From 8d70855030a13b75761bcfca5a7ee1410c87de1b Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 30 Jul 2025 06:30:11 +0000 Subject: [PATCH] Translated ['src/pentesting-web/sql-injection/sqlmap.md', 'src/pentestin --- src/pentesting-web/sql-injection/sqlmap.md | 72 +++++++++++------- .../sql-injection/sqlmap/README.md | 73 ++++++++++++------- 2 files changed, 93 insertions(+), 52 deletions(-) diff --git a/src/pentesting-web/sql-injection/sqlmap.md b/src/pentesting-web/sql-injection/sqlmap.md index f36433245..ee9383459 100644 --- a/src/pentesting-web/sql-injection/sqlmap.md +++ b/src/pentesting-web/sql-injection/sqlmap.md @@ -21,6 +21,23 @@ --auth-cred="" #HTTP authentication credentials (name:password) --proxy=PROXY ``` +### 技术标志 (`--technique`) + +`--technique` 参数定义了 sqlmap 将尝试的 SQL 注入方法。字符串中的每个字符代表一种技术: + +| 字母 | 技术 | 描述 | +| ------ | --------- | ----------- | +| B | 基于布尔的盲注 | 使用真/假条件推断数据 | +| E | 基于错误的注入 | 利用详细的 DBMS 错误消息提取结果 | +| U | UNION 查询 | 注入 `UNION SELECT` 语句通过相同通道获取数据 | +| S | 堆叠查询 | 添加由 `;` 分隔的额外语句 | +| T | 基于时间的盲注 | 依赖延迟 (`SLEEP`, `WAITFOR`) 检测注入 | +| Q | 内联 / 异带 | 使用如 `LOAD_FILE()` 的函数或 DNS 等 OOB 通道 | + +默认顺序为 `BEUSTQ`。您可以重新排列或限制它们,例如仅按顺序使用布尔和基于时间的注入: +```bash +sqlmap -u "http://target/?id=1" --technique="BT" --batch +``` ### 检索信息 #### 内部 @@ -124,44 +141,47 @@ sqlmap -r r.txt -p id --not-string ridiculous --batch | between.py | 用 'NOT BETWEEN 0 AND #' 替换大于运算符 \('>'\) | | bluecoat.py | 用有效的随机空白字符替换 SQL 语句后的空格字符。然后用 LIKE 运算符替换字符 = | | chardoubleencode.py | 对给定有效负载中的所有字符进行双重 URL 编码 \(不处理已编码的字符\) | -| commalesslimit.py | 用 'LIMIT N OFFSET M' 替换 'LIMIT M, N' 的实例 | -| commalessmid.py | 用 'MID\(A FROM B FOR C\)' 替换 'MID\(A, B, C\)' 的实例 | -| concat2concatws.py | 用 'CONCAT_WS\(MID\(CHAR\(0\), 0, 0\), A, B\)' 替换 'CONCAT\(A, B\)' 的实例 | -| charencode.py | 对给定有效负载中的所有字符进行 URL 编码 \(不处理已编码的字符\) | +| commalesslimit.py | 用 'LIMIT N OFFSET M' 替换类似 'LIMIT M, N' 的实例 | +| commalessmid.py | 用 'MID\(A FROM B FOR C\)' 替换类似 'MID\(A, B, C\)' 的实例 | +| concat2concatws.py | 用 'CONCAT_WS\(MID\(CHAR\(0\), 0, 0\), A, B\)' 替换类似 'CONCAT\(A, B\)' 的实例 | +| charencode.py | 对给定有效负载中的所有字符进行 URL 编码 \(不处理已编码的字符\) | | charunicodeencode.py | 对给定有效负载中未编码的字符进行 Unicode URL 编码 \(不处理已编码的字符\)。 "%u0022" | | charunicodeescape.py | 对给定有效负载中未编码的字符进行 Unicode URL 编码 \(不处理已编码的字符\)。 "\u0022" | -| equaltolike.py | 用运算符 'LIKE' 替换运算符等于 \('='\) 的所有出现 | +| equaltolike.py | 用运算符 'LIKE' 替换所有等于运算符 \('='\) | | escapequotes.py | 斜杠转义引号 \(' 和 "\) | | greatest.py | 用 'GREATEST' 对应字符替换大于运算符 \('>'\) | -| halfversionedmorekeywords.py | 在每个关键字前添加版本化的 MySQL 注释 | -| ifnull2ifisnull.py | 用 'IF\(ISNULL\(A\), B, A\)' 替换 'IFNULL\(A, B\)' 的实例 | -| modsecurityversioned.py | 用版本化注释包裹完整查询 | -| modsecurityzeroversioned.py | 用零版本化注释包裹完整查询 | -| multiplespaces.py | 在 SQL 关键字周围添加多个空格 | -| nonrecursivereplacement.py | 用适合替换的表示法替换预定义的 SQL 关键字 \(例如 .replace\("SELECT", ""\) 过滤器\) | -| percentage.py | 在每个字符前添加百分号 \('%'\) | +| halfversionedmorekeywords.py | 在每个关键字前添加版本化的 MySQL 注释 | +| ifnull2ifisnull.py | 用 'IF\(ISNULL\(A\), B, A\)' 替换类似 'IFNULL\(A, B\)' 的实例 | +| modsecurityversioned.py | 用版本化注释包裹完整查询 | +| modsecurityzeroversioned.py | 用零版本化注释包裹完整查询 | +| multiplespaces.py | 在 SQL 关键字周围添加多个空格 | +| nonrecursivereplacement.py | 用适合替换的表示法替换预定义的 SQL 关键字 \(例如 .replace\("SELECT", ""\) 过滤器\) | +| percentage.py | 在每个字符前添加百分号 \('%'\) | | overlongutf8.py | 转换给定有效负载中的所有字符 \(不处理已编码的字符\) | -| randomcase.py | 用随机大小写值替换每个关键字字符 | +| randomcase.py | 用随机大小写值替换每个关键字字符 | | randomcomments.py | 向 SQL 关键字添加随机注释 | -| securesphere.py | 附加特殊构造的字符串 | -| sp_password.py | 在有效负载末尾附加 'sp_password' 以自动混淆 DBMS 日志 | -| space2comment.py | 用注释替换空格字符 \(' '\) | +| securesphere.py | 附加特殊构造的字符串 | +| sp_password.py | 在有效负载末尾附加 'sp_password' 以自动混淆 DBMS 日志 | +| space2comment.py | 用注释替换空格字符 \(' '\) | | space2dash.py | 用破折号注释 \('--'\) 替换空格字符 \(' '\),后跟随机字符串和换行符 \('\n'\) | | space2hash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟随机字符串和换行符 \('\n'\) | | space2morehash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟随机字符串和换行符 \('\n'\) | -| space2mssqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) | -| space2mssqlhash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) | -| space2mysqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) | -| space2mysqldash.py | 用破折号注释 \('--'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) | +| space2mssqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) | +| space2mssqlhash.py | 用井号字符 \('\#'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) | +| space2mysqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) | +| space2mysqldash.py | 用破折号注释 \('--'\) 替换空格字符 \(' '\),后跟换行符 \('\n'\) | | space2plus.py | 用加号 \('+'\) 替换空格字符 \(' '\) | -| space2randomblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) | -| symboliclogical.py | 用其符号对应物替换 AND 和 OR 逻辑运算符 \(&& 和 | -| unionalltounion.py | 用 UNION SELECT 替换 UNION ALL SELECT | -| unmagicquotes.py | 用多字节组合 %bf%27 替换引号字符 \('\),并在末尾附加通用注释 \(以使其工作\) | -| uppercase.py | 用大写值 'INSERT' 替换每个关键字字符 | +| space2randomblank.py | 用有效替代字符集中的随机空白字符替换空格字符 \(' '\) | +| symboliclogical.py | 用其符号对应物替换 AND 和 OR 逻辑运算符 \(&& 和 | +| unionalltounion.py | 用 UNION SELECT 替换 UNION ALL SELECT | +| unmagicquotes.py | 用多字节组合 %bf%27 替换引号字符 \('\),并在末尾附加通用注释 \(以使其工作\) | +| uppercase.py | 用大写值 'INSERT' 替换每个关键字字符 | | varnish.py | 附加 HTTP 头 'X-originating-IP' | -| versionedkeywords.py | 用版本化的 MySQL 注释包裹每个非函数关键字 | +| versionedkeywords.py | 用版本化的 MySQL 注释包裹每个非函数关键字 | | versionedmorekeywords.py | 用版本化的 MySQL 注释包裹每个关键字 | | xforwardedfor.py | 附加假 HTTP 头 'X-Forwarded-For' | +## References +- [SQLMap: Testing SQL Database Vulnerabilities](https://blog.bughunt.com.br/sqlmap-vulnerabilidades-banco-de-dados/) + {{#include ../../banners/hacktricks-training.md}} diff --git a/src/pentesting-web/sql-injection/sqlmap/README.md b/src/pentesting-web/sql-injection/sqlmap/README.md index 7a9b4dc26..eeab1a3d9 100644 --- a/src/pentesting-web/sql-injection/sqlmap/README.md +++ b/src/pentesting-web/sql-injection/sqlmap/README.md @@ -2,6 +2,7 @@ {{#include ../../../banners/hacktricks-training.md}} + ## SQLmap的基本参数 ### 通用 @@ -22,6 +23,23 @@ --proxy=http://127.0.0.1:8080 --union-char "GsFRts2" #Help sqlmap identify union SQLi techniques with a weird union char ``` +### 技术标志 (`--technique`) + +`--technique` 选项允许您限制或重新排序 sqlmap 将测试的 SQL 注入技术。每个字母对应不同类型的有效载荷: + +| 字母 | 技术 | 描述 | +| ------ | --------- | ----------- | +| B | 基于布尔的盲注 | 使用页面响应中的真/假条件来推断结果 | +| E | 基于错误的 | 利用详细的 DBMS 错误消息提取数据 | +| U | UNION 查询 | 注入 `UNION SELECT` 语句通过相同通道获取数据 | +| S | 堆叠查询 | 追加由 SQL 分隔符 (`;`) 分隔的额外语句 | +| T | 基于时间的盲注 | 依赖 `SLEEP/WAITFOR` 延迟来检测可注入条件 | +| Q | 内联 / 异带 | 利用诸如 `LOAD_FILE()` 或 DNS 外泄等函数提取数据 | + +sqlmap 将遵循的默认顺序是 `BEUSTQ`(所有技术)。您可以更改顺序和子集。例如,以下命令将 **仅** 尝试 UNION 查询和基于时间的盲注技术,首先尝试 UNION: +```bash +sqlmap -u "http://target.tld/page.php?id=1" --technique="UT" --batch +``` ### 获取信息 #### 内部 @@ -42,7 +60,7 @@ --columns #Columns of a table ( -D -T ) -D -T
-C #Dump column ``` -使用 [SQLMapping](https://taurusomar.github.io/sqlmapping/) 是一个实用工具,可以生成命令并提供 SQLMap 的完整概述,包括基本和高级功能。它包括 ToolTips,解释工具的每个方面,详细说明每个选项,以便您可以提高效率并有效地使用它。 +使用 [SQLMapping](https://taurusomar.github.io/sqlmapping/) 是一个实用工具,可以生成命令并提供 SQLMap 的完整概述,包括基本和高级功能。它包括工具提示,解释工具的每个方面,详细说明每个选项,以便您可以提高效率并理解如何有效使用它。 ## 注入位置 @@ -85,7 +103,7 @@ sqlmap --method=PUT -u "http://example.com" --headers="referer:*" ### Eval -**Sqlmap** 允许使用 `-e` 或 `--eval` 在发送之前处理每个有效载荷,使用一些 Python 单行代码。这使得在发送之前以自定义方式处理有效载荷变得非常简单和快速。在以下示例中,**flask cookie session** **在发送之前由 flask 使用已知的密钥进行签名**: +**Sqlmap** 允许使用 `-e` 或 `--eval` 在发送之前处理每个有效载荷,使用一些 Python 一行代码。这使得在发送之前以自定义方式处理有效载荷变得非常简单和快速。在以下示例中,**flask cookie session** **在发送之前由 flask 使用已知密钥签名**: ```bash sqlmap http://1.1.1.1/sqli --eval "from flask_unsign import session as s; session = s.sign({'uid': session}, secret='SecretExfilratedFromTheMachine')" --cookie="session=*" --dump ``` @@ -148,47 +166,50 @@ sqlmap -r r.txt -p id --not-string ridiculous --batch | appendnullbyte.py | 在有效负载末尾附加编码的 NULL 字节字符 | | base64encode.py | 对给定有效负载中的所有字符进行 Base64 编码 | | between.py | 用 'NOT BETWEEN 0 AND #' 替换大于运算符 ('>') | -| bluecoat.py | 用有效的随机空白字符替换 SQL 语句后的空格字符。然后将字符 = 替换为 LIKE 运算符 | -| chardoubleencode.py | 对给定有效负载中的所有字符进行双重 URL 编码(不处理已编码的字符) | -| commalesslimit.py | 用 'LIMIT N OFFSET M' 替换 'LIMIT M, N' 的实例 | -| commalessmid.py | 用 'MID(A FROM B FOR C)' 替换 'MID(A, B, C)' 的实例 | -| concat2concatws.py | 用 'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)' 替换 'CONCAT(A, B)' 的实例 | -| charencode.py | 对给定有效负载中的所有字符进行 URL 编码(不处理已编码的字符) | -| charunicodeencode.py | 对给定有效负载中的未编码字符进行 Unicode URL 编码(不处理已编码的字符)。"%u0022" | -| charunicodeescape.py | 对给定有效负载中的未编码字符进行 Unicode URL 编码(不处理已编码的字符)。"\u0022" | -| equaltolike.py | 用运算符 'LIKE' 替换所有等于运算符 ('=') 的出现 | -| escapequotes.py | 反斜杠转义引号 (' 和 ") | +| bluecoat.py | 用有效的随机空白字符替换 SQL 语句后的空格字符。然后用 LIKE 运算符替换字符 = | +| chardoubleencode.py | 对给定有效负载中的所有字符进行双重 URL 编码(不处理已编码的字符) | +| commalesslimit.py | 用 'LIMIT N OFFSET M' 替换类似 'LIMIT M, N' 的实例 | +| commalessmid.py | 用 'MID(A FROM B FOR C)' 替换类似 'MID(A, B, C)' 的实例 | +| concat2concatws.py | 用 'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)' 替换类似 'CONCAT(A, B)' 的实例 | +| charencode.py | 对给定有效负载中的所有字符进行 URL 编码(不处理已编码的字符) | +| charunicodeencode.py | 对给定有效负载中未编码的字符进行 Unicode-url 编码(不处理已编码的字符)。 "%u0022" | +| charunicodeescape.py | 对给定有效负载中未编码的字符进行 Unicode-url 编码(不处理已编码的字符)。 "\u0022" | +| equaltolike.py | 用运算符 'LIKE' 替换所有等于运算符 ('=') 的出现 | +| escapequotes.py | 斜杠转义引号 (' 和 ") | | greatest.py | 用 'GREATEST' 对应字符替换大于运算符 ('>') | -| halfversionedmorekeywords.py | 在每个关键字前添加版本化的 MySQL 注释 | -| ifnull2ifisnull.py | 用 'IF(ISNULL(A), B, A)' 替换 'IFNULL(A, B)' 的实例 | +| halfversionedmorekeywords.py | 在每个关键字前添加版本化的 MySQL 注释 | +| ifnull2ifisnull.py | 用 'IF(ISNULL(A), B, A)' 替换类似 'IFNULL(A, B)' 的实例 | | modsecurityversioned.py | 用版本化注释包裹完整查询 | | modsecurityzeroversioned.py | 用零版本化注释包裹完整查询 | | multiplespaces.py | 在 SQL 关键字周围添加多个空格 | -| nonrecursivereplacement.py | 用适合替换的表示法替换预定义的 SQL 关键字(例如 .replace("SELECT", "")过滤器 | -| percentage.py | 在每个字符前添加百分号 ('%') | +| nonrecursivereplacement.py | 用适合替换的表示法替换预定义的 SQL 关键字(例如 .replace("SELECT", "")过滤器) | +| percentage.py | 在每个字符前添加百分号 ('%') | | overlongutf8.py | 转换给定有效负载中的所有字符(不处理已编码的字符) | | randomcase.py | 用随机大小写值替换每个关键字字符 | | randomcomments.py | 向 SQL 关键字添加随机注释 | | securesphere.py | 附加特殊构造的字符串 | -| sp_password.py | 在有效负载末尾附加 'sp_password' 以自动混淆 DBMS 日志 | +| sp_password.py | 在有效负载末尾附加 'sp_password' 以自动混淆 DBMS 日志 | | space2comment.py | 用注释替换空格字符 (' ') | -| space2dash.py | 用破折号注释 ('--') 替换空格字符 (' '),后跟随机字符串和换行符 ('\n') | +| space2dash.py | 用破折号注释 ('--') 替换空格字符 (' '),后跟随机字符串和换行符 ('\n') | | space2hash.py | 用井号字符 ('#') 替换空格字符 (' '),后跟随机字符串和换行符 ('\n') | | space2morehash.py | 用井号字符 ('#') 替换空格字符 (' '),后跟随机字符串和换行符 ('\n') | -| space2mssqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 (' ') | +| space2mssqlblank.py | 用有效的替代字符集中的随机空白字符替换空格字符 (' ') | | space2mssqlhash.py | 用井号字符 ('#') 替换空格字符 (' '),后跟换行符 ('\n') | -| space2mysqlblank.py | 用有效替代字符集中的随机空白字符替换空格字符 (' ') | +| space2mysqlblank.py | 用有效的替代字符集中的随机空白字符替换空格字符 (' ') | | space2mysqldash.py | 用破折号注释 ('--') 替换空格字符 (' '),后跟换行符 ('\n') | | space2plus.py | 用加号 ('+') 替换空格字符 (' ') | -| space2randomblank.py | 用有效替代字符集中的随机空白字符替换空格字符 (' ') | -| symboliclogical.py | 用其符号对应物 (&& 和) 替换 AND 和 OR 逻辑运算符 | +| space2randomblank.py | 用有效的替代字符集中的随机空白字符替换空格字符 (' ') | +| symboliclogical.py | 用其符号对应物替换 AND 和 OR 逻辑运算符 (&& 和 | | unionalltounion.py | 用 UNION SELECT 替换 UNION ALL SELECT | -| unmagicquotes.py | 用多字节组合 %bf%27 替换引号字符 ('),并在末尾添加通用注释(以使其工作) | -| uppercase.py | 用大写值 'INSERT' 替换每个关键字字符 | +| unmagicquotes.py | 用多字节组合 %bf%27 替换引号字符 ('),并在末尾添加通用注释(以使其工作) | +| uppercase.py | 用大写值 'INSERT' 替换每个关键字字符 | | varnish.py | 附加 HTTP 头 'X-originating-IP' | | versionedkeywords.py | 用版本化的 MySQL 注释包裹每个非函数关键字 | -| versionedmorekeywords.py | 用版本化的 MySQL 注释包裹每个关键字 | -| xforwardedfor.py | 附加假 HTTP 头 'X-Forwarded-For' | +| versionedmorekeywords.py | 用版本化的 MySQL 注释包裹每个关键字 | +| xforwardedfor.py | 附加假 HTTP 头 'X-Forwarded-For' | +## References +- [SQLMap: Testing SQL Database Vulnerabilities](https://blog.bughunt.com.br/sqlmap-vulnerabilidades-banco-de-dados/) + {{#include ../../../banners/hacktricks-training.md}}