🌝博客主页:泥菩萨
💖专栏:Linux探索之旅 | 网络安全的神秘世界 | 专接本 | 每天学会一个渗透测试工具
✨SQLmap简介
Sqlmap是一款开源的渗透测试工具
🚀下载及安装
下载地址:http://sqlmap.org/
windows或mac下载第一个,linux下载第二个
kali默认自带sqlmap不需要安装
解压刚下载好的压缩包后,重命名为sqlmap
移动到python目录下
复制sqlmap的路径,我的是D:\Python\SQLMap
回到桌面,右击新建 > 快捷方式
快捷方式名
创建成功!右击选择属性,更改起始位置
双击sqlmap的快捷图标,输入python sqlmap.py,验证是否安装成功
🐱👤SQLmap的使用
在注入的url中要包含参数和cookie值,通过sqlmap工具中--cookie参数带上cookie值
抓包查找cookie值后写在–cookie后方
分析测试结果
💦参数详解
1️⃣target:目标
- -u 目标url
- -m 将目标地址保存在文件中,一行为一个URL地址进行批量检测
- -r 从文件中加载http请求
- -d 直接连接数据库的连接字符
- -l 从Burp或者websscarab代理日志文件中分析目标
- -x 从远程网站地图(sitemap.xml)文件来解析目标
- -g 从谷歌中加载结果目标url(只获取前100个结果,需要挂代理)
- -c 从配置ini文件中加载选项
目标URL
- python sqlmap.py -u "目标url" --batch --cookie "cookie值"
- –batch:sqlmap帮你判断选择yes或no
- –cookie:登陆后扫描
从文本中获取多个目标扫描
- python sqlmap.py -m 1.txt --batch
1.txt文件中保存url格式如下,sqlmap会一个一个检测
- www.magedu1.com/vu1n1.php?q=q=student
- www.magedu2.com/vuln2.asp?id=1
- www.magedu3.com/vuln3/id/1*
从文件中加载http请求
- python sqlmap.py -r 1.txt --batch
直接把bp抓到的请求包复制到一个文本文件里,这样可以让我们省去写cookie和url等参数
比如1.txt文本文件内容如下:
- POST/students.php
- HTTP/1.1
- Host:www.magedu.com
- User-Agent:Mozilla/4.0
- id=1
2️⃣Request:请求设置
- --method 指定请求方法
- --data 把数据以post方式提交
- --param 当GET或POST的数据需要用其他字符分割测试参数的时候需要用到此参数
- --cookie 设置提交请求的时候附带所设置的cookie
- --load-cookie 从文件获取cookie
- --user-agent 可以使用–user-anget参数来修改
- --headers 可以通过–headers参数来增加额外的http头
- --proxy 设置代理,可以避免本机地址被封禁
- --delay 可以设定两个HTTP(S)请求间的延迟防止发送过快导致被封ip
- --random-agent 使用–random-agnet参数来随机的从./txt/user-agents.txt中获取。当–level参数设定为3或者3以上的时候,会尝试对User-Angent进行注入
- --referer 在请求目标的时候可以自己伪造请求包中的referer
- –-level 参数设定为3或者3以上的时候会尝试对referer注入
- --scope 利用正则过滤目标网址
把数据以POST方式提交
当参数写在url里会当成get方式,–data可以用post方式提交并进行检测
- python sqlmap.py -u "http://www.baidu.com/students.php" --data="id=1" -f --banner --dbs --users
- –banner:指纹信息
- –dbs:数据库
- –users:表名
利用正则过滤目标网址
- python sqlmap.py -l burp_http.log --scope="(www)?\.tagdet\.(com|net|org)"
burp_http.log:从bp中加载的日志文件
避免过多的错误请求被屏蔽
sql注入的过程也可以理解成爆破的过程,在这么多的请求中也会有大量的报错请求,而有的网站会有一些保护机制,使用这个参数可以避免发送过多的错误请求导致ip被封掉
参数:–safe-url,–safe-freq
- --safe-url:提供一个安全不错误的链接,每隔一段时间都会去访问一下
- --safe-freq:提供一个安全不错误的链接,每次测试请求之后都会在访问一遍安全连接
3️⃣Optimization:优化
4️⃣Injection:注入
- -p 想要测试的参数
- -skip 不想要测试的参数
- --dbms 指定数据库,节省sqlmap的检测时间
- --os 指定数据库服务系统,节省sqlmap的检测时间
- --tamper 使用sqlmap自带的tamper(脚本),或者自己写的tamper,来混淆payload,通常用来绕过waf和ips
测试参数
-p:指定测试的参数
–skip:指定要跳过的参数
- --skip="user-agent,referer"
指定数据库服务器系统
参数:–OS
一方面可以提速,另一方面降低被发现的可能性
指定大数字来使值无效
参数:–invalid-bignum
当用户想指定一个报错的数值时,可以使用这个参数,比如指定id=9999999999
指定逻辑运算来使值无效
参数:–invalid-logical
原理同上,比如指定id=1 and 18=19结果为假,从而引起报错,让你查不到内容
5️⃣Detection:探测等级
- --level=1 执行测试的等级(1~5,默认为1)
- --risk 共有四个风险等级(0~3)(慎用)
探测等级
参数:–level
共有5个等级,默认为1,最大为5
- 1级:不会探测http header
- 2级:探测加上cookie
- 3级:探测加上HTTP User-Agent/Refere
总之在不确定哪个payload或者参数为注入点时,为了保证全面性,建议使用高的level值
风险等级
参数:–risk
共有3个风险等级,默认是1
- 1会测试大部分的测试语句
- 2会增加基于事件的测试语句
- 3会增加or语句的SQL注入测试
有时候,例如在updata、delete的语句中,注入一个or的测试语句,可能导致更新或删除整个表,造成很大的风险
在工作中--risk谨慎使用,会对业务造成伤害
6️⃣fingerprint:指纹
- -f ,--fingerprint 执行检查广泛的dbms版本指纹
7️⃣enumeration:枚举
- -a,--all 获取所有信息
- -b,--banner 获取数据库挂你系统的表示
- --current-user 获取数据库管理系统当前数据库
- --hostname 获取数据库服务器的主机名称
- --is-dba 检测DBMS当前用户是否是DBA(数据库管理员)
- --users 枚举数据库管理系统用户
- --passwords 枚举数据库管理系统用户密码哈希
- --privieges 枚举数据库管理系统用户的权限
- --roles 枚举数据库管理系统用户的角色
- --dbs 枚举数据库管理系统数据库
- --tables 枚举DBMS数据库中的表
- --columns 枚举DBMS数据库中的表
- --schema 枚举数据库架构
- --count 检索表的项目数
- --dump 转储数据库表项,即下载
- --dump-all 转储数据库所有表项
- --search 搜索列(s),表(s)和/或数据库名称(s)
- --comments 获取DBMS注释
- -D 要进行枚举的指定数据库名
- -T DBMS数据库表枚举
- -C DBMS数据库表列枚举
- -X DBMS数据库表不进行枚举
- -U 用来进行枚举的数据库用户
- --exclude-sysdbs 枚举表时排除系统数据库
- --pivot-column=p.. privot columnname
- --where=DUMPWHERE USE WHEREcondition while table dumping
- --start=LIMITSTART 获取第一个查询输出数据位置
- --stop=LIMITSTOP 获取最后查询的输出数据
- --first=FIRSTCHAR 第一个查询输出字的字符获取
- --last=LASTCHAR 最后查询的输出字字符获取
- --sql-query=QUERY 要执行的SQL语句
- --sql-shell 提示交互式SQL的shell
- --sql-file=SQLFILE 要执行的SQL文件
标识
参数:-b,-banner
数据库版本信息
当前用户
参数:–current-user
当前数据库
参数:–current-db
当前用户是否为管理员
参数:–is-dba
列出数据库管理用户
参数:–users
列出并破解数据库用户的hash值
参数:–passwords
列出数据库系统中的数据库
参数:–dbs
- python sqlmap.py -r 1.txt --dbs
列举数据库表
参数:–tables、–exclude-sysdbs、-D
列举数据库表中的字段
参数:–columns,-C,-T,-D
8️⃣Brute force:爆破
- --common-tables 检查存在共同表
- --common-columns 检查存在共同列
- --shared-lib=SHLIB 共享库的本地路径
9️⃣file system access:访问文件系统
- --file-read 从后端的数据库管理系统读取文件
- --file-writeE上传文件到后端的数据库管理系统
- --file-dest 后端的数据库管理系统写入文件的绝对路径
读文件前提:要知道读这个文件的路径
写文件:要指定上传文件,指定上传文件路径
🔟Operating system access:访问操作系统
- --os-cmd=OSCMD 执行操作系统命令
- --os-shell 交互式的操作系统的shell
- --os-pwn 获取一个OOB shell,meterpreter或VNC
- --os-smbrelay 一键获取一个OOB shellmeterpreter或VNC
- --os-bof 存储过程缓冲区溢出利用
- --priv-esc 数据库进程用户权限提升
- --msf-path=MSFPATH Metasploit Framework本地的安装路径
- --tmp-path=TMPPATH 远程临时文件目录的绝对路径
获取整个表的数据
参数:-dump,-C,-T,-D,–start,–stop,–first,–last
获取所有数据库表的内容
参数:–dump-all,–exclude-sysdbs
–dump-all获取所有数据库表的内容,可同时加上–exclude-sysdbs排除系统数据库,只获取用户数据库的表,即业务数据
字段、表、数据库
参数:–search -C,-T,-D
运行任意操作系统命令
参数:–os-cmd,–os-shell
–os-shell:直接拿到操作系统的命令行
爬取网站url
参数:–crawl
sqlmap可以收集潜在的可能存在漏洞的链接,后面跟的参数是爬行的深度,此时的url可以不带参数
- python sqlmap.py -u "http://www.baidu.com" --crawl=3
忽略在会话文件中存储的查询结果
参数:–fresh-queries
如果不想让历史的缓存数据,影响到本次缓存结果,就加上这个参数
自定义输出的路径
参数:–output-dir
默认把缓存结果保存在output文件夹下,可以通过这个参数进行修改
🎃实际利用(DVWA)
当给sqlmap一个url时,它会:
- 1.判断可注入的参数
- 2.判断可以使用哪种SQL注入技术来注入
- 3.识别出哪种数据库
- 4.根据用户选择,读取哪些数据
dvwa使用sqlmap工具注入流程,如果你想看到sqlmap发送的测试payload最好的等级就是3
- # 判断注入点,因系统需要登录所以要加cookie
- python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=isgvp2rv4uts46jbkb9bouq6ir;
- security=low" -p id
- # 检测站点包含哪些数据库
- python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?id=1&submit=submit#" --cookie="PHPSESSIE=isgvp2rrv4uts46jbkb9bouq6ir;
- security=low" -p id --dbs
技巧:在实际检测过程中,sqlmap会不停的询问,需要手工输入“Y/N”来进行下一步操作,可以使用参数–batch命令来自动答复和判断
查看数据库管理系统中有哪些数据库
查看dvwa库下的所有表
查看users表中的字段
获取所有数据
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
