SQLMAP常用命令速查表

---

title: SQLMAP速查表
copyright: true
top: 0
date: 2019-05-20 14:28:16
tags: 渗透测试
categories: 渗透测试
permalink:
password:
keywords:
description: SQLMAP 相关资料，持续更新。

罪人们总是不在意为了邪恶的欲望把痛苦加在别人的身上，却在自己面临刑罚的时候恐惧和哀求。

使用经验总结

在一旦注入成功且获得精确信息通过以下详细参数来指定检索、枚举动作和动作执行对象：检索DBMS的指纹特征、数据库、host值、用户身份、并对用户、密码、权限、角色进行枚举也就是爆破。然后尝试枚举数据库、数据库里的表、数据库里的内容、可以使用count来统计条目等操作。dump和dump-all就是脱裤和全脱的区别，dump某表的十条八条可能没事儿，dump-all注定要浪迹天涯，也就是所谓的从脱裤到跑路的开始，通过-D-T-C来制定索要枚举的库、表、和列，使用-X来排除不想要的列，特别是有多列且有无意义字段的时候，使用-X可大大节省时间。 –exclude-sysdbs参数，将不会获取数据库自带的系统库内容，可减少干扰内容，对-count的使用和枚举信息的使用建议搭配此参数来排除系统库。
当我们不想跑路的时候，那么请使用下面内容：

–start=LIMITSTART  First query output entry to retrieve指定从第几行开始输出，如：
–start=1     
–stop=LIMITSTOP    
Last query output entry to retrieve
指定从第几行停止输出
–stop=10 
–first=FIRSTCHAR   
First query output word character to retrieve
指定从第几个字符开始输出
–first 1     
–last=LASTCHAR
Last query output word character to retrieve
指定从第几个字符停止输出–last10

对文件系统、操作系统的交互和使用必须需要相应的权限，前面提到要求具有特定的函数执行特权，一般要求root。针对文件系统的读写：对–file-read配置绝对系统路径，可读取相应文件内容，可以是文本，也可以是二进制，条件是必须拥有相对应特权，已知的是mysql、postgresql和sqlserver。写入也是同样，往远端后台的DBMS里写入一个本地文件，可通过–file-dest指定绝对文件路径。” 当然和上面可以配合使用，当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。然后通过上面的文件系统管理上传一个库，使用可执行系统命令的sys_exec()和sys_eval()，甚至xp_cmdshell存储过程 –os-shell参数也可以模拟一个真实的shell，可以输入你想执行的命令。 Meterpreter配合使用 –os-pwn，–os-smbrelay，–os-bof，–priv-esc，–msf-path，–tmp-path配合Meterpreter使用，当前用户有权限使用特定的函数，可以在数据库与攻击者直接建立TCP连接，这个连接可以是一个交互式命令行的Meterpreter会话，sqlmap根据Metasploit生成shellcode，四种方式执行它：

1.通过用户自定义的sys_bineval()函数在内存中执行Metasplit的shellcode，支持MySQL和PostgreSQL数据库，参数：–os-pwn。 
2.通过用户自定义的函数上传一个独立的payload执行，MySQL和PostgreSQL的sys_exec()函数，Microsoft SQL Server的xp_cmdshell()函数，参数：–os-pwn。
3.通过SMB攻击(MS08-068)来执行Metasploit的shellcode，当sqlmap获取到的权限足够高的时候（Linux/Unix的uid=0，Windows是Administrator），–os-smbrelay。
4.通过溢出Microsoft SQL Server 2000和2005的sp_replwritetovarbin存储过程(MS09-004)，在内存中执行Metasploit的payload，参数：–os-bof。

当前用户有权限读取包含用户密码的权限时，sqlmap会现列举出用户࿰