Sqlmap工具使用总结
1免责声明
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
2内容速览
sqlmap安装
sqlmap是一款开源免费的漏洞检查、利用工具.
- 可以检测页面中get,post参数,cookie,http头等.
- 可以实现数据榨取
- 可以实现文件系统的访问
- 可以实现操作命令的执行
- 还可以对xss漏洞进行检测
基本上可以说 安全从业人员必备的一款神器之软件.也是迈入安全圈的必要条件.
sqlmap的github项目地址:https://github.com/sqlmapproject/sqlmap/ sqlmap的官网地址:https://sqlmap.org/ sqlmap需要python环境:https://www.python.org/downloads/
如下图,我们已经可以使用sqlmap了 :
sqlmap使用
简单使用流程
我在本地搭建了一个sqlilabs的环境,访问如下图
使用sqlmap测试是否存在注入点,所用参数 -u-->代表url
python sqlmap.py -u http://127.0.0.1/sql/sqli/Less-1/?id=1
sqlmap探测到布尔盲注,时间盲注和联合查询
获取MySQL中的数据库名称,使用命令 --dbs
python sqlmap.py -u http://127.0.0.1/sql/sqli/Less-1/?id=1 --dbs
通过 '-D' 指定数据库,--tables查询数据表
通过 '-T' 指定数据表,--columns查询字段名称
通过--dump获取数据
sqlmap的基础命令(常用)
- -u:指定被扫描的url
- -b:获取banner信息
- --is-dba:是否是管理员权限
- --current-db:当前数据库
- --current-user:当前用户
- --dbs:列举数据库
- --tables:列举数据库的表名
- --count:检索所有条目数
- --columns:获取表的列名
- --dump:获取表中的数据,包含列
- -v:显示详细信息
sqlmap进阶命令(常用)
- --level:测试等级(1-5),默认为1。大于2时,会检测cookie注入;大于3时,会检测头注入
- --risk:执行测试的风险(0-3,默认为1)。risk越高,检测越慢越安全
- --technique:指定注入类型。B->布尔注入;E->报错注入;U->联合查询;T->延时注入;S->堆叠查询
- --time-sec :DBMS响应的延迟时间(默认为5秒)
- --proxy:使用代理服务器连接到目标URL
- --cookie:指定cookie
- --user-agent:指定请求头。默认情况下sqlmap的HTTP请求头中User-Agent值是:sqlmap/1.0-dev-xxxxxxx(http://sqlmap.org)
- --random-agent:从./txt/user-agents.txt中获取随机获取请求头
- --method:强制使用给定的HTTP方法
- --safe-freq:测试一个给定安全网址的两个访问请求
- --delay:可以设定两个HTTP(S)请求间的延迟,设定为0.5的时候是半秒,默认是没有延迟的
- --timeout:可以设定一个HTTP(S)请求超过多久判定为超时,10表示10秒,默认是30秒
- --dbms:指定数据库。mysql、oracle、mssql等
- --os:指定操作系统
- --os-shell:获取一个shell,根据网站的语言
sqlmap所有命令
所有命令请参考如下脑图:
sqlmap中的tamper
挂在嘴边的一句话,sqlmap绕waf,所用到的模块就是tamper,所用命令 --tamper=xxxxx 先来看一下,sqlmap中的tamper文件夹下有哪些文件
序号 | 脚本名称 | 注释 |
|---|---|---|
1 | 0x2char | 将每个编码后的字符转换为等价表达 |
2 | apostrophemask | 单引号替换为Utf8字符 |
3 | apostrophenullencode | 替换双引号为%00%27 |
4 | appendnullbyte | 有效代码后添加%00 |
5 | base64encode | 使用base64编码 |
6 | between | 比较符替换为between |
7 | bluecoat | 空格替换为随机空白字符,等号替换为like |
8 | chardoubleencode | 双url编码 |
9 | charencode | 将url编码 |
10 | charunicodeencode | 使用unicode编码 |
11 | charunicodeescape | 以指定的payload反向编码未编码的字符 |
12 | commalesslimit | 改变limit语句的写法 |
13 | commalessmid | 改变mid语句的写法 |
14 | commentbeforeparentheses | 在括号前加内联注释 |
15 | concat2concatws | 替换CONCAT为CONCAT_WS |
16 | equaltolike | 等号替换为like |
17 | escapequotes | 双引号替换为\\ |
18 | greatest | 大于号替换为greatest |
19 | halfversionedmorekeywords | 在每个关键字前加注释 |
20 | htmlencode | html编码所有非字母和数字的字符 |
21 | ifnull2casewhenisnull | 改变ifnull语句的写法 |
22 | ifnull2ifisnull | 替换ifnull为if(isnull(A)) |
23 | informationschemacomment | 标示符后添加注释 |
24 | least | 替换大于号为least |
25 | lowercase | 全部替换为小写值 |
26 | modsecurityversioned | 空格替换为查询版本的注释 |
27 | modsecurityzeroversioned | 添加完整的查询版本的注释 |
28 | multiplespaces | 添加多个空格 |
29 | nonrecursivereplacement | 替换预定义的关键字 |
30 | overlongutf8 | 将所有字符转义为utf8 |
31 | overlongutf8more | 以指定的payload转换所有字符 |
32 | percentage | 每个字符前添加% |
33 | plus2concat | 将加号替换为concat函数 |
34 | plus2fnconcat | 将加号替换为ODBC函数{fn CONCAT()} |
35 | randomcase | 字符大小写随机替换 |
36 | randomcomments | /**/分割关键字 |
37 | securesphere | 添加某字符串 |
38 | sp_password | 追加sp_password字符串 |
39 | space2comment | 空格替换为/**/ |
40 | space2dash | 空格替换为–加随机字符 |
41 | space2hash | 空格替换为#加随机字符 |
42 | space2morecomment | 空格替换为/_/ |
43 | space2morehash | 空格替换为#加随机字符及换行符 |
44 | space2mssqlblank | 空格替换为其他空符号 |
45 | space2mssqlhash | 空格替换为%23%0A |
46 | space2mysqlblank | 空格替换为其他空白符号 |
47 | space2mysqldash | 空格替换为–%0A |
48 | space2plus | 空格替换为加号 |
49 | space2randomblank | 空格替换为备选字符集中的随机字符 |
50 | symboliclogical | AND和OR替换为&&和 |
51 | unionalltounion | union all select替换为union select |
52 | unmagicquotes | 宽字符绕过GPC |
53 | uppercase | 全部替换为大写值 |
54 | varnish | 添加HTTP头 |
55 | versionedkeywords | 用注释封装每个非函数的关键字 |
56 | versionedmorekeywords | 使用注释绕过 |
57 | xforwardedfor | 添加伪造的HTTP头 |