1、 sqlmap介绍

sqlmap是一款支持 mysql , Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird ,Sybase和SAP MaxDB等数据库的各种安全漏洞检测工具。

2、 sqlmap的下载以及安装

（1）linux下git直接安装

Kali系统自带的sqlmap

gitclone –depth 1 sqlmap-dev

（2）windows下安装

windows下下载sqlmap的压缩包，解压后即可使用。但需要一些组件包的支持，需要有python2.7.x或者2.6.x环境支持

D:\一些工具分类\Python27

（3）kali及PentestBox默认安装sqlmap

(4) sqlmap支持的检测模式

sqlmap支持五种不同的注入模式：

l 基于布尔的盲注，即可以根据返回页面判断条件真假的注入；

l 基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断；

l 基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中；

l 联合查询注入，可以使用union的情况下的注入；

l 堆查询注入，可以同时执行多条语句的执行时的注入。

(5)sqlmap不同的等级

1、同时显示基本信息和警告信息。（默认）

2、同时显示debug信息。

3、同时显示注入的payload。

4、同时显示HTTP请求。

5、同时显示HTTP响应头。

6、同时显示HTTP响应页面。

–level

除此之外，也可以用-v代替level，因为-v就是level的缩写，因此这样也是可以的

如果你想看到sqlmap发送的测试payload最好的等级就是3

如下图，我这里选择了-v3，它这里显示了注入的payload，那么这个工具注入的代码就显示出来了，因此我们也可以照着这个去学习和研究

3、 数据库注入的使用

Access数据库注入sqlmap.py -u “网站” 我们先检测这个网站是否存在注入点

-u “网站”–tables 列出数据库中所有表的名字。

-u “网站”-T “表名” –columns 针对某个表的列名

-u “网站”-dump T “表名” -  C “列名”针对某个表里的某个列。列出该列中的字段内容（注意-dump可以放在后面，不用担心麻烦注意看清楚大小写）

因为access数据库只有一个独立的数据库，所以它这里不需要去猜数据库名

mssql数据库注入 -u “网站”

-u “网站”–dbs

-u “网站”–is-dba 查看当前用户是否是数据库管理员

-u “网站” –current -db

-u “网站”-D “数据库名” –tables

-u “网站”-D “数据库名” -T “表名” –columns

-u “网站”–dump -D “数据库名” -T “表名”-C “列名”

mysql数据库同上

一般注入的时候，我们可以先查看它的权限 –privileges

由于mysql和 mssql 数据库有多个数据库和多个网站，那么这个时候sqlmap默认跑的注入方式是显错注入。

1) my sql注入 演示

首先简单的测试是否存在sql注入漏洞

可以看见它这里显示了对方网站的操作系统为Windows，然后当前的php版本为5.4以及web服务器Apache的版本，还有当前的数据库为mysql5.0版本，上面的就是sqlmap注入时候攻击代码。

跑完的数据都将会保存在output目录下生成一个以网站域名命名的文件夹。

由于我是本地环境，所以它这里就是127.0.0.1

那么简单的检测就这样演示完了，接下来就是跑数据库名，为什么要跑数据库？因为mysql和mssql跟access数据库不一样，mysql有多个数据库，那么我们就需要跑出当前网站的数据库名，就跟我们进行显错注入一样，都需要数据库名来进一步来弄出表名和表里面的数据。

这个要用到–current-db这个参数，这个参数是用来显示当前数据库名的参数

那么结果如下，可以看见它这里显示出当前的数据库名为security，那么我们知道了数据库名，我们就可以去跑当前数据库名的所有数据

用-D大写的D代替databases，那么这个就是指定对应的数据库名，然后再用–tables去跑出当前数据库的所有表名

跑出来的结果如下，跑出了security数据库的4个表名，分别为emails、referrs、uagents、 users 。

那既然都跑出表名了，我们想看哪个表名最有价值，一般作为渗透者，都会对user、username、pass、password、admin等表名进行猜解，因为这些关键词的表名一般都存在重要的信息。

那我们就直接猜users表名的数据，当然，猜完表也要猜列名。猜列表要使用到–columns参数，这里还是一样，用-D和-T分别代表数据库名和表名，-T是tables的缩写，那么后面就是猜列名的参数–columns

然后就是这里猜出三个列名。分别是id、password、username等等，那么我们要猜出所有的数据，那我们就要用到–dump，–dump是全部拖下来的意思(可以这样理解)

因为这里有三个列名，那么用-C全部指定的时候，要用到逗号隔开，再使用–dump全部脱裤。

那么对应的数据就这么简单的显示出来了

4、注入的选择

参数：–technique

这个参数可以指定sqlmap使用的探测技术，默认情况下会测试所有的方式

· 测试注入点：sqlmap.py -u url -p id

· sqlmap注入方式techniquesqlmap.py -u url –technique T

支持探测的方式如下

B：Boolean-based blind sql injection(布尔型注入)

E：Error-based SQL injection (报错型注入)

U：UNION query SQL injection (可联合查询注入)

S：Stacked queries SQL injection(可语句查询注入)

T: Time-based blind SQL injecgtion(基于多时间延迟注入)

比如说我想进行一个时间盲注，再用-v3显示出当前注入的攻击代码。那么可以对比一下上面默认注入的代码和这里选择注入方式的代码。是完全不一样的