Sqlmap手册—史上最全!最详细手册!

最新推荐文章于 2024-03-13 10:36:47 发布
VIP文章 最新推荐文章于 2024-03-13 10:36:47 发布
阅读量654 收藏 4
点赞数 1
文章标签: 数据库 网络安全 安全架构 系统安全 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77147728/article/details/129789793
版权

一、Sqlmap简介

  • 开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能够查看数据,文件系统访问,甚至能够操作系统命令执行。
  • 检测方式:布尔盲注、时间盲注、报错注入、UNION联合查询注入、堆叠注入
  • 支持数据库:Mysql、Oracle、PostgreSQL、MSSQL、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDb

二、Sqlmap基本参数

—update: 更新

python sqlmap.py —update

-h:查看常用参数

python sqlmap.py -h

-hh:查看全部参数

python sqlmap.py -h

—version:查看版本

python sqlmap.py —version

-v:查看执行过程信息,默认是1,一共 0 ~ 6

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1“ -v 3

-d : mysql表示数据库类型、user:password表示目标服务器的账号和密码,@后表示要连接的服务器,3306表示端口,zakq_ dababasename表示连接的数据库名称

python sqlmap.py -d “mysql://root:[email protected]:3386/zkaq_databasename”

—wizard : 向导式

python sqlmap.py —wizard

三、确定目标

-u “URL” : 指定URL,get请求方式

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1

-m url.txt ::使用一个包含多个url的文件进行扫描。若有重复,sqlmap会自动识别成一个。

python sqlmap.py -m url.txt

-g :扫描,使用Google语法得到的url。

python sqlmap.py -g “inurl:\”.php?id=1\”

-r request.txt : Post提交方式,使用HTTP请求文件,该文件可从BurpSuit中导出。(BurpSuit抓包—>将请求复制到txt中即可)

python sqlmap.py -r request.txt

-l log.txt —scope=”正则表达式” :Post提交方式,使用BurpSuit的log文件。(Options—>Misc—>Logging—>Proxy—>勾选Request ,scope的作用是 基于正则表达式去过滤日志内容,筛选需要扫描的对象。

python sqlmap.py -l log.txt —scope=”(www)?.target.(com|net|arg)”

-c sqlmap.conf :使用配置文件进行扫描 (sqlmap.conf与sqlmap.py 在同一目录)

python sqlmap.py -c sqlmap.conf

-u “URL” : 对于这种写法,加*号扫描

python sqlmap.py -u “ http://target_url/param1/value1*/param2/value2

四、配置目标参数

-p :指定要扫描的参数

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1&username=admin&password=123“ -p “username,id”

—skip: 排除指定的扫描参数

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1&username=admin&password=123“ —skip “username,id”

—data: 指定扫描的参数,get/post都适用

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1&username=admin&password=123“ —date=”username=admin&password=123”

—param-del:改变分隔符,默认是&,因为有些网站不实用&传递多个数据。

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1&username=admin&password=123“ —date=”username=admin;password=123” —param-del=”;”

—cookie :使用cookie的身份认证

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1“ —cookie=”security=low;PHPSESSID=121123131”

—drop-set-cookie: 有时候发起请求后,服务器端会重新Set-cookie给客户端,SQLmap默认会使用新的cookie,这时候可以设置此参数,表示还是用原来的cookie。

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1“ —cookie=”security=low;PHPSESSID=121123131 —-drop-set-cookie”

—user-agent :使用浏览器代理头

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1“ —user-agent=”aaaaaaaaa”

—random-agent: 使用随机的浏览器代理头

python sqlmap.py -u “ http://59.63.200.79:8003/?id=1“ —random-agent

—host :指定主机头

python sqlmap.py -u “ http://59.63.200.7
最低0.47元/天 解锁文章
渗透测试
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmap中文使用手册
06-16
sqlmap的中文使用手册,非常实用,对常用的sqlmap命令参数、作用进行了一一介绍。
SQLmap 使用手册
执着
09-08 1347
Sqlmap 是由 Python 写成的,开源的自动化 SQL 注入工具和这一功能允许执行任意的 SQL 语句,Sqlmap 会自动解析给出的 SQL 语句,选择恰当的注入技术并将给出的 SQL 语句打包到 payload 中。如果查询是个 SELECT 语句,Sqlmap 会返回查询结果。如果 Web 应用使用的数据库管理系统支持多语句查询,Sqlmap 会使用堆注入技术。
sqlmap基本使用方式(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
03-13 1478
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。会清空之前的session,重新测试该目标。
sqlmap使用手册
硫酸超的博客
12-08 3301
sqlmap采用五种独特的SQL注入技术 1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3)基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4)联合查询注入,可以使用union的情况下的注入。 5)堆查询注入,可以同时执行多条语句的执行时的注入。 sqlmap的使用方式 sqlmap的使用方式: sqlmap [options]; 帮助选
sqlmap用户手册
11-30
当给sqlmap这么一个url的时候,它会: 1、判断可注入的参数 2、判断可以用那种SQL注入技术来注入 3、识别出哪种数据库 4、根据用户选择,读取哪些数据
sqlmap中文手册.pdf
08-13
sqlmap中文版的使用,仅供学习研究使用.用户手册 介绍——介绍 sqlmap 技术——sqlmap 支持的 SQL 注入技术 特性——支持的特性列表 下载更新——更新你的 sqlmap 副本 相关依赖——关于第三方库和工具的信息 历史——从 2006 到 2017 用法——所有选项和开关的详尽解释,包含相应实例。 许可证——版权信息
sqlmap手册.zip
06-09
sqlmap用户手册sqlmap命令详解,多文档,更详细 1. ./sqlmap.py -u http://www.evil0x.com/ test.php?p=2 -f -b –current-user –current-db –users –passwords –dbs -v 0 2. ./sqlmap.py -u ...
Sqlmap使用手册中文版
01-13
Sqlmap使用手册中文版 Sqlmap是十分著名的、自动化的SQL注入工具。 sqlmap简介 sqlmap支持五种不同的注入模式: 基于布尔的盲注 基于时间的盲注 基于报错注入 联合查询注入 堆叠注入 Sqlmap是开源的自动化SQL注入...
sqlmap中英文对照手册.pdf
12-29
sqlmap中英文对照手册由本人收集整理,请勿用于商业经营或者非法手段。如需要版权请联系作者本人,谢谢。
Sqlmap中文手册
热门推荐
若水斋
12-22 12万+
这是我自己翻译的Sqlmap1.1.10的中文手册Sqlmap是十分著名的、自动化的SQL注入工具。为了较为系统地学习Sqlmap,我决定翻译一遍Sqlmap的用户手册,于是便有了此文。由于我英语学得很差,所以翻译地不好。基本上是意译,还加入了我自己的东西,和原文有较大差距。
sqlmap中文文档
07-28
该文档中是对sqlmap命令的中文解释,能让初学者可以根据这个文档很好的使用sqlmap工具
sqlmap手册-中文版.pdf
07-30
sqlmap
sqlmap 使用手册
09-29
全面讲述了sqlmap的使用,包括数据库信息的收集,数据库数据的获取,提权等。
sqlmap用户手册中文版
weixin_42121782的博客
04-04 405
无意在网上看到sqlmap的中文手册,想查一些不常用的命令啥的都可以查,用法也描述详细易懂 留着自己看 https://octobug.gitbooks.io/sqlmap-wiki-zhcn/content/Users-manual/Introduction.html ...
sqlmap手册
weixin_34146986的博客
03-09 96
https://www.cnblogs.com/MiWhite/p/6906140.html 转载于:https://blog.51cto.com/haidragon/2360603
Sqlmap手册史上最全
城下深蓝的博客
04-28 883
sqlmap手册——史上最全
pdf:sqlmap使用手册
07-04
### 回答1: SQLMap是一款开源的自动化测试工具,用于测试和利用Web应用程序中可能存在的SQL注入漏洞。本文主要介绍了SQLMap的使用手册。 首先,安装SQLMap。我们可以从官方网站下载最新版本的SQLMap,并将其解压到我们希望存放的位置。然后,我们需要确保我们的系统上已经安装了Python,以便能够运行SQLMap。 接下来,我们需要了解SQLMap的基本命令和选项。SQLMap支持多种命令和选项,可以根据我们的需要进行配置。我们可以使用“-h”选项来查看SQLMap的帮助信息,了解每个选项的作用和用法。 在使用SQLMap之前,我们需要先进行目标选择。我们可以使用“-u”选项指定目标URL,并选择相应的数据库和表进行测试。我们还可以使用其他选项,如“-r”用于指定请求文件,或者“-g”用于指定Google搜索语句。 然后,我们可以使用“-p”选项指定要测试的参数,并使用“-D”和“-T”选项指定要测试的数据库和表。然后,我们可以使用其他选项,如“--columns”用于获取表的列名,或者“--dump”用于获取表的数据。 在进行SQL注入测试时,我们需要注意保护隐私和遵守法律。我们应该获得合法授权,并只在授权范围内进行测试。我们还应该注意测试中可能引发的安全问题,并及时向相关人员报告。 总的来说,SQLMap是一款功能强大的自动化测试工具,可以帮助我们快速发现和利用Web应用程序中可能存在的SQL注入漏洞。使用SQLMap时,我们需要了解其基本命令和选项,并确保遵守相关法律和规定。希望本文的使用手册能帮助大家更好地使用SQLMap。 ### 回答2: sqlmap是一款流行的用于检测和利用SQL注入漏洞的开源工具。它可以用来自动化地发现和利用Web应用程序中的SQL注入漏洞。在这个PDF文档中,我将向您介绍如何使用sqlmap来进行SQL注入攻击测试。 首先,我们需要确保已经安装了sqlmap。您可以从官方网站上下载最新版本的sqlmap,并根据安装说明进行安装。 在文档中,您将会学到如何使用sqlmap进行基本的SQL注入测试。首先,您需要获得一个目标网站的URL,并确认它存在SQL注入漏洞的迹象。接下来,您将使用sqlmap的命令行参数来指定目标URL和其他必要的选项。然后,sqlmap将会自动对目标网站进行扫描,并报告任何发现的SQL注入漏洞。 一旦sqlmap发现了SQL注入漏洞,您可以使用它来获取数据库的信息,执行任意SQL语句,甚至获取敏感信息。在使用sqlmap进行攻击之前,请确保您已经获得了合法的授权,并且尊重法律和道德规范。 该PDF文档还包括了有关sqlmap的高级用法和技巧的介绍。您将学习如何使用代理服务器来隐藏自己的身份,如何使用多线程和延迟来优化扫描速度,以及如何绕过常见的WAF(Web应用防火墙)和IDS(入侵检测系统)等等。 总的来说,这个PDF文档将为您提供一个全面的sqlmap使用指南。通过学习这个手册,您将能够使用sqlmap快速、准确地发现和利用Web应用程序中的SQL注入漏洞。希望这个文档对您有所帮助,祝您使用sqlmap进行安全测试工作顺利。 ### 回答3: sqlmap是一款用于自动化SQL注入的工具,可以帮助渗透测试人员评估和保护Web应用程序的安全性。它具有强大的功能和易于使用的界面,能够自动发现和利用Web应用程序中的SQL注入漏洞。 pdf:sqlmap使用手册是针对sqlmap工具的一份详细说明书,提供了关于sqlmap使用的详细指南和示例。它包含了sqlmap的安装、配置和使用方法,以及各种高级功能和选项的说明。 使用pdf:sqlmap使用手册可以帮助用户快速掌握sqlmap的基本操作和功能。手册中包括了从简单的注入检测到复杂的注入利用的步骤,以及如何配置和调整sqlmap的选项以满足不同的需求。 手册中还介绍了sqlmap的一些高级功能,如指纹识别、提权、文件读取和写入等。这些功能可以帮助用户更加深入地评估Web应用程序的安全性,发现更多的漏洞。 总之,pdf:sqlmap使用手册是一份非常有价值的资料,它提供了sqlmap工具的详尽说明和示例,帮助用户更好地了解和使用sqlmap。无论是初学者还是有经验的渗透测试人员,都可以通过该手册提高他们的技能和知识,有效地评估和保护Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值