python爬虫与sqlmap进行的一次批量注入

最新推荐文章于 2024-05-28 23:33:06 发布
最新推荐文章于 2024-05-28 23:33:06 发布
阅读量838 收藏 4
点赞数 2
文章标签: 渗透测试 网络安全 python 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WDNMD2223/article/details/112690022
版权
本文介绍了如何利用Python爬虫收集网址,并结合SQLmap进行批量SQL注入的渗透测试过程。首先,讲述了环境的搭建,然后分享了Python爬虫代码的编写,接着展示如何将爬取的网址交给SQLmap进行批量注入操作,最后进行了总结。
摘要由CSDN通过智能技术生成

python爬虫与sqlmap进行的一次批量注入


新手小白第一次写文章,略微紧张。。。
话不多讲,直入正题。

环境的搭建


需要sqlmap和python2.7版本(注意:一定要使用python2.7版本才可以)

至于sqlmap和python的安装需要自行去百度了

思路


通过python爬虫爬取谷歌镜像站上的网页网址,然后保存在本地磁盘,通过sqlmap去批量注入保存的网址。

python爬虫代码


下面展示简单的爬虫代码。 

import requests
from lxml import etree

url = "https://www.lovec.ltd/search?ei=rI4BYIKdEYr1wAOuxbbwCA&q=inurl%3A.php%3Fid%3D&oq=inurl%3A.php%3Fid%3D&gs_lcp=CgZwc3ktYWIQA1AAWABg5RdoAHAAeACAAQCIAQCSAQCYAQCqAQdnd3Mtd2l6wAEB&sclient=psy-ab&ved=0ahUKEwiCo5Ga_J3uAhWKOnAKHa6iDY4Q4dUDCAw&uact=5"
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0}'}
page_text = requests.get(url=url, headers=headers).text

parser = etree.HTMLParser(encoding='utf-8')
tree = etree.HTML(page_text, parser=parser)
href_etree = tree.xpath('/html/body/div[7]/div[2]/div[10]/div[1]/div[2]/div/div[2]/div[2]/div/div/div/div')

fp = open("F:/tool/sqlmapproject-sqlmap-6244850/wangzhi.txt", 'w')
for li in href_etree:
    a_href = li.xpath('./div//a/@href')[0]
    print(a_href)
    fp.write(a_href + '\n')
fp.close()

这样我们就可以获得在“F:/tool/sqlmapproject-sqlmap-6244850/”这个路径下爬取的网址:wangzhi.txt(注意:这个文本文件需要保存在sqlmap

最低0.47元/天 解锁文章
WDNMD2223
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Python编程SqlmapAPI批量扫描sql注入
kriesa的博客
07-13 672
Python编程SqlmapAPI批量扫描sql注入
sqlmap百度爬虫
w464693894w的专栏
09-16 2665
bugs: 文支持不好,没做特殊处理,仅是个人业余爱好 -------------------------------------------------------------------------- 相信用过sqlmap的人都有自己一套找bug website的方法。 我也只是刚刚听身边朋友说这个利器,看他天天百度找url找的挺累了, 因此写了一个python脚本给他批量抓u
19-OWASP top10--SQL注入(四、sqlmap安装及Sqlmap高级使用注入防范)
最新发布
XLbb的博客
05-28 857
4”同时显示HTTP请求;紧跟其后的 "c://lan//1.txt" 是指定要读取的文件路径。动态页面:用ASP、PHP、JSP、ASP.net、Perl、或CGI等编程语言制作,不是独立存在于服务器上的网页文件,只有当用户请求时服务器才返回一个完整的网页,内容存在于数据库,根据用户发出的不同请求,其提供个性化的网页内容。静态页面:静态页面的URL链接是以.html、htm、.shtml、.xml为链接后缀,存在于服务器上的一个文件,每个网页都是一个独立的文件,内容直接保存在文件,没有连接数据库。
puppeteer介绍(一)爬虫,性能,注入
weixin_34186950的博客
02-28 1342
Puppeteer 谷歌开发是一个 Node 库,它提供了一个高级 API 来通过 DevTools 协议控制 Chromium 或 Chrome。Puppeteer 默认以 headless 模式运行,但是可以通过修改配置文件运行“有头”模式。 能做啥? 生成页面 PDF,截图。 抓取单页应用执行并渲染 自动提交表单,进行 UI 测试,键盘输入等。 创建一个时时更新的自动化测试环境。 用来...
第九课 使用工具批量进行SQL注入攻击
07-29
第九课 使用工具批量进行SQL注入攻击
Python】实现批量网址自动爬行sql注入点分析+源码分析
浪子燕青的博客
02-10 6019
之前我的几篇文章写了关于怎么找到注入敏感地址,以及注入检测方式 然后做了一次优化整理,集成两项功能,只需要提供url即可实现sql注入自动扫描 urllist.txt内部放上采集的url 会在当前目录输出结果 源码如下 #coding = utf-8 #__author = lzyq import re import requests import time from bs4 impor
利用sqlmapapi进行批量检测sql注入
03-28
本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.pyoption的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
sqlmap文手册-sql注入自动化测试工具
07-19
SQLMap是一款强大的自动化工具,专门用于检测和利用SQL注入漏洞。它可以帮助安全测试人员和渗透测试专家快速识别和利用Web应用程序的SQL注入弱点,从而获取数据库的敏感信息,甚至控制底层文件系统和操作系统。...
SqlmapPython环境.zip
08-12
SqlMapPython环境绿色版,直接就可以运行了,不用经过Python环境。
pythonSQL注入仿写SQLMAP脚本.rar
09-26
Python SQL注入仿写SQLMAP脚本是针对网络安全领域的一个实践项目,主要涉及到的是利用Python编程语言来模拟著名的自动化SQL注入工具SQLMAP的功能。SQL注入是一种常见的网络安全漏洞,攻击者通过构造特殊的SQL语句来...
Python-使用Charles和sqlmapapi进行自动化SQL注入
08-10
使用Charles和sqlmapapi进行自动化SQL注入
注入批量扫描工具-2018
04-28
傀儡注入批量扫描工具-2018,上传于2018年4月28日。
Mysql注入思路+编写脚本批量dump数据+getshell——SQL注入
CC__Faker的博客
06-17 954
目录前言0x00 sql注入测试0x0001 注点判断0x0002 回显字段判断0x0003 函数注入0x0004 数据获取0x01 数据下载0x0100 思路0x0101 获取页面0x0102 正则提取0x0103 获取一组数据0x0104 获取多组数据并写入0x0105 程序运行 前言 本次渗透测试的目的是为了验证SQL注入的危害和对联合查询注入流程的详细讲解,以及编写脚本批量下载。 环境:sqli-labs less-1,phpstduy 工具:蚁剑、pycharm 0x00 sql注入测试 0x
学习日志1:爬虫+google搜索+sqlmap实现自动化任意网站的sql注入查找
m0_37622973的博客
08-31 1361
摘自freebuf 出处:https://www.freebuf.com/articles/web/210651.html 思想:利用爬虫在google按关键字搜索可能存在注入的url,存入一个文本文件,再利用爬虫进行探测,筛选出有响应的url,最后使用sqlmap利用制定好的参数进行sql注入探测。 解决的问题:sqlmap已经包含此功能,即-g语法,但无法正常处理带有文的url 关键点:...
js注入+chrome插件爬虫
qq_39246785的博客
06-07 2142
转载请注明原创 本例以http://www.biqugexsw.com/30_30505/为例 页面如下    (1)什么是js注入   首先观察控制台例子的控制台,发现所有的链接在.linsmain下      在console.log下输入Var s=$(".listmain a");for(var i=0;i<s.length;i++){console.log($(s[i]).attr...
使用sqlmapapi进行爬虫扫描
YQ的博客
03-26 3313
转自:http://www.secbox.cn/skill/5813.html 《使用sqlmapapi.py批量化扫描实践》http://drops.wooyun.org/tips/6653 看看他所封装的sqlmapapi的类: #!/usr/bin/python #-*-coding:utf-8-*- import requests import time import json
Burpsuite+Sqlmap批量扫描注入
****的博客
03-31 2808
主要思路 使用burpsuite对网站进行分析,将proxy的requests记录到日志使用脚本过滤日志,得到去重后的目标主机。地址如下:https://github.com/tony1016/BurpLogFilter 利用sqlmap对过滤后的目标主机进行扫描 实现过程 在burpsuite开启日志,将proxy的requests记录到日志。 利用burplogfilter....
教你使用搜索引擎批量检测网站注入
aici0819的博客
04-26 608
教你使用搜索引擎批量检测网站注入点 时间:2016-02-08 02:38:28 阅读:200 评论:0 收藏:0 [点我收藏+] 标签:安卓comhttp使用srcspasctp 可是在最近2年,已经无法通过百度批量查找网站是否存在注入漏洞了。 例如:我们要搜索所有网站...
批量注入 python3+sqlmap结合
weixin_30794499的博客
04-26 456
注入一直都是用sqlmap导致本来就不怎么精通的手工注入现在就忘的一干二净 想实战练习却一时又找不到有注入的网站 于是便有了这篇文章 想找个批量获取域名链接的工具 但都是只是获取域名而已都没获取后面的参数 于是自己写了个只获取bing前10页的结果输入q 结束循环 并开始整理数据 #!/usr/bin/env python # -*- conding...
SQLmap自动化注入工具深度解析与实战
SQLmap是一个强大的自动化SQL注入工具,主要用于检测和利用Web应用的SQL注入漏洞。它的核心功能包括漏洞扫描、数据库信息获取、权限提升和数据提取等,适用于多种数据库系统如MySQL、Oracle、PostgreSQL等。此教程...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值