SQLmap教程

最新推荐文章于 2024-05-11 11:19:33 发布
最新推荐文章于 2024-05-11 11:19:33 发布
阅读量2k 收藏 6
点赞数 1
文章标签: python 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Panda_Sanko/article/details/123308119
版权

一、Sqlmap直连数据库:-d

服务型数据库(前提知道数据库用户名和密码) :
DBMS://USER:PASSWORD@DBMS_ IP:DBMS_ PORT/DATABASE NAME
文件型数据库(前提知道数据库绝对路径): DBMS://DATABASE_ FIL EPATH (SQL ite, Microsoft Access, Firebird, etc. )

例如: python sqlmap.py -d “myspl://admin: admin@ 192 168 21.17:3306/testdb” -f -banner --dbs --users

–banner:可以到软件开发商、软件名称、版本、服务类型等信息,通过这些信息可以使用某些工具,直接去使用相对应的EXP去攻击
–user:获取用户root的权限

二、URL探测

Sqlmap直接对单-URL探测,参数使用-u或–url

URL格式: http(s)://targeturl[:port…]/文件名
例如: python sqlmap.py -u http://wwtarget.com/vuln.php?id= ”1" -banner

三、文件读取

Sqlmap支持从不同类型的文件中读取目标进行Sq|注入探测。

1、-I 从Burpsuite proxy或WebScarab proxy中读取Http请求日志文件

前期工作,用burpsuite抓包,然后将抓到的http文件放到文件日志中。如下步骤:

1、创建文件(此步骤也可在burpsuite中创建)
在这里插入图片描述
2、
在这里插入图片描述
3、
在这里插入图片描述

4、在这里插入图片描述

5、在这里插入图片描述
检查SQL注入部分:
将test.txt文件复制到sqlmap文件下
在这里插入图片描述

python sqlmap.py -l test.txt
一直yes下去
在这里插入图片描述

在这里插入图片描述

2、-x从sitemap xml站点地图文件中读取目标探测。

3、-m从多行文本格式文件读取多个目标,对多个目标进行探测。

意思就是,在一个记事本里有多个URL地址,要想对多个URL都进行探测,

4、-r从文本文件中读取Http请求作为Sql注入探测的目标。

http消息头的注入:reference/cookie
python sqlmap.py -r test.txt

5、-c从配置文件sqlmap.conf中读取目标探测。

在sqlmap文件下的sqlmap.conf里输入要探测的目标地址,然后在命令行中执行
python sqlmap.py -c sqlmap.conf

四、Google批量扫注入 -g(不太建议)

python sqlmap.py -g “inurl:” php?id= 1\”
inurl:统一资源定位器
(拓展:常见的搜索关键指令intitle、site、domain)

Panda_Sanko
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQLMap使用|命令大全(干货)
qq_45719090的博客
02-27 1万+
适合新手的sqlmap使用教程,附带sqlmap命令
SQLMAP使用教程
CH3UHX9
02-07 743
简介 sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。 具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2,SQLite,Firebird,Sybase和SAP MaxDB等数据库的各种安全
2024年最新Sqlmap使用教程【个人笔记精华整理】,网络安全面试问题和答案
最新发布
2401_84281698的博客
05-11 451
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;
sqlmap基础知识
ys1215的博客
03-29 665
sqlmap
小白上手sqlmap笔记
t89lucy的博客
05-20 197
基于Windows使用sqlmap获取封神台第一章:为了女神小芳!的flag 实验注意事项: 1、确保电脑有python环境,将sqlmap下载解压后,复制到Python安装的文件夹中 2、将cmd命令行创建快捷方式到桌面,右击图标的属性,将你刚才复制的sqlmap路径复制到起始位置 点击应用,双击桌面图标,输入sqlmap.py 弹出这个,表示搭建完成 至此环境已经搭建完成 实验开始: 一、先通过传送门进入封神台搭建的靶场。 点击查看新闻,可以看到网页的网址有变化,后面多了/id=1 感觉这里是
sqlmap安装包及教程.zip
12-23
在这个"sqlmap安装包及教程.zip"压缩文件中,包含了SQLMap的安装程序和后续配置的教程,这将有助于用户快速上手和熟练使用这款工具。 首先,让我们深入了解SQLMap的基本概念。SQL注入是一种常见的网络安全威胁,...
sqlmap启动视频教程
02-25
今天给你们出一个SQLMAP启动的教程 不懂的联系我 工具:Python 2.7 启动语句:sqlmap.py –h 首先需要把Python2.7安装到C盘 我这里已经安装了 然后需要把sqlmap解压到python的文件夹里边 放进去以后我们创建一个...
渗透测试工具sqlmap基础教程.docx
10-25
渗透测试工具sqlmap基础教程 sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由Python语言开发而成,因此运行需要安装python环境。本文旨在帮助渗透测试的小白入门,介绍sqlmap的...
SqlMap的使用
06-24
本文档详细介绍了SqlMap的使用教程,SQL注入攻击是黑客对数据库进行攻击的常用手段之一
Mac电脑安装sqlmap及环境配置.docx
05-13
Mac 电脑安装 sqlmap 及环境配置 在本文中,我们将介绍如何在 Mac 电脑上安装 sqlmap 并进行环境配置。sqlmap 是一个开源的渗透测试工具,能够自动检测和exploit SQL 注入漏洞。 安装 sqlmap 首先,我们需要从 ...
Sqlmap远程连接Mysql,报错(2003)
qq_34510058的博客
10-11 1716
Sqlmap远程连接mysql
Sqlmap使用详解
谢公子的博客
12-01 2万+
目录 Sqlmap Sqlmap的简单用法 探测指定URL是否存在SQL注入漏洞 查看数据库的所有用户 查看数据库所有用户名的密码 查看数据库当前用户 判断当前用户是否有管理权限 列出数据库管理员角色 查看所有的数据库 查看当前的数据库 爆出指定数据库中的所有的表 爆出指定数据库指定表中的所有的列 爆出指定数据库指定表指定列下的数据 爆出该网站数据库中的所有数据 ...
sqlmap的使用
流浪法师的博客
12-19 2499
sqlmap简单实用教程,后续继续更新!
Sqlmap直连数据库报错问题
weixin_43321966的博客
08-11 3327
Sqlmap直连数据库报错问题出现了 [CRITICAL] sqlmap requires ‘python-pymysql’ third-party library in order to directly connect to the DBMS ‘MySQL’. You can download it from ‘https://github.com/petehunt/PyMySQL/’. Al...
sqlmap 连接mysql_sqlmap连接Mysql实现getshell | CN-SEC 中文网
weixin_29023349的博客
01-19 398
摘要首先得知道这个玩意,sqlmap -help,不说大家也懂搜嘎. 语法为:” DBMS://USER:[emailprotected]_IP:DBMS_PORT/DATABASE_NAME” 或者是”DBMS://DATABASE_FILEPATH”。0x01首先得知道这个玩意,sqlmap -help,不说大家也懂搜嘎.语法为:" DBMS://USER:[emailprotecte...
SQLMap详细使用攻略及技巧
weixin_46762210的博客
01-13 3100
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 sqlmap目前最新版本为1.1.8-8,相关资源如下: 官方网站:sqlmap: automatic SQL injection and database takeover tool, 下载地址:https://github.com/
Sqlmap使用教程
B-Tree
02-24 3730
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的sqlmap笔记发布上来供大家参考。   sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的
sqlmap注入使用教程
热门推荐
黑面狐
09-05 8万+
最近在学习SQL注入的东西。自己搭建了一个wavsep靶机,作为练习的对象,之后有空会写一个wavsep的教程。 首先下载安装sqlmap..github传送门:https://github.com/sqlmapproject/sqlmap/releases 一、sqlmap选项   目标:至少要选中一个参数     -u URL, --url=URL   目标为 URL (例如. "ht
sqlmap 使用教程
09-23
sqlmap是一款用于自动化SQL注入的工具,它可以帮助安全测试人员识别和利用Web应用程序中的SQL注入漏洞。下面是sqlmap的使用教程: 1. 扫描URL:使用以下命令扫描目标URL并确定是否存在SQL注入漏洞: sqlmap -u "http://example.com/page.php?id=1" 2. 指定数据库和表名:如果成功发现SQL注入漏洞,可以使用以下命令指定数据库和表名: sqlmap -u "http://example.com/page.php?id=1" -D database_name -T table_name 3. 获取字段信息:要获取表的字段信息,可以使用以下命令: sqlmap -u "http://example.com/page.php?id=1" -D database_name -T table_name --columns 4. 获取数据:要获取表中的数据,可以使用以下命令: sqlmap -u "http://example.com/page.php?id=1" -D database_name -T table_name -C column1,column2,... --dump 5. 获取当前数据库:如果只想获取当前所使用的数据库,可以使用以下命令: sqlmap -u "http://example.com/page.php?id=1" --current-db 请注意,以上命令只是sqlmap的一些基本用法。sqlmap还有许多其他功能和选项,你可以通过sqlmap的官方文档来深入了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值