找回密码
 立即注册

QQ登录

只需一步,快速开始

一款开源的命令行自动SQL注入工具,它能够对多种主流数据库进行扫描支持,基于Python环境。
检测动态页面中get/post参数,cookie,http头
数据榨取/文件系统访问
操作系统命令执行
引擎强大,特性丰富
xss检测
支持主流的数据库


五种漏洞检测技术:
基于布尔的盲注检测
基于时间的盲注检测( 'and (select(sleep(20)))a)-- )
基于错误的检测
基于union联合查询的检测(适用于通过循环直接输出联合查询结果,否则只显示第一项结果)
基于堆叠查询的检测(;堆叠多个语句,适用于非select的数据修改,删除的操作)

其他特性:
数据库直接连接 -d(不通过sql注入,制定身份认证信息,ip,端口)
与burp,google结合使用,支持政策表达式限定测试目标
get,post,cookie,refere,user-agent(随机或指定)
支持basic,digest,ntml,ca身份认证
数据库版本,用户,权限,hash枚举和字典破解,暴力破解表列名称
文件上传下载,udf,启动并执行存储过程,操作系统命令执行,访问windows注册表
与metasploit集成结合使用,基于数据服务进程提权和上传执行后门

Target:
-d:直接连接数据库服务器,作为数据库客户端使用
-u:后面跟URL地址,最好用双引号括起来,一定要存在变量名称
-l:logfile,将Burpsuite或WEbScarab代理记录的log日志文件提交上来
-x:sitemapurl,将站点地图sitemap文件提交上来
-m:将有多个URL的文件提交上来进行扫描
-r:提交HTTP request信息的文件
-g:用Google去搜索
-c:提交配置文件

实例:
-p参数只对指定的参数进行注入,在上述命令中指定了对username参数进行注入
-f参数查看指纹信息

GET方法
sqlmap -u "http://192.168.1.12/mutillidae/index.php?page=user-info.php&username=1&password=2&user-info-php-submit-button=View+Account+Details" -p username -f
1172529-20190302212401549-575072357.png
1172529-20190302212606449-1697170565.png
查询的结果会保存在log文件中,位于一个root下的隐藏目录.sqlmap,可以进入查看相应的信息

--users:查看当前数据库所有用户
将注入命令的-f参数改为--users参数,确定过有注入点所以后面的执行速度会很快
1172529-20190302212808436-107535703.png

--banner:查看数据库版本信息
--dbs:查看目标数据库系统的所有库
--schema:查看元数据库,查看到的信息会很多
-a:所有数据都查找
-m:将有多个URL的文件提交上来进行扫描
-g参数,扫描Google搜索结果

POST方法:
简单判断POST方法的方法,输入的参数内容提交后没有出现在URL中,而GET方法中会出现。
使用http request文件,可通过Burpsuite抓取

使用Burpsuite的log文件
在Options>Misc>Logging

sqlmap -r reuqset.txt

sqlmap -l xx-log

--force-ssl:扫描HTTPS网站时需要添加参数
-c:扫描配置文件


Request:
--data数据段:将URL中的参数部分放到后面
GET/POST都适用,在GET方法中将URL后面的参数部分提取出来就好,在POST方法中需要自己用Burpsuite查看URL和参数的值即可,当然也可以在浏览器中F12打开开发者工具来查看

--param-del:变量分隔符,默认情况下参数变量的分隔符为&,若为其他符号时要使用变量分隔符。


--cookie:Cookie头,因为DVWA进入之前需要登录,即要有cookie,所以在对DVWA进行sqlmap查询时需要用到cookie参数。同样,cookie值用Burpsuite可以很方便地查看。

sqlmap会自动检查cookie中的注入点,level至少为2,通过--level 2来执行

Sqlmap会自动检查Set-cookie并更新,若想保留之前使用是用--drop-set-cookie


--user-agent:随机user-agent


Sqlmap检查user-agent的注入点,level>=3


--host:修改Host头主机内容(Level=5时sqlmap自动扫描)

--referer:Level>=3时sqlmap自动扫描
--headers:自定义的HTTP头,每行一个头,大小写区分:
--method=GET/POST:指定使用GET方法或者POST方法

基于HTTP协议的身份验证:
Basic:基本身份验证
Digest:摘要身份验证
NTLM:Windows可能用的身份验证

--delay:每次http(s)请求之间延迟时间,浮点数,单位为秒,默认为无延迟
--timeout:请求超时时间,浮点数,默认为30s
--retries:http(s)连接超时重试次数,默认3次
delay、timeout和retries等参数的设置可有利于避免被发现
--randomize:长度、类型与原始值保持一致的前提下,指定每次请求随机取值的参数名
--safe-url和--safe-freq:因为检测和盲注阶段会产生大量失败请求,服务器可能会销毁session。因此可以使用上述两个参数来解决,每发送--safe-freq次注入请求后,发送一次正常请求,即发送几个失败请求后就发送一次正常信息,绕过服务器的检测机制
--safe-url和--safe-freq:因为检测和盲注阶段会产生大量失败请求,服务器可能会销毁session。因此可以使用上述两个参数来解决,每发送--safe-freq次注入请求后,发送一次正常请求,即发送几个失败请求后就发送一次正常信息,绕过服务器的检测机制


Optimization优化性能:

--predict-output:与--threads参数不兼容,根据检测方法,将返回值跟统计表中的内容进行比较,缩小检测范围,提高效率,统计表在/usr/share/sqlmap/txt/common-outputs.txt,其中有版本名、用户名、密码、权限、角色、数据库名、表名、列名等等


--keep-alive:使用http(s)长连接,避免重复建立连接的网络开销,但大量长连接会严重占用服务器资源,与--proxy参数不兼容

--null-connection:常用于盲注判断,只获取相应页面的大小值,而不是页面的具体内容,降低了网络带宽消耗,与--text-only参数不兼容(也常用于盲注,基于页面内容的比较判断真假)

-o:同时使用--predict-output、--keep-alive和--null-connection三个参数

--threads:最大并发线程,默认值为1,建议不要超过10,否则会影响站点可用性,与--predict-output参数不兼容,盲注时每个线程获取一个字符(7次请求),获取完成后线程结束


Injection:
-p:指定扫描的参数,其他的参数的注入不会进行,使--level失效
--skip:排除指定的扫描参数

--level=5 --skip=”id,user-agent”



URI注入点:

sqlmap -u “http://1.1.1.1/param1/value1*/param2/value2/”



--dbms:指定数据库,可以加版本号,提高注入的效率,数据库名如MySQL<5.0>、Oracle<11i>、Microsoft SQL Server<2005>、PostgreSQL等


--os:指定目标操作系统,提高效率,如Linux、Windows


--invalid-bignum / --invalid-logical:默认情况下,sqlmap使用赋值使参数值失效,Bignum使用大数使参数值失效,Logical使用布尔判断使参数值失效


--no-cast:默认情况下,sqlmap榨取数据时会将所有结果转换为字符串,并用空格替换NULL结果,老版本mysql数据库对此提取不到数据,因而需要该参数取消这个默认处理方式


--no-escape:默认情况下,当payload中有单引号括起字符串时,为了避免混淆和出错,sqlmap使用char()函数编码来替换字符串,但有些服务器对于编码数据的处理会出错,而这时就需要该参数来关闭此功能


--tamper:混淆脚本,用于绕过应用层过滤、IPS、WAF,查看脚本:dpkg -L sqlmap | grep tamper

Detection:

--level:1-5级,默认为1
每个级别发送不同的xml类型的payload:/usr/share/sqlmap/xml/payloads


--risk:1-4级,默认为1、无害
Risk升高可造成数据被篡改等风险


--string / --not-string:指定出现的字段或指定不出现的字段判断真假


--regexp:正则表达式


--code:指定HTTP返回代码判断真假


--text-only:指定页面的一段内容判断真假


--titles:指定页面的标题判断真假


Techniques:

默认使用全部技术

B:基于布尔的盲注漏洞

E:基于错误的检测

U:基于UNION联合查询的检测

S:基于堆叠查询的检测(文件系统、操作系统、注册表必须)

T:基于时间的盲注漏洞


--time-sec:基于时间的注入检测相应的延迟时间,默认为5s


--union-cols:默认联合查询1-10列,随--level增加最多支持50列,--union-cols 6-9


--union-char:默认NULL,可以手动指定数值:--union-char 123


--dns-domain:攻击者控制了一台DNS服务器,使用该参数可提高数据榨取的速度


--second-order:不同的情况:在一个页面注入的结果,从另一个页面体现出来(--second-order http://192.168.1.12/b.php



Fingerprint:

-f、--fingerprint、-b、--banner:查看数据库管理系统指纹信息、DBMS、操作系统、架构、补丁



Enumeration枚举:

--current-user:查看当前数据库管理系统用户
--current-db:查看当前数据库
--hostname:查看目标主机名
--users:查看数据库管理系统所有用户账号
--privileges -U username:查看用户权限,CU为当前用户
--roles:查看角色
--dbs:查看所有数据库

--tables:查看表
--exclude-sysdbs:排除系统数据库的查询

--count:计算该项的数目

--schema:查看元数据库

--batch:参数采用默认选项,不进行询问
--dump-all查看全部

Brute Force:

无权读取information_schema库时,需要用到暴力破解来扫描

--common-tables:暴力破解表名

--common-columns:暴力破解列名



OS:
--os-cmd:执行一条命令,前提是当前用户有权执行
--os-shell:获取一个shell,前提是当前用户有权执行
--sql-shell:获取sql-shell,前提是当前用户有权执行

分享至 : QQ空间
收藏

7 个回复

倒序浏览
您需要登录后才可以回帖 登录 | 立即注册