sqlmap的使用之post

于 2025-04-09 11:36:13 发布
阅读量309 收藏
点赞数 2
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2402_88765125/article/details/147089767
版权

使用SQLMap进行POST参数注入主要有以下三种方法,具体操作如下:

 

 1. 直接指定POST数据

通过 --data 参数直接传递POST请求体,格式为参数名=值&参数名=值:

sqlmap -u "http://example.com/login.php" --data="username=admin&password=123" --level=3 --risk=3

 -u :目标URL。

 --data :POST请求体,需替换为实际参数名和测试值。

 --level/--risk :提高检测深度和风险等级以覆盖更多场景。

 

 2. 结合BurpSuite抓包

通过BurpSuite拦截POST请求并保存为文件(如 post.txt ),再用 -r 加载文件:

bash

sqlmap -r post.txt -p "username,password" --dbs

 -r :加载包含请求的文件。

 -p :指定测试的参数名(可选)。

 

 3. 自动识别表单

若目标页面存在表单,可用 --forms 自动分析:

 

sqlmap -u "http://example.com/login.php" --forms --batch

 --forms :自动识别并测试表单字段。

 --batch :跳过交互提示。

 

 注意事项

- 权限与法律:仅对授权目标测试,避免法律风险。

- 参数冲突:若不同方法结果不一致,优先使用BurpSuite抓包(方法2)确保准确性。

- 高级参数:可结合 --cookie 、 --proxy 等应对复杂场景。

 

如需进一步优化(如绕过WAF),可添加 --tamper 脚本(如 space2hash.py )。

来e
关注
史上最详细的sqlmap使用教程
大河之犬的博客
09-19 5万+
sqlmapsqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
利用sqlmap进行POST注入
ChuMeng1999的博客
01-19 1万+
目录预备知识了解SqlmapPOST注入形成的原因实验目的实验环境实验步骤一使用sqlmap进行POST注入实验步骤二 预备知识 了解Sqlmap sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 POST注入形成的原因 POST注入也属于SQL注入,所以究其原因还是由于参数没有过滤导致的。源码如下
Sqlmap
m0_51227834的博客
01-03 125
sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post ,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。
sqlmap之(六)----POST登陆框注入实战
热门推荐
fendo
02-28 8万+
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs 注:-r表示加载一个文件,
SQL注入之sqlmap
最新发布
likfishdn的博客
03-31 1346
sqlmap
SQLmap使用教程图文教程(超详细)
wangyuxiang946的博客
06-20 6万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
Sqlmap -- POST注入
Web安全工具库
07-07 3206
想归想,难过归难过,若你岁岁平安,我可生生不见。。。 ---- 网易云热评 一、检测是否存在注入 1、通过BurpSuite抓包获取提交的数据 2、sqlmap -u "http://192.168.139.129/pikachu/vul/sqli/sqli_id.php" --data "id=1&submit=%E6%9F%A5%E8%AF%A2" --data指定提交的数据 运行结果:id值存在注入,可能是布尔盲注、报错注入、时间盲注、联合注入 [14:37:09]...
sqlmap使用之-post注入、head注入(ua、cookie、referer)
weixin_51520483的博客
07-11 1384
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
sqlmap使用教程(包含POST型注入方式)
weixin_73904941的博客
10-25 7766
检测注入点以及可注入类型 sqlmap -u "网址" --batch -–batch(不再询问,默认执行) 查看所有数据库 --dbs sqlmap -u "网址" --batch --dbs 查看当前使用的数据库 --current-db sqlmap -u "网址" --batch --current-db 查看表名 sqlmap -u "网址" -D security --tables --batch -D 指定数据库 --tables 列举所有表名 ....
Sqlmap使用手册中文版
01-13
当进行Web应用审计时,如果发现页面中的参数(如GET、POST或Cookie)可能受到用户输入的影响,Sqlmap可以帮助测试是否存在SQL注入漏洞。例如,通过对URL参数进行篡改,观察响应的变化,可以初步判断是否存在注入点。...
SQLMAP使用笔记.pdf
01-25
SQLMAP 使用笔记 SQLMAP 是一个开源的渗透测试工具,用于检测和利用 SQL 注入漏洞。下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> ...
sqlmap使用教程post
07-08
以下是使用SQLMap进行POST攻击的基本步骤: 1. **下载安装**:首先,你需要从SQLMap的GitHub仓库下载最新版本,并按照说明安装到你的机器上。 2. **了解目标URL和参数**:确定你要测试的目标网站,以及包含可能被...
SQLmap使用
Xlucas的博客
07-30 476
sqlmap 是一个开源的渗透测试工具,专门用于自动化检测和利用SQL注入漏洞,以及对数据库服务器进行数据获取和访问操作系统文件系统。Windows注册表访问(Windows registry access)操作系统访问(Operating system access)2、我们可以通过py sqlmap.py -hh查看命令参数。文件系统访问(File system access)技术(Techniques)注入(Injection)检测(Detection)请求(Request)
利用sqlmap进行post注入(实操)
peanut5036的博客
12-23 4152
SQL注入攻击指的是通过特殊的输入作为参数拆入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句中进而执行攻击者所要的操作,起主要原因是程序没有细致地过滤用户输入的数据,致使非法数据入侵系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中,POST传递的参数
sqlmappost注入
墨渊的博客
09-29 236
调为low级 点击cope to file 把数据数据请求保存到txt -r 使用文件要先使用文件的路径 -r表示加载一个文件 --batch 表示自动输入参数 --dbs表示数据库 sqlmap -r 22.txt --batch --dbs -D 表示选择数据库 --tables表示数据库 sqlmap -r 22.txt --batch -D dvwa --tables -D -T 指定数据库查看的表 ----columns查看表的字段 –dump进行解密 ...
sqlmap post注入
zhaozhanyong的专栏
11-19 6094
0x00 常用的 注入点:http://tetasp.vulnweb.com/Login.asp 几种注入方式: sqlmap -r search-test.txt -p tfUPass 其中search-test.txt的内容为以下所抓的post包 0x01 常参数的 sqlmap -r search-test.txt -p tfUPss 0x02 常参数的 sql
SQLMAP 脱库过程(post请求,三种方法)
u011571189的专栏
03-20 5310
一、准备工作 1、sqlmap为python语言开发,因此需要具备python环境。 2、python环境搭建及sqlmap下载,可参考其他文章。(很多也很全,这个不是本文重点,因此略过) 二、环境搭建 1、本人使用的是Mac、windows7虚拟机,windows7中部署DVMA 2、以DVMA的sql注入为例(DVMA安全级别为medium),进行详细介绍。 三、post请求脱库三...
sqlmappost注入
Galaxy_fan的博客
08-22 693
数据库 python sqlmap.py -r D:\GXY\python\sqlmap\test.txt --dbs 表 python sqlmap.py -r D:\GXY\python\sqlmap\test.txt --tables 数据 (users:表名) python sqlmap.py -r D:\GXY\python\sqlmap\test.txt -T users ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值