sqlmap参数

最新推荐文章于 2022-08-13 21:49:57 发布
最新推荐文章于 2022-08-13 21:49:57 发布
阅读量364 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Karol_agan/article/details/108027443
版权

sqlmap参数

Target:

-h --help 帮助文档.
–version 查看版本信息。
-v 显示详细信息,一共有6级
0:只显示python的错误和一些严重性的信息;
1:显示基本信息(默认);
2:显示debug信息;
3:显示注入过程的payload/;
4:显示http请求包;
5:显示http响应头;
6:显示http相应页面

-d 直接连接后台数据库,而不是使用sql注入的漏洞。前提是必须有用户名和密码。格式为:mysql://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME
-u 指定一个url地址,注意:这个地址中必须要有?xxx=xxx
-l 后面跟一个log文件。扫描log文件中所有的记录
-m 后面跟一个txt文件,文件中包含多个url
-r 检测post请求是否存在注入。可以把post请求数据包抓下来,然后保存在一个文档中,然后-r 后面跟文件路径

Request:

–method = GET.POST 指定请求方法。例如–method=GET. | --method=POST
–data 指定请求的参数。
如:https://www.baidu.com/s?tn=02003390_hao_pg&ie=utf-8&wd=123
指定请求的参数只有wd:–data=“wd=123”
指定多个请求参数:–data=“wd=123&ie=utf-8”

–param-del 指定变量的分隔符
若参数为: wd=123|issp=1 ,则: --param-del="|"

–cookie 绕过登录验证
–cookie=“abcd;sss=aaaa;ccc=1111”
–cookie-del 指定cookie的分隔符
–cookie-del=’|’
–user-agent 指定浏览器标识头,起到伪装正常请求的作用。
–random-agent 随机指定浏览器标识头
文件位置:data->txt->user-agents.txt

–host 指定http包中host头的参数,level>=3
–proxy 指定代理,后跟代理地址,如:–proxy=“127.0.0.1:8080”

–proxy-cred 代理认证,–proxy-cred=“name:pass”
–timeout 设置请求超时的时间,单位是秒,默认是30s
设置格式:–timeout=30
–retries 设置超时重新连接的次数,默认是3次
设置格式:–retries=5

injection:

-p 指定参数,-p会使–level失效。
如:sqlmap.py -u +url,不检查user-agent字段,可以用-p手动指定:-p “user-agent” => --level=3
sqlmap.py -u --level=3,会检查user-agent字段

–skip 排除指定的参数。如:sqlmap.py -u --level=3 --skip=“user-agent”,虽然level=3,应该检查"user-agent"是否存在注入,但是使用了–skip,不用检查"user-agent"。

–dbms 指定数据库类型。可以跳过sqlmap检索数据库,节省资源。如:–dbms=“mysql”

–os 指定对方的系统信息。 如:–os=“Windows”

Detection:

–level 设置测试的等级,1-5,默认为1.
2:检查cookie
3:检查user-agent
4:检查referer
5:检查host

–risk 设置风险等级,1-4,默认为1.
–string 基于布尔类型注入的时候,指定返回成功的信息,从而帮助sqlmap识别正确结果。 格式 --string=’ ’

–not-string 基于布尔类型注入的时候,指定返回失败的信息,从而帮助sqlmap识别不正确结果. --not-string=’ ’

–code 指定http返回状态码
–text-only 指定返回页面中的某一段内容
-f 指纹信息,返回DBMS、操作系统、架构、补丁信息等
-a–all 获取数据库全部信息,非常暴力,所有表、所有信息。
–current-user 获取当前用户。
–current-db 获取当前数据库。
–hostname 获取主机名。
–users 获取所有用户。
–dbs 查看目标服务器中有什么数据库。
–tables 目标数据库中有哪些数据表。
–columns 获取目标数据库中的列数信息。
–dump 查询指定范围的所有数据。
-D 指定数据库,-T 指定数据表,-C 指定字段。**

–dump-all 查询所有数据
–search 查询列、表和数据库名称
–comments 查询数据库的备注
-D 指定数据库,-T 指定数据表,-C 指定字段。**
–exclude-sysbds 排除系统数据库

Sy0ung_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
进阶的sqlmap用法(参数讲解)
0yst3r ‘s blog
09-21 1万+
进阶的sqlmap用法 参数讲解 1>探测等级: --level 5 --level 5 指的是需要执行的测试等级 一共有5个等级(1-5) 不加 level 时,默认是1 5级包含的payload最多,会自动破解出cookie、XFF等头部注入,相对应他的速度也比较慢。 level=2 http cookie会测试 level=3 http...
SQLMAP使用教程
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
05-26 1649
用法:python sqlmap.py [选项] 选项: -h, --help 显示基本帮助信息并退出 -hh 显示高级帮助信息并退出 --version 显示程序版本信息并退出 -v VERBOSE 输出信息详细程度级别:0-6(默认为 1) 目标: 至少提供一个以下选项以指定目标 -d DIRECT 直接连接数据库 -u URL,.
sqlmap使用方法
weixin_50887021的博客
01-04 465
sqlmap使用方法 1.GET: sqlmap -u “” --dbs sqlmap -u “” -D “” --tables sqlmap -u “” -D “” -T “” --columns sqlmap -u “” -D “” -T “” -C “id,passwd” --dump 2.POST: sqlmap -r 3.txt --dbs --level=3 当前数据库:–current-dbs 3.txt 里面参数的部分要打* 3.高级用法: sqlmap -r 3.txt --users -
Vuex 是什么
winxin_58206976的博客
09-28 113
目标 掌握什么是vuex 了解vuex解决的问题 Vuex是什么 组件之间进行传参时对于多层嵌套的组件或对于兄弟组件间将会非常繁琐,我们经常会采用父子组件直接引用或者通过事件来变更和同步状态的多份拷贝。以上的这些方法通常会让代码难以维护,这时就需要vuex,它可以在组件之间无障碍的进行传参,并且单独存在于一个组件中,让代码维护起来更加容易和简洁. Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式, 采用集中式存储管理应用的所有组件的状态,解决多组件数据通信. 是v.
HTTP协议的基本知识
qq_41220595的博客
05-12 152
4、HTTP 4.1、什么是HTTP? http(超文本传输协议)是一个简单的请求-响应协议,它通常运行在TCP之上。 文本:html,字符串,… 超文本:图片,音乐,视频,定位,地图… https:安全的 4.2、两个时代 http1.0 http/1.0:客户端与web服务器连接后,只能获取一个web资源,断开连接 http2.0 http/1.1客户端与web服务器连接后,可以获取多个web资源。 4.3、 Http请求 客户端—发请求(Request)—服务器 百度: Req
SQLMAP参数介绍.pdf
09-25
- **URL分析**:SQLMAP会对提供的URL进行扫描,识别出可注入的参数,并确定适合的SQL注入技术。 - **数据库识别**:一旦发现注入点,SQLMAP会尝试识别出正在使用的数据库类型,如MySQL、Oracle、PostgreSQL等。 -...
SQLMAP参数中文解说.docx
04-22
以下是对SQLMap主要参数的详细解释: 1. **--force-ssl**: 当目标站点使用HTTPS协议时,此参数强制SQLMap通过HTTPS连接,以确保数据传输的安全性。 2. **--param-del**: 此参数用于指定GET或POST数据中参数之间的...
Web应用安全:Sqlmap操作参数介绍.pptx
06-19
Sqlmap是一款功能强大的开源渗透测试工具,专门用于检测和利用SQL注入漏洞,它可以自动化地发现并利用这些漏洞来访问数据库...通过熟练掌握和运用Sqlmap的各种参数,可以对Web应用的安全性进行全面评估,提高防护措施。
第三节 Sqlmap 请求参数设置-01
最新发布
09-15
Sqlmap 请求参数设置详解 Sqlmap 是一款功能强大的渗透测试工具,能够自动检测和利用 SQL 注入漏洞。为了更好地使用 Sqlmap,需要了解如何设置请求参数以适应不同的检测场景。在本文中,我们将详细介绍 Sqlmap 的四...
第二十节 Sqlmap系统参数-01
09-15
Sqlmap系统参数 Sqlmap是一个功能强大的SQL注入工具,拥有多种系统参数和选项,帮助用户实施SQL注入攻击和数据泄露。下面我们将详细介绍Sqlmap系统参数的四个方面:Sqlmap执行系统命令、Sqlmap结合Metasploit、...
商城管理系统
05-06
后台开发语言:Java,数据存储:xml文件,开发工具:ecplise,结果显示:操作台输出 适合学习使用
[渗透测试]Sqlmap使用参数说明
weixin_34329187的博客
04-04 405
SQLMAP参数介绍 sqlmap的使用方式:python sqlmap.py [options]; sqlmap中一共有以下十六个选项卡: 帮助选项卡; Target(目标选项卡); Request(请求选项卡); Optimization(优化选项卡); Injection(注射选项卡); Detection(探测选项卡); Techniques(注入技术选项卡)...
Java 欧拉工程 第二十篇【 算出100!的各位之和。】
demon的专栏
08-20 512
题目是这样:
sqlmap注入总结
weixin_34321753的博客
08-22 1436
本实验是基于DVWA和sqli-labs的实验环境实验平台搭建:下载Wamp集成环境,并下载DVWA和sqli-labs和压缩包解压至wamp\www的目录下。安装只要注意Wamp环境的数据库名和密码对应即可。sqlmap里涉及到的sql注入原理,请参考http://wt7315.blog.51cto.com/10319657/1828167,实验环境也是基于sqli-lab...
windows设置redis开启自动启动
qq_40572023的博客
07-07 330
windows设置redis开启自动启动
Chrome浏览器下百度搜索引擎被劫持的解决办法
热门推荐
展宇的博客
01-18 1万+
Chrome浏览器下百度搜索引擎被劫持的解决办法
Sqlmap学习笔记(壹)
子曰小玖的博客
05-30 1154
https://blog.werner.wiki/sqlmap-study-notes-1/ 六、优化 这些参数可以优化Sqlmap的性能。 1.一键优化 参数:-o 添加此参数相当于同时添加下列三个优化参数: –keep-alive –null-connection –threads=3 (如果没有设置一个更好的值) 这些参数具体含义见后文。 2.HTTP长连接 参数:–ke...
SQLmap之sql注入(一)
qq_58000413的博客
08-13 934
-level >= 3 时sqlmap会尝试对User-Angent、referer进行注入。h、风险等级,共4个等级,当为2时会增加基于事件的测试语句,3会增加or语句的sql注入:参数 -risk。c、sqlmap扫描等级(1-5):--level >= 2 时sqlmap会尝试注入cookie参数SQLMAP注入教程-11种常见SQLMAP使用方法详解 - APT-101 - 博客园。二、使用--os-shell之后会生成两个文件。一、执行--os-shell的系统操作的要求。......
sqlmap参数使用
08-30
下面是一些常用的sqlmap参数的使用方法: 1. 使用`-u`参数指定目标URL,例如`sqlmap -u "http://example.com/"`,其中`http://example.com/`是目标URL的地址。 2. 使用`--data`参数指定POST请求的数据,例如`sqlmap ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值