前言

最近停更了一段时间，主要是重新学习了一下sqlmap
sqlmap真的是sql注入最好的工具，不管是linux还是window环境，都是最好的
可能sqlmap是终端命令模式，用起来体验可能没有上面某些软件好，但功能很完善,还是好好学习一下吧

sql注入

sql注入是个很老的漏洞，晚上对于这个的文章也很多.如果不了解的可以去看看手动注入的原理，不过学之前最好有一种数据库的使用基础，这样可能更好理解
虽然sql注入是个很老的漏洞，可能很多人认为现在人们不会犯这个错误了，但还是有很多地方还是有sql注入点，怎么寻找就要看你的google使用啦
比如说昨天我从google上看的一个点

comments.php?id=

还是可以找到的
废话不多说，下面正式开始

sqlmap介绍

sqlmap是kali里面自动集成的了，如果其他环境需要下载，可以直接去git上寻找项目
sqlmap一般是六种漏洞检测技术
基于bool，就是我们的and 1=1
基于错误
基于union联合查询
基于时间

' and (select * from (select(sleep(20)))a)--+

基于堆叠查询（一般比较少见，这对于环境有要求，有可能程序设计的原因导致堆叠查询无法正常进行)
基于内联查询
同时也支持很多的数据库管理系统(DBMS)
MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite,
Firebird, Sybase , SAP MaxDB,等等
但一般都是结构化数据库，非结构化数据库也存在sql注入，但就要利用另一个注入工具了

环境

学习的过程中，建议还是本地装个靶机，然后通过kali注入metasploitalbe2,
metasploitalbe2
提取码：u1l8

sqlmap的使用

输入

sqlmap -h

可以看到帮助
输入

sqlmap -hh

会看到更详细的内容
当然也比较推荐第二种方法
那么下面我们就从参数开始介绍啦
sqlmap参数是一类一类的，所以我们也按照类来进行介绍

基本的参数

-h         -hh                  
--version             版本号
-v VERBOSE            Verbosity level: 0-6 (default 1)
--update              更新

不过这个-v参数后面可以跟数字，就是显示信息的详细程度，数字越大显示的信息越详细，默认是1

Fingerprint指纹识别

这个下面的参数最少，就从他开始介绍

-f --fingerprint   查询数据库的版本指纹

-f和–fingerprint都可以，只不过是简写和全写的区别
这个参数和后面的有个参数有点类似，我们可以比较一下他们的区别

-b, --banner       检索数据库管理系统的版本

-f查询的结果

[INFO] actively fingerprinting MySQL
[08:45:26] [INFO] executing MySQL comment injection fingerprint
back-end DBMS: active fingerprint: MySQL >= 5.0.38 and < 5.1.2comment injection fingerprint: MySQL 5.0.51

-b查询的结果

[INFO] the back-end DBMS is MySQL
[08:47:15] [INFO] fetching banner
back-end DBMS: MySQL 5
[08:47:16] [INFO] fetching banner

可以看出-f的参数得到的结果远远比-b要详细，所以以后查询指纹可以不用-b了，就用-f即可

Target目标

Get方法提交注入

   -u  --url=   目标url地址,一定是包含注入点的url sqlmap -u "http://192.168.0.11234/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" //加双引号是为了更好识别，因为有的url地址太长里面可能有\#这些特殊字符，所以引起来也方便一些sqlmap --url="http://192.168.0.113134/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#"

  -l       从Burp或WebScarab代理日志文件解析目标

这里更多的是burp为例，比如说我们之后访问了很多站点，我们可以通过burp记载log,然后把burp的日志文件导入sqlmap进而解析日志里面出现的站点是否存在sql注入
打开burp,进入projetct-options,选择misc,找到logging,把proxy的request打勾并选择保存位置
然后我们可以让浏览器开启代理，然后在proxy里关闭拦截，这样我们访问的记录就会被保存在日志里面，这里以1.log为例

sqlmap -l 1.log

然后就可以扫描日志里面的所有网页

--scope=       正则表达式过滤目标, 可以过滤日志内容，通过正则表达式匹配扫描目标
sqlmap -l 1.log --scope="(www)\.target\.(com|net|org）“
这个就限定了扫描的范围，就是target.com,target.net,target.org

-m        扫描文本文件中给定的多个目标

编辑一个文本文件，保存为1.txt

sqlmap -m 1.txt

然后sqlmap就会自动识别里面的url然后并问你是否需要测试这个url

  -g       将谷歌结果处理为目标url

如果可以科学上网，这个选项是个不错的选择，这个是比我们在浏览器手动输入，然后手动判断再拿来扫描更好的，不过如果不可以科学上网，那就…只能跟我一样手动爬，跟goole类似的就是bing,我们可以把google的语法直接放在bing里面搜，这对于不可以科学上网的朋友是个福音

sqlmap -g "inurl:\".php?id=\""

中间加两个"是为了转义，避免和一头一尾的"闭合,里面的语句也是比较经典的搜sql注入点的语句

  -d          用于直接数据库连接的连接字符串

如果我们知道了对方的登录账号和密码，就可以通过-d的参数直接连接，也不需要再额外下个别的数据库组件了,其实这个就是通过直连的方式查询数据库的内容

sqlmap -d "mysql://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME"
sqlmap -d "mysql://USER:@DBMS_IP:DBMS_PORT/DATABASE_NAME" //密码为空的时候也要:
sqlmap -d "access://DATABASE_FILEPATH"

这样查询更快一些

通过post的方法

-r     从文件加载HTTP请求

这里还是要结合我们的burp
捕获到http请求之后，全选然后选择copy to file,保存为1.txt

sqlmap -r 1.txt

Request请求

这些选项可用于指定如何连接到目标URL
修改request的头部

 -A  --user-agent    设置User-Agent的值 sqlmap -A "aaa"sqlmap --user-agent="aaa" 

因为sqlmap扫描的时候默认头是sqlmap/版本号，有的浏览器可能有拦截机制，所以我们可以修改头部为任意一个值,当然一般我们又记不住user-agent,所以我们可以通过

  --random-agent     使用随机选择的User-Agentsqlmap  --random-agent (/usr/share/sqlmap/data/txt/user-agents.txt下面列有具体的user-agents的信息)

为什么要修改头，因为有时候sqlmap会报错

[ERROR] the target URL responded with an unknown HTTP 
status code, try to force the HTTP User-Agent header with option --useragent or --random-agent

这是浏览器的安全机制，所以需要我们伪造客户端请求
当然也可以把我们的sqlmap伪装成mobile

 --mobile            通过HTTP用户代理头模拟智能手机sqlmap --mobile

下面这三个不用多说

    --host=       HTTP主机报头--referer=    HTTP引用头--method=    强制使用给定的HTTP方法(如PUT),具体什么时候使用post我也还不是很清楚，慢慢练

-H   附加头 这个只能添加一个
--headers=   多个附加头(比如说 "Accept-Language: fr\nETag: 123")中间需要用\n来进行换行

 --data=DATA         通过POST发送的数据字符串--param-del=       用于分割参数值的字符(例如&),有时候可能参数之间使用的有其他的分割符，这个时候就需要我们自己手动指定
sqlmap -u "http://1.1.1.1/a.php" --data="q=foo;id=1" --param-del=";" 

身份认证部分
有时候web应用需要基于cookie的身份认证，那么就需要提供cookie信息

  --cookie=COOKIE     HTTP Cookie header value sqlmap --cookie=""

有的cookie可能不标准，或者是专门这样设计，比如说

ID=176d4c35bcasdaasds9ce39b:T=159assaddd2358914

中间是通过:分割的，那么我们就需要利用cookie-del指定分割cookie的字符

sqlmap --cookie="ID=176d4c35bcasdaasds9ce39b:T=159assaddd2358914“ --cookie-del=":"

  --load-cookies=L.. 包含Netscape / wget格式的cookie的文件(这个应该就是之前那种标准的cookie)--drop-set-cookie  忽略响应中的Set-Cookie头(我也不是很清楚为什么要忽略这个)

--auth-type=  HTTP身份验证类型(Basic(基本)、 Digest(摘要)、NTLM(Windows NT LAN Manager )或PKI(公钥基础设施))
--auth-cred=  HTTP身份验证凭证(name:password)
--auth-file=AUTH..  HTTP认证PEM证书/私钥文件

就以basic(基于账号密码的来说)

sqlmap ....  --auth-type=Basic --auth-cred="root:password"

或者是pem证书的

sqlmap ...  --auth-file="ca.PEM"

*代理 *
比如说

sqlmap ....  --proxy="http://127.0.0.1:8080"  --proxy-cred="user:password"

当然也可以忽略代理

 --ignore-proxy      忽略系统默认代理设置,这个主要是扫描本地网络目标

当然也可以从文件导入代理链

 --proxy-file= 从文件加载代理列表

说到代理不得不提到tor

    --tor              使用Tor匿名网络--tor-port=   设置Tor代理端口以外的默认--tor-type=  设置Tor代理类型(HTTP, SOCKS4或SOCKS5(默认))--check-tor        检查Tor是否正确使用  

保护机制
因为检测和盲注会产生大量的失败请求，所以可以通过以下参数避免session被销毁

--safe-freq= 访问安全URL之间的定期请求，每发送 --safe-freq次注入请求之后就访问安全的url地址
--safe-url=  测试期间访问安全的URL地址,一般是不存在注入的url,避免session被销毁
--safe-req=  从文件加载安全的HTTP请求,跟之前的-r因为差不多--safe-post=  发送数据到一个安全的URL(只不过是使用post的方法)

这个的具体使用就是这样

sqlmap ... --safe-freq=4 --safe-url="http://target.com"

忽略

--ignore-code=  忽略（有问题的）HTTP错误代码（例如401）
--ignore-redirects  忽略重定向的尝试
--ignore-timeouts   忽略连接超时

杂项

 --delay=     每个HTTP请求之间的延迟(秒)
--timeout=  超时连接之前等待的秒数(默认为30)
--retries=  连接超时重试（默认3）
--force-ssl        强制使用SSL/HTTPS,https站点
--skip-urlencode   跳过有效负载数据的URL编码 ,因为默认get方法会对传输内容进行编码，而有的网站不遵守编码标准，直接就使用原始字符--eval=     在请求之前执行提供的Python代码 (e.g."import hashlib;id2=hashlib.md5(id).hexdigest()")每次请求都会对id编码
--chunked         使用HTTP分块传输编码(POST)请求
--hpp               使用HTTP参数污染方法
--randomize=   随机改变给定参数的值,(长度，类型保持一致)

csrf
绕过CSRF检测,这一块我不是很了解，也就不详细说了

--csrf-token=  用于保存反csrf令牌的参数
--csrf-url=  提取反csrf令牌访问的URL地址
--csrf-method=  在反csrf令牌页面访问期间使用的HTTP方法（get,post)