zoukankan      html  css  js  c++  java
  • Sqlmap的使用

    一、Sqlmap简介 

      sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。

    1.2 支持的数据库:

      

    • MySQL
    • Oracle
    • PostgreSQL
    • Microsoft SQL Server,
    • Microsoft
    • Access,
    • IBM DB2
    • SQLite,
    • Firebird
    • Sybase and SAP MAXDB

    1.3支持5种SQL注入技术

    1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。

    2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。

    3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。

    4、联合查询注入,可以使用union的情况下的注入。

    5、堆查询注入,可以同时执行多条语句的执行时的注入。

    二、Sqlmap的指令

    2.1设置目标URL

    1.  -u /--url

    格式:http(s)://targeturl[:port]/[…]

    例如:python sqlmap.py -u "http://www.target.com/vuln.php?id=1" -f --banner --dbs --users

    从Burp或者WebScarab代理中获取日志

    2.  -m

    从文本中获取多个目标扫描,但是每一行只能有一个url. 

    sqlmap -m urllist.txt

    3.  -r

    从文件中加载HTTP请求,这样的话 就不需要在去设定cookie,POST数据......等等

    比如文本文件内如下:

    POST /vuln.php HTTP/1.1
    Host: www.target.com
    User-Agent: Mozilla/4.0

    id=1

    当请求是HTTPS的时候你需要配合这个--force-ssl参数来使用,或者你可以在Host头后门加上:443
    处理Google的搜索结果

    2.2设置回显等级(7个)

    参数:-v 默认为1:

    0、只显示python错误以及严重的信息。
    1、同时显示基本信息和警告信息。(默认等级)
    2、同时显示debug信息。
    3、同时显示注入的payload。
    4、同时显示HTTP请求。
    5、同时显示HTTP响应头。
    6、同时显示HTTP响应页面。

    2.3设置HTTP数据包相关参数

    参数:--data

    此参数是把data后面的数据以POST方式提交,sqlmap会像检测GET参数一样检测POST提交过去的参数
    例子:
    python sqlmap.py -u "http://www.target.com/vuln.php" --data="id=1"

    HTTP cookie头
    参数:--cookie,--load-cookies,--drop-set-cookie

    这个参数在以下两个方面很有用:

    1、web应用需要登陆的时候。

    2、你想要在这些头参数中测试SQL注入时。

    可以通过抓包把cookie获取到,复制出来,然后加到--cookie参数里。

    在HTTP请求中,遇到Set-Cookie的话,sqlmap会自动获取并且在以后的请求中加入,并且会尝试SQL注入。

    如果你不想接受Set-Cookie可以使用--drop-set-cookie参数来拒接。

    当你使用--cookie参数时,当返回一个Set-Cookie头的时候,sqlmap会询问你用哪个cookie来继续接下来的请求。当--level的参数设定为2或者2以上的时候,sqlmap会尝试注入Cookie参数。(当web需要登录的时候,需要我们抓包获取cookie参数,然后复制出来,加到-- cookie参数中)


    --cookie=”Cookie: Hm_lvt6910067,1546929561,1547001094,1547024662;
    PHPSESSID=o64fbvo316lg59njufl2gfutm4; ”

    2.4设置HTTP数据包相关参数

    HTTP User-Agent头

    参数:--user-agent,--random-agent

    默认情况下sqlmap的HTTP请求头中User-Agent值是:sqlmap/1.0-dev-xxxxxxx (http://sqlmap.org)

    可以使用--user-anget参数来修改,同时也可以使用--random-agnet参数来随机的从./txt/user-agents.txt中获取。当--level参数设定为3或者3以上的时候,会尝试对User-Angent进行注入。

    HTTP Referer头

    参数:--referer

    sqlmap可以在请求中伪造HTTP中的referer,当--level参数设定为3或者3以上的时候会尝试对referer注入。
    额外的HTTP头

    参数:--headers

    可以通过--headers参数来增加额外的http头

    HTTP请求延迟

    参数:--delay

    可以设定两个HTTP(S)请求间的延迟,设定为0.5的时候是半秒,默认是没有延迟的。
    设定超时时间

    参数:--timeout

    可以设定一个HTTP(S)请求超过多久判定为超时,10.5表示10.5秒,默认是30秒。
    设定重试超时

    参数:--retries

    当HTTP(S)超时时,可以设定重新尝试连接次数,默认是3次。
    设定随机改变的参数值

    参数:--randomize

    可以设定某一个参数值在每一次请求中随机的变化,长度和类型会与提供的初始值一样。
    利用正则过滤目标网址

    参数:--scope

    例如:

    python sqlmap.py -l burp.log --scope="(www)?.target.(com|net|org)"

    避免过多的错误请求被屏蔽

    参数:--safe-url,--safe-freq

    有的web应用程序会在你多次访问错误的请求时屏蔽掉你以后的所有请求,这样在sqlmap进行探测或者注入的时候可能造成错误请求而触发这个策略,导致以后无法进行。

    2.5指定测试参数

    参数:-p ,
    sqlmap 默认会测试所有的GET和POST参数,当--level的值大于等于2的时候也
    会测试HTTP Cookie头的值,当大于等于3的时候也会测试User- Agent和HTTP
    Referer头的值。
    例如:-p “id,user-angent”
    参数:--skip
    在使用--level时,级别很大的时候,但是有些参数不能去测试,那么可以使用-- skip参数跳过。
    例如:--skip=”user-agent,referer”

    2.6指定数据库服务器系统

    参数:--os

    默认情况下sqlmap会自动的探测数据库服务器系统,支持的系统有:Linux、Windows。
    指定无效的大数字

    参数:--invalid-bignum

    当你想指定一个报错的数值时,可以使用这个参数,例如默认情况系id=13,sqlmap会变成id=-13来报错,你可以指定比如id=9999999来报错。
    只定无效的逻辑

    参数:--invalid-logical

    原因同上,可以指定id=13把原来的id=-13的报错改成id=13 AND 18=19。
    注入payload

    参数:--prefix,--suffix

    在有些环境中,需要在注入的payload的前面或者后面加一些字符,来保证payload的正常执行。

    例如,代码中是这样调用数据库的:

    $query = "SELECT * FROM users WHERE id=(’" . $_GET[’id’] . "’) LIMIT 0, 1"; 

    这时你就需要--prefix和--suffix参数了:

    python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "’)" --suffix "AND (’abc’=’abc"

    这样执行的SQL语句变成:

    $query = "SELECT * FROM users WHERE id=(’1’) <PAYLOAD> AND (’abc’=’abc’) LIMIT 0, 1"; 

    2.7修改注入的数据

    参数:--tamper

    sqlmap除了使用CHAR()函数来防止出现单引号之外没有对注入的数据修改,你可以使用--tamper参数对数据做修改来绕过WAF等设备。

    三:探测

    3.1设定探测等级

    参数:--level (sqlmap -r 情况下)共有五个等级,默认为1,sqlmap使用的payload可以在xml/payloads.xml中看到,自己也可以根据相应的格式添加自己的payload。

    level>=2的时候就会测试HTTP Cookie。

    level>=3的时候就会测试HTTP User-Agent/Referer头。

    level=5 的时候会测试HTTP Host

    这个参数不仅影响使用哪些payload同时也会影响测试的注入点,GET和POST的数据都会测试,HTTP Cookie在level为2的时候就会测试,HTTP User-Agent/Referer头在level为3的时候就会测试。
    总之在你不确定哪个payload或者参数为注入点的时候,为了保证全面性,建议使用高的level值

    3.2设定探测风险等级

    参数: --risk
    共有四个风险等级,0-4,
    默认是1会测试大部分的测试语句,
    2会增加基于时间的测试语句,
    3会增加OR语句的SQL注入测试。
    在有些时候,例如在UPDATE,DELETE的语句中,注入一个OR的测试语句,
    可能导致更新的整个表,可能造成很大的风险

    在有些时候,例如在UPDATE的语句中,注入一个OR的测试语句,可能导致更新的整个表,可能造成很大的风险。
    测试的语句同样可以在xml/payloads.xml中找到,你也可以自行添加payload。

    四:常用参数

    以上的我就不说了,我再说几个

    测试是否是注入  参数:--technique

    这个参数可以指定sqlmap使用的探测技术,默认情况下会测试所有的方式

    支持的探测方式如下:
    B: Boolean-based blind SQL injection(布尔型注入)
    E: Error-based SQL injection(报错型注入)
    U: UNION query SQL injection(可联合查询注入)
    S: Stacked queries SQL injection(可多语句查询注入)
    T: Time-based blind SQL injection(基于时间延迟注入)

    设定延迟注入的时间  参数:--time-sec

    当使用继续时间的盲注时,时刻使用--time-sec参数设定延时时间,默认是5秒。


    设定UNION查询字段数  参数:--union-cols

     默认情况下sqlmap测试UNION查询注入会测试1-10个字段数,当--level为5的时候他会增加测试到50个字段数。设定--union-cols的值应该是一段整数,如:12-16,是测试12-16个字段数。

    设定UNION查询使用的字符  参数:--union-char


    默认情况下sqlmap针对UNION查询的注入会使用NULL字符,但是有些情况下会造成页面返回失败,而一个随机整数是成功的,这是你可以用--union-char只定UNION查询的字符

    列数据

    参数:-b,--banner

    大多数的数据库系统都有一个函数可以返回数据库的版本号,通常这个函数是version()或者变量@@version这主要取决与是什么数据库。
    用户

    参数:-current-user

    在大多数据库中可以获取到管理数据的用户。
    当前数据库

    参数:--current-db

    返还当前连接的数据库。
    当前用户是否为管理用

    参数:--is-dba

    判断当前的用户是否为管理,是的话会返回True。
    列数据库管理用户

    参数:--users

    当前用户有权限读取包含所有用户的表的权限时,就可以列出所有管理用户。
    列出并破解数据库用户的hash

    参数:--passwords

    当前用户有权限读取包含用户密码的彪的权限时,sqlmap会现列举出用户,然后列出hash,并尝试破解。

  • 相关阅读:
    118.Java_前定义
    117.数据结构概述(定义,基本术语,层次)
    116.C语言_文件
    115.C语言_函数
    java数组
    sql语句学习(第二季
    linux查看内存
    增强型for和Iterator学习
    ArrayList和LinkedList
    java并发回答
  • 原文地址:https://www.cnblogs.com/qiantan/p/10688890.html
Copyright © 2011-2022 走看看