件中读取目标进行Sql注入探测。
1、-l 从Burpsuite proxy或WebScarab proxy中读取Http 请求日志文件
2、-x 从sitemap.xml站点地图文件中读取目标探测。
3、-m 从多行文本格式文件读取多个目标，对多个目标进行探测。
4、-r 从文本文件中读取Http请求作为Sql注入探测的目标。
5、-c 从配置文件 sqlmap.conf中读取目标探测。

2.4 sqlmap Google批量扫注入

Sqlmap通过-c 自动利用Google获取指定Google hack的目标，然后利用交互向导模式进行Sql注入探测。
例如：

python sqlmap.py -g "inurl:\".php?id=1\""

第三节 sqlmap设置请求参数一

3.1 sqlmap设置HTTP方法

Sqlmap会自动在探测过程中使用适合的HTTP请求方法。但是在某些具体情况下，需要强制使用具体的HTTP请求方法。例如 PUT请求方法。HTTP PUT请求方法不会自动使用，因此需要我们强制指定。使用 --method=PUT。

3.2 sqlmap设置POST提交参数

默认情况下，用于执行HTTP请求的HTTP方法是GET，但是您可以通过提供在POST请求中发送的数据隐式地将其更改为POST。这些数据作为这些参数，被用于SQL注入检测。

python sqlmap.py -u "http://www.target.com/vuln.php" --data="id=1" -f --banner --dbs --users
-f fingerprint 指纹

3.3 sqlmap设置参数分隔符

在某些情况下，sqlmap需要覆盖默认参数分隔符(例如& in GET和POST数据)，才能正确地分割和单独处理每个参数。

python sqlmap.py -u "http://www.target.com/vuln.php" --data="query=foobar;id=1" --param-del=";" -f --banner --dbs --users

3.4 sqlmap设置Cookie头

Sqlmap中用来设置Cookie的参数：--cookie, --cookie-del, --load-cookies --drop-set-cookie

使用场景：

1、Web应用程序具有基于Cookie验证的过程；

2、想利用Cookie值上的SQL注入漏洞。

Sqlmap使用Cookie过程：

1、登录或浏览页面。

2、打开审计工具或代理截断，复制Cookie。

3、在Sqlmap中使用 --cookie 粘贴Cookie。

如果在通信过程中，web应用程序使用Set-Cookie标头进行响应，sqlmap将在所有进一步的HTTP请求中自动使用其值作为Cookie标头。sqlmap还将为SQL注入自动测试这些值。这可以通过提供--drop-set-cookie—sqlmap将忽略任何即将到来的Set-Cookie头来避免。

反之亦然，如果您提供了一个带有选项的HTTP Cookie报头—Cookie和目标URL在任何时候发送一个HTTP set -Cookie报头，sqlmap将询问您要为以下HTTP请求使用哪组Cookie。

load-cookie，可以用来提供包含Netscape/wget格式的cookie的特殊文件

注意：如果需要对HTTP Cookie值进行SQL注入探测，需要设置 --level 2以上(3)。

第四节 sqlmap设置请求参数二

4.1 sqlmap设置User-Agent

默认情况下，sqlmap使用以下用户代理头值执行HTTP请求: sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org)然而，通过提供自定义用户代理作为选项的参数，可以使用选项——user-agent来伪造它。此外，通过 --random-agent, sqlmap将从./txt/user-agent中随机选择一个用于会话中的所有HTTP请求。

一些站点在服务端检测HTTP User-Agent值，如果不是一个合法的值，就会中断连接。同时Sqlmap也会曝出错误。
[hh:mm:20] [ERROR] the target URL responded with an unknown HTTP status code, try to force the HTTP User-Agent header with option --user-agent or --random-agent

注意针对User-Agent的值探测SQL注入，需要设置--level 值为3.

4.2 sqlmap设置Host头

可以手动设置HTTP主机头值。默认情况下，从提供的目标URL解析HTTP主机头。
注意，如果 --level设置为5,将对HTTP主机头进行SQL注入检测。

4.3 sqlmap设置Referer头

伪造HTTP Referer值是可能的。默认情况下，如果没有显式设置，HTTP请求中不会发送HTTP引用头。
请注意，如果--level设置为3或以上，将针对HTTP引用头进行SQL注入测试。

4.4 sqlmap设置额外HTTP头

通过设置选项--header，可以提供额外的HTTP标头。每个标头必须用换行符分隔，从配置INI文件中提供它们要容易得多。可以查看示例sqlmap.conf文件。

python sqlmap.py -u "http://192.168.21.128/sqlmap/mysql/get_int.php?id=1" --headers="Host:www.target.com\nUser-agent:Firefox 1.0" -v 5

第五节 sqlmap设置请求参数三

5.1 sqlmap设置HTTP协议认证

Sqlmap中设置HTTP协议认证的参数：--auth-type和--auth-cred
其中--auth-type支持 Basic、Digest、NTLM
--auth-cred认证语法为：username:password
例如：

python sqlmap.py -u "http://url/arit.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"

5.2 sqlmap设置HTTP代理

Sqlmap中设置代理的参数：--proxy, --proxy-cred, --proxy-file ，--ignore-proxy
其中

--proxy用来设置HTTP代理服务器位置格式：--proxy http(s)😕/ip[:端口]
--proxy-cred用来设置HTTP代理服务器认证信息格式：--proxy-cred username:password
--proxy-file用来设置多条代理在文件中
--ignore-proxy当您希望通过忽略系统范围内的HTTP(S)代理服务器设置来针对本地网络的目标部分

运行sqlmap时，应该使用这种方法。

5.3 sqlmap设置Tor隐藏网络

Sqlmap中设置Tor网络的参数：--tor, --tor-port, --tor-type --check-tor

5.4 sqlmap设置延迟

Sqlmap探测过程中会发送大量探测Payload到目标，如果默认情况过快的发包速度回导致目标预警。为了避免这样的情况发生，可以在探测设置Sqlmap发包延迟。默认情况下，不设置延迟。--delay 0.5 设置延迟0.5秒

第六节 sqlmap设置请求参数四

6.1 sqlmap设置超时

在考虑超时HTTP(S)请求之前，可以指定等待的秒数。有效值是一个浮点数，例如10.5表示10秒半。默认设置为30秒。
例如：--timeout 10.5

6.2 sqlmap设置重试次数

Sqlmap中设置重试次数--retries count 设置对应重试次数，默认情况下重试3次。

6.3 sqlmap设置随机化参数

Sqlmap可以指定要在每次请求期间随机更改其值的参数名称。长度和类型根据提供的原始值保持一直。--randomize 参数名称

6.4 sqlmap设置日志过滤目标

与使用选项-l使用从提供的日志解析的所有主机不同，您可以指定有效的Python正则表达式，用于过滤所需的日志。

python sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"
--skip-urlencode 不进行URL加密。

第七节 sqlmap设置请求参数五

7.1 sqlmap设置忽略401

Sqlmap中设置忽略401

--ignore-401 参数用来忽略未验证错误。

如果您想测试偶尔返回HTTP错误401(未经授权的)的站点，而您想忽略它并在不提供适当凭证的情况下继续测试，您可以使用--ignore-401

7.2 sqlmap设置HTTP协议私钥

Sqlmap中设置HTTP协议私钥

当web服务器需要适当的客户端证书和用于身份验证的私钥时，应该使用此选项。提供的值应该是一个PEM格式的key_file，其中包含证书和私钥。

--auth-file 文件名

7.3 sqlmap设置安全模式

避免在多次请求失败后销毁会话

有时，如果执行了一定数量的不成功请求，则在此期间的web应用程序或检查技术会销毁会话。这可能发生在sqlmap的检测阶段或利用任何盲SQL注入类型时。原因是SQL有效负载不一定返回输出，因此可能会向应用程序会话管理或检查技术发出信号。

--safe-url, --safe-post, --safe-req --safe-freq

通过这种方式，sqlmap将访问每个预定义数量的请求，而不对某个安全URL执行任何类型的注入。

7.4 sqlmap设置忽略URL编码

据参数的位置(例如GET)，默认情况下它的值可以是URL编码的。在某些情况下，后端web服务器不遵循RFC标准，需要以原始的非编码形式发送值。在这种情况下使用--skip-urlencode。

--skip-urlencode 不进行URL加密。

第八节 sqlmap性能优化

8.1 sqlmap设置持久HTTP连接

Sqlmap中可以设置连接为持久连接。HTTP报文中设置 Connection: Keep-Alive。
参数：--keep-alive

8.2 sqlmap设置不接收HTTP Body

Sqlmap中设置空连接，表示不接受HTTP当中的Body。常用在盲注过程中。参数：--null-connection

8.3 sqlmap设置多线程

Sqlmap中设置同时发送多少个HTTP请求的多线程。--thread 默认是1个线程。为了不影响目标站点服务器的性能，Sqlmap可以设置最大的线程
数为10。

8.4 sqlmap设置预测输出

Sqlmap中的预测输出，在推理算法中用于检索值字符的顺序统计预测。参数：--predict-output

注意这个参数与 --thread参数不兼容。

第九节 sqlmap指定位置注入

9.1 sqlmap注入介绍

Sqlmap注入介绍
所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。
由此可见：SQL注入发生位置 HTTP数据包中任意位置

上节课：

1、-o 可以开启所有性能优化参数
2、--thread 默认线程数为1
3、--null-connectin:为了检索没有body响应的内容。

9.2 sqlmap设置指定注入参数

Sqlmap测试参数

-p, --skip --param-exclude --skip-static
-p ：指定具体探测的参数。例如：-p “id,user-agent”
--skip：忽略探测具体的参数。 例如：--level --skip “user-agent,referer”
--param-exclude：忽略包含具体内容的参数。例如：--param-exclude="token|session" 不对包含
token或session的参数进行探测。
--skip-static：忽略非动态参数

9.3 sqlmap设置URL注入位置

当注入点位于URI本身内部时，会出现一些特殊情况。除非手动指向URI路径，否则sqlmap不会对URI路径执行任何自动测试。必须在命令行中添加星号(*)来指定这些注入点。
例如，当使用Apache web服务器的mod_rewrite模块或其他类似的技术时，这就显得特别有用了
python sqlmap.py -u "http://targeturl/param1/value1*/param2/value2/"

9.4 sqlmap设置任意注入位置

与URI注入点类似，星号(*)(注意:这里也支持Havij样式%INJECT %)也可以用来指向GET、
POST或HTTP头中的任意注入点。注入点可以通过在带有选项-u的GET参数值、带有选项-数
据的POST参数值、带有选项-H的HTTP头值、带有选项-头、用户代理、引用和/或cookie的
HTTP头值中指定，或者在带有选项-r的文件中加载的HTTP请求的通用位置指定。
python sqlmap.py -u "http://targeturl" --cookie="param1=value1;param2=value2"

第十节 sqlmap注入参数一

10.1 sqlmap强制设置DBMS

Sqlmap DBMS指定
默认情况下Sqlmap会自动识别探测目标Web应用程序的后端数据库管理系统(DBMS)，以下列出Sqlmap完全支持的DBMS种类。
Mysql、Oracle、Microsoft SQL Server、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB、Informix--dbms 数据库管理系统名称 [版本号]
例如：

--dbms mysql 5.0 、--dbms microsoft sql server 05

10.2 sqlmap强制设置OS系统

默认情况下Sqlmap会自动识别探测目标Web应用程序的后端操作系统(OS)，以下列出Sqlmap完全支持的OS种类。
Linux 、Windows

例如：--os windows 或 --os linux

请注意，此选项不是强制性的，强烈建议只在完全确定底层操作系统的后端数据库管理系统时才使用它。如果不知道它，让sqlmap自动为您识别它。

10.3 sqlmap关闭负载转换机制

在检索结果时，sqlmap使用一种机制，在这种机制中，所有条目都被转换为字符串类型，并在NULL值的情况下用空格字符替换。这样做是为了防止出现任何错误状态(例如，将空值与字符串值连接起来)，并简化数据检索过程本身。尽管如此，还是有报告的案例(例如MySQL DBMS的旧版本)由于数据检索本身的问题(例如没有返回值)需要关闭这种机制(使用此开关)。

--no-cast

10.4 sqlmap关闭字符转义机制

在sqlmap需要在有效负载中使用(单引号分隔)字符串值(例如，选择'foobar')时，这些值将自动转义(例如，选择CHAR(102)+CHAR(111)+CHAR(111)+CHAR(98)+CHAR(97)+CHAR(114))。
这样做的原因有两个:混淆有效负载内容和防止后端服务器上查询转义机制(例如magic_quotes和/或mysql_real_escape_string)的潜在问题。用户可以使用这个开关关闭它(例如减少有效负载大小)。

--no-escape

第十一节 sqlmap注入参数二

11.1 sqlmap强制设置无效值替换

在sqlmap需要使原始参数值无效(例如id=13)时，它使用经典的否定(例如id=-13)。有了这个开关，就可以强制使用大整数值来实现相同的目标(例如id=99999999)。

--invalid-bignum

在sqlmap需要使原始参数值无效(例如id=13)时，它使用经典的否定(例如id=-13)。有了这个开关，就可以强制使用布尔操作来实现相同的目标(例如id=13 and18=19)。

--invalid-logical

在sqlmap需要使原始参数值无效(例如id=13)时，它使用经典的否定(例如id=-13)。有了这个开关，就可以强制使用随机字符串来实现相同的目标(例如id=akewmc)。

--invalid-string

11.2 sqlmap自定义注入负载位置

在某些情况下，只有当用户提供要附加到注入负载的特定后缀时，易受攻击的参数才可被利用。当用户已经知道查询语法并希望通过直接提供注入有效负载前缀和后缀来检测和利用SQL注入时，这些选项就派上用场了。

--prefix 设置SQL注入Payload前缀

--suffix 设置SQL注入Payload后缀

例如：
$query = "SELECT * FROM users WHERE id=(' . $_GET['id'] . ') LIMIT 0, 1";

python sqlmap.py -u "http://ip/sqlmap/mysql/get_str_brackets.php\
?id=1" -p id --prefix "')" --suffix "AND ('abc'='abc"

$query = "SELECT * FROM users WHERE id=('1') <PAYLOAD> AND ('abc'='abc') LIMIT 0, 1";

11.3 sqlmap设置Tamper脚本

sqlmap本身不会混淆发送的有效负载，除了单引号之间的字符串被CHAR()类似的表示形式所取代之外。sqlmap通过Tamper脚本来绕过WAF等防御措施，可以在tamper文件夹下找到所有sqlmap自带的tamper脚本。

sqlmap.py -u "http://ip/sqlmap/mysql/get_int.php?id=1" --tamper“between.py,randomcase.py,space2comment.py” -v 3

11.4 sqlmap设置DBMS认证

设置DBMS认证方式通过以下命令：

--dbms-cred = username:password

第十二节 sqlmap自定义检测参数

12.1 sqlmap设置探测等级

--level 此选项需要指定要执行的测试等级的参数。有五个层次。在执行有限数量的测试(请求)时，默认值为1。1~5探测复杂逐步提升。

sqlmap使用的有效负载在文本文件xml/payload .xml中指定。按照文件顶部的说明，如果sqlmap错过了注入，您也应该能够添加自己的有效负载来进行测试!

这个选项不仅会影响到哪个有效负载sqlmap尝试，还会影响到在考试中取哪个注入点:GET和POST参数总是被测试，HTTP Cookie头值从第2级测试，HTTP用户代理/引用头值从第3级测试。

总之，检测SQL注入越困难，必须设置的——级别就越高。

在显示无法注册时，可以设置 --level 5 来进行更强大的探测。

12.2 sqlmap设置风险参数

此选项需要指定要执行测试的风险的参数。有三个风险值。默认值为1，这对于大多数SQL注入点来说是无害的。风险值2增加了大量基于查询时间的SQL注入测试的默认级别，值3也增加了基于or的SQL注入测试。

在某些情况下，比如UPDATE语句中的SQL注入，注入基于or的有效负载可能导致表的所有条目的更新，这肯定不是攻击者想要的。出于这个原因和其他原因，我们引入了这个选项:用户可以控制测试的有效负载，用户可以任意选择使用也有潜在危险的负载。

例如：

--risk num num范围 1~3

12.3 sqlmap设置页面比较参数

默认情况下，通过比较注入的请求页面内容和未注入的原始页面内容，可以区分真查询和假查询。这种观念并不总是起作用是因为在每次刷新页面内容的变化有时甚至没有注射,例如当页面有一个计数器,一个动态广告横幅或任何其他HTML的一部分呈现动态和可能改变时间不仅因此用户的输入。为了绕过这个限制，sqlmap努力识别响应体的这些片段并进行相应处理。

--string：指定包含字符串查询为True

--not-string：指定包含字符串查询为False

--regexp：指定通过正则表达式匹配字符串,查询为True

--code：指定匹配HTTP状态响应码，查询为True

12.4 sqlmap设置内容比较参数

--text-only：设置页面内容中包含文本。 
例如：--text-only = “Welcome for True and Forbidden for False”


--titles：设置页面title中包含文本。前提需要知道如何区分查询的真与假，根据返回字符串内容不同。
--titles=”Login”

第十三节 sqlmap注入技术参数一

13.1 sqlmap设置具体sql注入技术

--technique 参数用来设置具体SQL注入技术。以下列出Sqlmap支持的SQL注入技术。

B: Boolean-based blind 基于布尔的盲注

E: Error-based 报错注入

U: Union query-based Union查询注入

S: Stacked queries 堆叠注入

T: Time-based blind 基于时间的盲注

Q: Inline queries 内联查询注入

例如：sqlmap -u “存在注入点的URL” --technique B --current-db

利用基于布尔的盲注对注入点进行SQL注入探测。

13.2 sqlmap设置时间盲注延迟时间

Sqlmap设置时间盲注延迟时间(DBMS延时)

在测试基于时间的盲SQL注入时，可以设置秒来延迟响应，方法是提供--time-sec选项，后面跟着一个整数。默认情况下，它的值设置为5秒。

例如：

sqlmap -u “存在注入点的URL” --time-sec 3 --current-db

13.3 sqlmap设置UNION字段数

默认情况下，sqlmap测试使用1到10列的UNION查询SQL注入技术。但是，通过提供更高--level值，可以将此范围增加到50列。

您可以手动告诉sqlmap使用特定范围的列来测试这种类型的SQL注入，方法是为该工具提供选--union-cols后跟一系列整数。例如，12-16表示使用12到16个列对UNION查询SQL注入进行测试。

例如：sqlmap -u “存在注入的URL” --union-cols 12-18 --current-db

13.4 sqlmap设置UNION字符

默认情况下，sqlmap测试使用空字符的联合查询SQL注入技术。但是，通过提供更高级别的值sqlmap，还将使用随机数执行测试，因为在某些情况下，UNION查询测试使用NULL会失败，而使用随机整数则会成功。

您可以手动告诉sqlmap使用特定字符测试这种类型的SQL注入，方法是使用带有所需字符值的选项--union-char(例如--union-char 123)。

第十四节 sqlmap注入技术参数二

14.1 sqlmap设置union查询表

某些情况下，Sqlmap需要设定Union 查询SQL注入的具体数据表才可以得到数据。

--union-from 表名

14.2 sqlmap设置DNS露出攻击

针对目标网络很有可能对外部流量进行限制，或者设置WAF。

通过设置DNS流量来突破限制 --dns-domain “dns服务器” 需要用户自身具有一个开放53端口的DNS服务器，通过DNS流量来获得Web应用程序中数据内容。

14.3 sqlmap设置二次注入

Sqlmap中可以设置二次注入的结果页面。

--union-second url

14.4 sqlmap识别指纹

--fingerprint -f 探测目标指纹信息。

第十五节 sqlmap检索dbms信息

获取后端数据库Banner信息。

--banner或者 -b

15.2 sqlmap检索DBMS当前用户

获取DBMS当前用户

--current-user

15.3 sqlmap检索DBMS当前数据库

获取当前数据库名。

--current-db

15.4 sqlmap检索DBMS当前主机名

--hostname

第十六节 sqlmap检索DBMS用户信息

16.1 sqlmap探测当前用户DBA

--is-dba 探测当前用户是否是数据库管理员。

16.2 sqlmap枚举DBMS用户

获取DBMS所有用户

--users

16.3 sqlmap枚举DBMS用户密码

--password 获取用户密码

16.4 sqlmap枚举DBMS权限

--privileges --role(角色)

第十七节 sqlmap枚举信息一

17.1 sqlmap列举数据库名

--dbs 列举数据库名称

17.2 sqlmap枚举数据库表

--tables 枚举表名 --> 指定具体数据库 -D 数据库名

--exclude-sysdbs

17.3 sqlmap枚举数据表列

--columns -D指定数据库 -T指定数据表 -C指定具体字段

17.4 sqlmap枚举数据值

--dump

第十八节 sqlmap枚举信息二

18.1 sqlmap枚举schema信息

用户可以使用此开关--schema检索DBMS模式。模式列表将包含所有数据库、表和列，以及它们各自的类型。与--exclude-sysdb结合使用时，只会检索和显示包含非系统数据库的模式的一部分。

python sqlmap.py -u "http://192.168.48.130/sqlmap/mysql/get_int.php?id=1" --schema--batch --exclude-sysdbs

18.2 sqlmap检索数据表数量

如果用户只想知道表中的条目数，则可以使用此开关。

--count

python sqlmap.py -u "http://192.168.21.129/sqlmap/mssql/iis/get_int.asp?id=1" --count -D testdb

18.3 sqlmap获取数据信息

--start, --stop, --first, --last

--start 1 --stop3 获取第二张到第三张表的名字

--stop 1 获取第一张表的名字

--first 3 --last 5 获取从第三出发到第五个字符

18.4 sqlmap设置条件获取信息

--pivot-column=id 设置独一无二的列

--where=“id>3” 设置条件

第十九节 sqlmap枚举信息三

19.1 sqlmap暴力破解数据

使用场景：Mysql<5.0时，Mysql中没有元数据库 information_schema。

--common-tables

--common-columns

19.2 sqlmap读取文件

--file-read 路径读取对应文件内容。

注意：此处路径为绝对路径。

19.3 sqlmap写入文件

--file-write 读取本地文件

--file-dest 将读取到的文件写入到远程绝对路径

19.4 sqlmap检索所有信息

-a --all

第二十节 sqlmap系统参数

20.1 sqlmap执行系统命令

--os-shell

20.2 sqlmap结合Metasploit

python sqlmap.py -u "注入点" --os-pwn  MySQL and PostgreSQL

20.3 注册表介绍

注册表(Registry，繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库，用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候，注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是，从Microsoft Windows 95操作系统开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。

20.4 sqlmap注册表操作

--reg-read

--reg-add

--reg-del

--reg-key, --reg-value, --reg-data --reg-type

$ python sqlmap.py -u http://192.168.136.129/sqlmap/pgsql/get_int.aspx?id=1 --r\

eg-add --reg-key="HKEY_LOCAL_MACHINE\SOFTWARE\sqlmap" --reg-value=Test --reg-ty\

pe=REG_SZ --reg-data=1

第二十一节 sqlmap通用参数

21.1 sqlmap加载sqlite会话文件

sqlmap自动为每个目标创建持久会话SQLite文件，位于专用输出目录中，其中存储会话恢复所需的所有数据。如果用户想显式地设置会话文件位置(例如在一个位置为多个目标存储会话数据)，可以使用此选项。

-s

21.2 sqlmap加载http文本文件

这个选项需要指定文本文件的参数来写入sqlmap - HTTP(s)请求和HTTP(s)响应生成的所有HTTP(s)流量。

这主要用于调试目的——当您向开发人员提供一个潜在的bug报告时，也发送这个文件。

-t

21.3 sqlmap设置默认选择选项

如果希望sqlmap作为批处理工具运行，

在sqlmap需要时不需要任何用户交互，那么可以使用-----batch来强制执行。这将使sqlmap在需要用户输入时保持默认行为。

21.4 sqlmap执行系统命令

--os-cmd=”命令”

第二十二节 sqlmap通用参数二

22.1 sqlmap设置盲注字符集

在基于布尔和基于时间的SQL盲注中，用户可以强制使用自定义字符集来加速数据检索过程。

例如，如果转储消息摘要值(例如SHA1)，则使用--charset=“0123456789abcdef”，预期请求数量比正常运行少30%左右。

22.2 sqlmap爬取URL

sqlmap可以通过从目标位置开始收集链接(爬行)来收集潜在的脆弱链接。使用此选项，用户可以设置一个深度(到起始位置的距离)，低于这个深度，sqlmap不会进入收集阶段，因为只要有新的链接要访问，就会递归地执行这个过程。

--crawl

python sqlmap.py -u "http://192.168.21.128/sqlmap/mysql/" --batch --crawl=3

--crawl-exclude 字符串存在字符串的URL不进行爬取。

22.3 sqlmap在CSV输出中使用的分割字符

当被转储的数据存储到CSV格式(--dump-format=CSV)时，条目必须用“分离值”分隔(默认值是，)。如果用户想要覆盖它的默认值，他可以使用这个选项(例如--csv-del=";")。

22.4 sqlmap设置输出格式

当将转储表数据存储到输出目录中的相应文件中时，sqlmap支持三种不同的格式:CSV、HTML和SQLITE。默认的是CSV，其中每个表行一行一行地存储在文本文件中，每个条目用逗号分隔(或提供了选项--csv-del)。对于HTML，输出被存储到一个HTML文件中，其中每一行都用格式化表中的一行表示。对于SQLITE，输出存储在SQLITE数据库中，原始表内容复制到同名的相应表中。

--dump-format

第二十三节 sqlmap通用参数三

23.1 sqlmap探测之前检测Internet连接

在进行评估目标之前，检测当前计算机Internet连接是否正常。确保探测失败不是因为网路拦截问题。

--check-internet

23.2 sqlmap解析和测试表单的输入字段

--form

23.3 sqlmap设置预计完成时间

可以实时地计算和显示估计的到达时间，以检索每个查询输出。当用于检索输出的技术是任何盲SQL注入类型时，就会显示这一点。

23.4 sqlmap刷新会话文件

由于会话文件的概念，所以最好知道您可以使用选项flush-session刷新该文件的内容。通过这种方式，您可以避免sqlmap中默认实现的缓存机制。其他可能的方法是手动删除会话文件。

第二十四节 sqlmap通用参数四

24.1 sqlmap忽略会话中存储的结果

使用选项--fresh-queries来忽略该文件的内容。通过这种方式，可以保持会话文件不变，对于所选的运行，避免恢复/恢复查询输出。

24.2 sqlmap使用Hex函数检索数据

非ascii数据的检索需要特殊的需求。解决这个问题的一个方法是使用DBMS hex函数。数据在被检索之前被编码为十六进制形式，然后被未编码为原始形式。

--hex

python sqlmap.py -u "http://192.168.48.130/sqlmap/pgsql/get_int.php?id=1" --hex -v 3 --batch

24.3 sqlmap设置自定义输出路径

sqlmap默认将会话和结果文件存储在子目录输出中。如果您想使用不同的位置，可以使用这个选项(例如--output-dir=/tmp)。

24.4 sqlmap从响应页面解析错误

如果web应用程序配置为调试模式，以便在HTTP响应中显示后端数据库管理系统错误消息，sqlmap可以解析并显示它们。这对于调试很有用，比如理解为什么某个枚举或接管开关不起作用——这可能与会话用户的特权有关

--parse-error

保存Sqlmap配置文件 --save

可以将命令行选项保存到配置INI文件中。然后，可以使用之前解释的-c选项编辑生成的文件并将其传递给sqlmap。

更新Sqlmap --update

第二十五节 sqlmap通用参数五

25.1 sqlmap强制设置DBMS编码

--encoding=”gbk”

25.2 sqlmap存储HTTP流量到HAR

--har=”HARFILE”

HAR(HTTP Archive)，是一个用来储存HTTP请求/响应信息的通用文件格式，基于JSON。

25.3 sqlmap筛选具体payload

--test-filter=”ROW”

25.4 sqlmap过滤具体payload

--test-skip=”BENCHMARK”

针对proxy日志文件使用正则表达式筛选目标

--scope=”regex”

第二十六节 sqlmap杂项参数

26.1 sqlmap使用缩写助记符

Sqlmap提供灵活的缩写助记符来进行快速书写命令。

-z

例如：

python sqlmap.py --batch --random-agent --ignore-proxy --technique=BEU -uwww.target.com/vuln.php?id=1"

使用助记符：

python sqlmap.py -z "bat,randoma,ign,tec=BEU" -u "www.target.com/vuln.php?id=1"

26.2 sqlmap设置探测预警

在发现SQL注入漏洞时，计算机发出警报声。

--alert

26.3 sqlmap设置问题答案

如果用户想自动设置问题的答案，即使使用--batch，使用--answers，通过在等号后面提供问题的任何部分和答案来完成。另外，不同问题的答案可以用分隔符分隔。

python sqlmap.py -u "http://192.168.22.128/sqlmap/mysql/get_int.php?id=1"--technique=E --answers="extending=N" --batch

26.3 sqlmap发现sql注入预警

如果用户使用--beep，当发现SQL注入时，会立即发出哔哔的警告。这在需要测试的大量目标url(选项-m)时特别有用。

第二十七节 sqlmap tamper脚本编写介绍

27.1 Tamper脚本结构介绍

sqlmap是一个自动化的SQL注入工具，而tamper则是对其进行扩展的一系列脚本，主要功能是对本来的payload进行特定的更改以绕过WAF。

27.2 Tamper函数介绍

tamper是整个脚本的主体。主要用于修改原本的payload。

27.3 dependencies函数介绍

dependencies函数，就tamper脚本支持/不支持使用的环境进行声明

27.4 简单案例

服务器代码：

<?php
$id = $_GET["id"];
$id = trim($id,"union");
echo "select * from user where id =' " . $id . "'";
?>

Tamper脚本：

def tamper(payload, **kwargs):
    return payload.replace('union','uniounionn')

针对这样情况Sqlmap双写绕过。

第二十八节 sqlmap tamper脚本分析-MSSQL

28.1 适合于MSSQLTamper脚本

支持MSSQL的Tamper脚本，也可能支持其他类型的数据库。

28.2 脚本分析方法

分析过程重点：如果只是使用直接看注释即可，需要二次开发就需要修改payload内容。

28.3 脚本分析过程中的学习

分析Tamper脚本可以学习绕过技巧以及其他技巧，例如space2mssqlblank.py

28.4 根据名称判断作用

第二十九节 sqlmap_tamper脚本分析-all

29.1 Tamper脚本常量文件

29.2 Tamper分析

分析支持所有类型数据库的脚本

分析apostrophemask.py

分析base64encode.py

分析multiplespaces.py

第三章-Sqlmap