【网络安全 | 渗透工具】SQLmap精讲(全网最详细图文教程)

已于 2024-05-31 09:18:16 修改
阅读量1.2w 收藏 92
点赞数 49
分类专栏: 网安渗透工具使用教程(全) 文章标签: web安全 sqlmap
于 2024-01-06 14:01:27 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/135425368
版权
本文详细介绍了SQLmap工具的使用,包括通过URL、Cookie进行SQL注入检测,脱库操作如获取数据库版本、名称、表信息,账号相关操作如获取用户数据、权限等。同时,还涵盖了绕过WAF和不同参数设置的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

SQLmap是一款开源的SQL注入工具,用于检测和利用Web应用程序的SQL注入漏洞。SQLmap支持多种数据库管理系统,包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、SQLite等,并支持各种不同的操作系统和平台。
原创文章,不得转载。

SQLmap的下载及安装本文不再详述,下载链接:

https://github.com/sqlmapproject/sqlmap

本文以DVWA作为靶场,留言板项目渗透实例可参考:留言板项目SQLmap渗透实例 | CSDN@秋说

本文分为目标脱库账号其它四个部分进行讲解

文章目录

目标

1、单个URL、Cookie

1)检测指定URL是否存在SQL注入漏洞:


                

                
                
        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        


    


                



	

		

			

				
					
网络安全 渗透工具SQLmap精讲全网详细图文教程)_sqlmap poc(1)

				
			

			

				

					2401_84969443的博客
				

				

					05-13
					
					359
					
				

			

		

		

			
				
python sqlmap.py -u 目标URL --technique=T --time-sec 10 --level=3 --risk=3 --current-user --current-db --passwords。python sqlmap.py -u 目标URL -D 数据库名称 -T 表名称 --dump。python sqlmap.pu -u 目标URL --current -user。python sqlmap.pu -u 目标URL --user-agent’’

			
		

	



                

            
              



	

		

			

				
					
使用Sqlmap对目标站点进行渗透攻击

				
			

			

				

					weixin_53897304的博客
				

				

					06-13
					
					1938
					
				

			

		

		

			
				
掌握Kali Linux中的Sqlmap各类功能及参数配置
技能目标:使用Sqlmap对目标站点进行渗透攻击


			
		

	



              


  
              

                


	

		

			

				
					
渗透测试---手把手教你sqlmap数据库注入测试(1)---靶场实战篇

				
			

			

				

					weixin_52796034的博客
				

				

					10-14
					
					4854
					
				

			

		

		

			
				
SQLMap,就像它的名字所暗示的,是一个为我们提供方便的“SQL注入攻击”的工具。对于那些不熟悉这个概念的人来说,SQL注入是一种黑客攻击技术,允许攻击者在目标网站的数据库中执行恶意SQL语句。这意味着我们可以控制和操纵网站的数据,甚至可以完全接管整个网站。那么SQLMap如何帮助我们实现这些呢?

			
		

	





	

		

			

				
					
10 个 SQL 注入工具(非常详细)零基础入门到精通,收藏这一篇就够了

					
最新发布

				
			

			

				

					2401_84578953的博客
				

				

					03-18
					
					762
					
				

			

		

		

			
				
SQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群。BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构。The MoleThe Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入侵防御系统/入侵检测系统)。

			
		

	



		

			
		



	

		

			

				
					
sqlmap渗透测试

				
			

			

				

					
				

				

					07-10
					
					1045
					
				

			

		

		

			
				
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

sqlmap目前新版本为1.1.8-8,相关资源如下:

官方网站:http://sqlmap.org/,

下载地址:https://github.com/sqlmapproject/sqlmap/zipball/master

演示视

			
		

	





	

		

			

				
					
SQLmap使用教程图文教程(超详细

					
热门推荐

				
			

			

				

					wangyuxiang946的博客
				

				

					06-20
					
					6万+
					
				

			

		

		

			
				
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap
一、目标
1、指定url
2、指定文件(批量检测)
3、指定数据库/表/字段
4、post请求
5、cookie注入
二、脱库
1、获取数据库
2、获取表
3、获取字段
4、获取字段类型
5、获取值(数据)
6、获取用户
7、获取主机名
8、搜索库、表、字段。
9、正在执行的SQL语句
三、WAF绕过

			
		

	





	

		

			

				
					
网络安全 渗透工具SQLmap精讲全网详细图文教程)_sqlmap poc

				
			

			

				

					2401_84969642的博客
				

				

					05-13
					
					418
					
				

			

		

		

			
				
python sqlmap.py -u 目标URL --technique=T --time-sec 10 --level=3 --risk=3 --current-user --current-db --passwords。python sqlmap.py -u 目标URL -D 数据库名称 -T 表名称 --dump。python sqlmap.pu -u 目标URL --current -user。python sqlmap.pu -u 目标URL --random-agent。

			
		

	





	

		

			

				
					
网络安全 | 渗透工具SQLmap加密注入教程+实战详析

				
			

			

				

					等风来
				

				

					08-02
					
					7972
					
				

			

		

		

			
				
使用手工注入绕过参数加密的限制时,需要构造出原始POC再进行加密注入,耗时耗力,因此采用sqlmap加密注入。表示只对该参数进行注入测试,不加 * 的话还会测试其他参数是否为注入点,增加时间。选择默认选项,跑sqlmap的时候加上这句话可节约时间、不需要回复提示

			
		

	





	

		

			

				
					
网络安全 | 渗透工具】以留言板项目渗透实例带你入门SQLmap

				
			

			

				

					等风来
				

				

					04-10
					
					7921
					
				

			

		

		

			
				
sqlmap是一款开源的SQL注入工具,用于检测和利用Web应用程序的SQL注入漏洞。sqlmap支持多种数据库管理系统,包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、SQLite等,并支持各种不同的操作系统和平台。

			
		

	





	

		

			

				
					
windows下安装sqlmap

				
			

			

				

					chengye4346的博客
				

				

					07-19
					
					426
					
				

			

		

		

			
				
准备工作: 
(1) Windows7/8/10操作系统; 
(2) Python3.7.0; 
(3) SQLMap 
1、下载Python3.7.0 
 下载地址:https://www.python.org/downloads/ 
 
 
安装python 
 
 
 
 
安装完...

			
		

	





	

		

			

				
					
常用的渗透测试工具之 SQLMap

				
			

			

				

					m0_58724126的博客
				

				

					11-13
					
					1489
					
				

			

		

		

			
				
web安全攻防》第三章学习之SQLmapSQLMap是自动化的SQL注入工具,主要功能是扫描,发现并利用URL的SQL注入漏洞,内置了很多绕过插件。SQLMap的强大功能包括数据库指纹识别,数据库枚举,数据提取,访问目标文件系统,并在获取完全操作权限时实行任意命令。

			
		

	





	

		

			

				
					
sqlmap中文使用手册

				
			

			

				

					06-16
				

			

		

		

			
				
sqlmap的中文使用手册,非常实用,对常用的sqlmap命令参数、作用进行了一一介绍。

			
		

	





	

		

			

				
					
7.12、SQLmap—自动化渗透测试工具(kali linux)

				
			

			

				

					qq_33782021的博客
				

				

					01-16
					
					1891
					
				

			

		

		

			
				
sglmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。

			
		

	





	

		

			

				
					
【渗透测试】|sqlmap工具注入-基于dvwa的sql injection

				
			

			

				

					yangdan_jiayou的博客
				

				

					03-27
					
					1184
					
				

			

		

		

			
				
这个检测结果表明系统对联合查询的处理方式存在漏洞,可以通过联合查询来获取额外的信息或执行其他操作。这个检测结果表明系统对错误消息的处理方式存在漏洞,可以通过错误消息来推断数据库的结构或内容,从而进行注入攻击。这个payload试图通过在查询中嵌入一个时间延迟函数来验证注入点的存在,如果系统在执行这个查询时发生了延迟,那么说明注入点存在,攻击者可以进一步利用这个注入点执行其他操作。这个payload尝试通过在查询中嵌入一个错误,然后通过错误消息中的内容来获取敏感信息或执行其他恶意操作。

			
		

	





	

		

			

				
					
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。

				
			

			

				

					shanguicsdn111的博客
				

				

					09-10
					
					2万+
					
				

			

		

		

			
				
提示:SQLmap不能直接「扫描」网站漏洞,先用其他扫描工具扫出注入点,再用SQLmap验证并「利用」注入点。检测「post请求」的注入点,使用BP等工具「抓包」,将http请求内容保存到txt文件中。参数,指定需要检测的url,单/双引号包裹。风险级别(0~3,默认1,常用1),级别提高会增加数据被篡改的风险。搜索数据库中是否存在指定库/表/字段,需要指定库名/表名/字段名。就是 all 的意思,获取所有能获取的内容,会消耗很长时间。指定目标「数据库」,单/双引号包裹,常配合其他参数使用

			
		

	





	

		

			

				
					
Web渗透之Web利器合集——sqlmap使用手册

				
			

			

				

					Mr_Wanderer的博客
				

				

					07-21
					
					997
					
				

			

		

		

			
				
文章目录1.获取数据指令2.指定注入类型3.辅助功能参数4.数据库相关指令5.web指纹和waf识别6.指定脚本7.shell权限--os-shell系统要求:使用--os-shell之后会生成两个文件--os-cmd=--sql-shell8.读取服务器指定文件9.更新
1.获取数据指令
-u指定注入点url
-r 指定文件

–dbs跑库名
-D指定数据库
–tables跑表名
-T指定表
–columns跑字段
-C指定字段
–dump跑数据[敏感指令]
–count查看数据量
2.指定注入类型
co

			
		

	





	

		

			

				
					
【笔记】使用Sqlmap对目标站点进行渗透攻击【基础实验】

				
			

			

				

					小渣渣的博客
				

				

					05-10
					
					1783
					
				

			

		

		

			
				
使用Sqlmap对目标站点进行渗透攻击
使用kali Linux环境中的sqlmap实现对目标靶机网站的注入猜解。
打开测试站点DVWA的主页面,并设置安全级别为low

单击左边的SQL Injection,打开如下图所示界面在User ID框中输入任意数字。

输入123456,运用burpsuite抓到的数据包如下:

在kali linux虚拟机的命令行状态下运行Sqlmap,并输入语句
...

			
		

	





	

		

			

				
					
sqlmap基本使用方式(非常详细)零基础入门到精通,收藏这一篇就够了

				
			

			

				

					Javachichi的博客
				

				

					03-13
					
					3313
					
				

			

		

		

			
				
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。会清空之前的session,重新测试该目标。

			
		

	





	

		

			

				
					
渗透测试之二:sqlmap

				
			

			

				

					chenkaifang的博客
				

				

					07-14
					
					360
					
				

			

		

		

			
				
参考链接:

https://www.freebuf.com/sectool/164608.html

sqlmap是常用测试工具之一,本片简单讲它的用法(python版)。

1、简单介绍

sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 41

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
秋说

			
感谢打赏

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值