SQLMap进阶：参数讲解（基于SQLMap1.4.9.3与《Web安全攻防渗透测试实战指南》提供的靶场）

Dear 丶 2022-12-04 07:49 128阅读 0赞

**目录**

\--level 5：探测等级

\--is-dba：当前用户是否为管理权限

\--roles：列出数据库管理员角色

\--referer：HTTP Referer头

\--sql-shell：运行自定义SQL语句

\--os-cmd，--os-shell：运行任意操作系统命令

\--file-read：从服务器数据库中读取文件

\--file-write，--file-dest：上传文件到数据库服务器中

--------------------

# \--level 5：探测等级 #

参数--level 5指需要执行的测试等级，一共有5个等级（1~5），可不加level，默认是1。 SQLMap使用的 Payload可以在**SQLMap\\data\\xml\\payloads**    中看到，也可以根据相应的格式添加自己的 Payload，其中5级包含的 Payload最多，会自动破解出cookie、XFF等头部注入。当然， level5的运行速度也比较慢。  
这个参数会影响测试的注入点，GET和POST的数据都会进行测试，HTTP cookie在leve为2时就会测试， Http User-agent/Refefer头在leve为3时就会测试。总之，在不确定哪个 Payload或参数为注入点时，为了保证全面性，建议使用高的 level 值。

# \--is-dba：当前用户是否为管理权限 #

该命令用于查看当前账户是否为数据库管理员账户，如下所示，在本案例中输入该命令，会返回Ture，如图所示。

sqlmap.py -u "http://192.168.1.7/sql/union.php?id=1" --is-dba

![20200906173632646.png][]

# \--roles：列出数据库管理员角色 #

该命令用于查看数据库用户的角色。如果当前用户有权限读取包含所有用户的表，输入该命令会列举出每个用户的角色，也可以用-U参数指定想看哪个用户的角色。

该命令仅适用于当前数据库是 Oracle的时候。

# \--referer：HTTP Referer头 #

SQLMap可以在请求中伪造HTTP中的referer，当--level参数设定为3或3以上时，会尝试对referer注入。可以使用referer命令来欺骗，如

--referer http://www.baidu.com

# \--sql-shell：运行自定义SQL语句 #

该命令用于执行指定的SQL语句，如下所示，假设执行 select\* from users limit 0,1语句，结果如图所示

sqlmap.py -u "http://localhost/sqli-labs/Less-1/?id=11" --sql-shell

![20200906185152760.png][]

# \--os-cmd，--os-shell：运行任意操作系统命令 #

在数据库为 MySQL、 PostgreSQL或 Microsoft SQL Server，并且当前用户有权限使用特定的函数时，如果数据库为 MySQL、 PostgreSQL、SQLMap上传一个二进制库，包含用户自定义的函数 sys\_exec（）和 syseval(），那么创建的这两个函数就可以执行系统命令。在 Microsoft SQL Server中， SQLMap将使用 xp\_cmdshell存储过程，如果被禁用（在 Microsoft SQL Server2005及以上版本默认被禁制），则SQLMap会重新启用它；如果不存在，会自动创建。

用--os-shell参数可以模拟一个真实的Shell，输入想执行的命令。当不能执行多语句时（比如PHP或ASP的后端数据库为 MySQL），仍然可以使用INTO OUTFILE写进可写目录，创建一个Web后门。--os-shell支持ASP、 ASPNET、JSP和PHP四种语言（要想执行改参数，需要有数据库管理员权限，也就是--is-dba的值要为True）。

# \--file-read：从服务器数据库中读取文件 #

该命令用于读取执行文件，当数据库为 MySQL、 PostgreSQL或 Microsoft SQL Server，并且当前用户有权限使用特定的函数时，读取的文件可以是文本，也可以是二进制文件。下面以 Microsoft SQL Server2005为例，复习--file-read参数的用法

python sqlmap.py -u "http://192.168.136.129/sqlmap/mssql/iis/get_str2.asp?name=luther" --file-read "C:/example.exe" -v 1

# \--file-write，--file-dest：上传文件到数据库服务器中 #

该命令用于写入本地文件到服务器中，当数据库为 MySQL、 PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数时，上传的文件可以是文本，也可以是二进制文件。

[20200906173632646.png]: /images/20221123/a31c7793199c40b380689e7ee8e8090e.png
[20200906185152760.png]: /images/20221123/5699b088e20e4fe29c8940b5368df079.png