sqlmap注入——POST检测点方法

最新推荐文章于 2024-07-11 18:55:16 发布
最新推荐文章于 2024-07-11 18:55:16 发布
阅读量5.7k 收藏 23
点赞数 5
分类专栏: sqlmap # SQL注入 web安全 文章标签: 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xionghuimin/article/details/106517392
版权
web安全 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
sqlmap
1 篇文章 0 订阅
订阅专栏
SQL注入
1 篇文章 0 订阅
订阅专栏

目录

一、题目

在这里插入图片描述

二、解题过程

1、 在输入框输入'号,发现有错误提示,说明存在sql注入

在这里插入图片描述

2、 判断注入方式

输入数字1我们可以看到他从数据库中调出了数据,从burpsuite的抓包情况来看,提交了id1=1&submit=Submit,但是url地址栏却没有任何显示,所以是post请求(如果是get请求则会在url地址栏中显示)

在这里插入图片描述

3、 sqlmap注入——POST检测点

将burpsuit抓包到的request请求内容复制到一个文本文件然后改名为.log后缀名的文件如下所示,然后进行注入

在这里插入图片描述

4、sqlmap注入获取数据库信息
sqlmap  -l ~/桌面/sqlmap.log --dbs

在这里插入图片描述
在这里插入图片描述

5、查看某个数据库中的表
sqlmap  -l ~/桌面/sqlmap.log -D web1 --table

在这里插入图片描述
在这里插入图片描述

6、查看某个表中的列
sqlmap  -l ~/桌面/sqlmap.log -D web1 --table -T flAg --colum

在这里插入图片描述

在这里插入图片描述

7、具体到列的详细信息

sqlmap  -l ~/桌面/sqlmap.log -D web1 --table -T flAg --colum --dump

在这里插入图片描述

在这里插入图片描述

熊未泯
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali下Sqlmap工具使用方法POST方法
Liu_Bruce的博客
09-18 5732
大家好,上周讲解了SQL注入漏洞实验的GET方法测试过程。今天向大家继续讲解SQL注入漏洞的POST方法测试过程。工具是大家熟悉的SqlmapSqlmap是一款开源的SQL注入漏洞检测与利用神器,没有之一。测试平台是漏洞扫描工具AWVS的测试平台:http://testphp.vulnweb.com,kali系统,今天还用到抓包工具OWASP ZAP2.5.0。因为POST方法需要用抓包工具抓到post请求包,然后存成txt文件。 下面介绍一下操作步骤: ——————————————...
sqlinator:自动将HTTP GET和POST请求转发到SQLMap的API,以测试SQLi和XSS
05-16
SQLinator的 使用mitmproxy拦截所有HTTP通信,并自动将HTTP GET&POST请求转发到SQLMap的API,以测试SQLi和XSS 安装 SQLinator仅支持Python> = 3.6 建议使用pipenv install && pipenv shell SQLinator: pipenv install && pipenv shell 用法 启动SQLMap API服务器: python sqlmapapi.py -s 运行此脚本: mitmdump -s "sqlinator.py <target>" 开始点击目标网站 利润
sqlmap使用之-post注入、head注入(ua、cookie、referer)
最新发布
weixin_51520483的博客
07-11 480
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
sqlmap结合burpsuite对post请求进行注入测试
weixin_30951231的博客
01-12 943
1.浏览器打开目标地址http://testasp.vulnweb.com/Login.asp 2.配置burp代理(127.0.0.1:8080)以拦截请求 3.点击login表单的submit按钮 4.如下图,这时候Burp会拦截到了我们的登录POST请求 5. 把这个post请求复制为txt, 我这命名为search-test.txt 然后把它放至sqlmap目录下 ...
墨者学院——SQL注入漏洞测试(POST)
2303_76679642的博客
04-23 679
6.找字段内容“sqlmap -r post.txt --level 5 --risk 3 -D 数据库名 -T 数据表名 -C (字段1,字段2,....) --dump --dbms mysql --batch”5.找数据库表里面的字段“sqlmap -r post.txt --level 5 --risk 3 -D 数据库名 -T 数据表名 --columns --dbms mysql --batch”测试环境为Kali Linux。
SQL注入 - POST注入方法
HAKUNAMATATATTA的博客
08-30 887
SQL注入-POST注入方法教学
sqlmap入门-判断注入
weixin_46626737的博客
11-14 6937
①找到目标站,查看源代码,或者查找子链接,寻找可以尝试注入的参数,大多为$POST['a'],也有$GET['a'],当中a为可尝试注入的参数 还有比如点击子链接url中出现http://www.*****.com/****.php?a=1 出现http://www.******.com/*****.php?a=1&b=a等等 ②get型的注入命令,基本为python sqlmap.py(换到相应路径) -u "url" --level 1-5 ③post型的注入命令给,可以用brup...
sqlmap注入漏洞测试
02-22
SQLMap 是一款自动化的 SQL 注入工具,它可以检测和利用 SQL 注入漏洞,以获取数据库中的敏感信息。 在本文中,我们将使用 SQLMap 工具来演示如何测试 SQL 注入漏洞。我们的目标是 stormgroup 数据库中的 member 表...
sqlmap sql 注入测试工具
03-06
- 技术细节:SQLMap会尝试各种注入技术,包括但不限于ORDER BY注入、UNION SELECT注入、堆叠查询注入等,以找到最有效的注入点。 4. 安全测试流程: - 预备阶段:了解目标网站的结构,确定可能的注入点。 - 扫描...
sqlmap注入神器
12-30
sqlmap是一款注入神器,灵活的运作它将是你更有效率的完成工作
利用sqlmapapi进行批量检测sql注入
03-28
本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入方法,例如,基于时间/布尔等。
SQLmap注入工具
09-20
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, ...
SQLMAP 脱库过程(post请求,三种方法
u011571189的专栏
03-20 4899
一、准备工作 1、sqlmap为python语言开发,因此需要具备python环境。 2、python环境搭建及sqlmap下载,可参考其他文章。(很多也很全,这个不是本文重点,因此略过) 二、环境搭建 1、本人使用的是Mac、windows7虚拟机,windows7中部署DVMA 2、以DVMA的sql注入为例(DVMA安全级别为medium),进行详细介绍。 三、post请求脱库三...
SQLMAP 注入教程
General的 CSDN 博客
11-15 5285
SQLMAP SQLMAP是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB,Informix,HSQLDB和H2数据库管理系统。 当给SQLMAP这么一个url的时候,它会: 判断可注入的参数 判断可以用那种SQL 注入技术来注入 识别出哪种数据
针对POST型表单注入sqlmap验证的三种参数
weixin_44023403的博客
04-12 5278
针对POST型表单注入sqlmap验证的三种参数一、知识储备二、验证漏洞的三种参数1:--data2:-r3:--forms 一、知识储备 针对post型的表单,sqlmap有三种参数可验证: –data 需要自己手工找到参数名以及一些信息 -r 需要自己抓包 –forms sqlmap中的自动抓包获取参数,最方便 二、验证漏洞的三种参数 这里借助sqli-labs靶场的less11,来针对post表单注入,用sqlmap进行验证; 首先打开less11; 提交任意数据,用burp抓包; 记下p
sqlmap工具基本使用(检测sql注入
m0_37570494的博客
01-25 6225
sqlmap的用户手册: sqlmap是python2进行运行的,如果要直接使用,需要把sqlmap设置到环境变量中: sqlmap主要用于sql注入方面的异常检测 Mysql数据库 1、先检测是否可以注入,先判断是否可以正常注入sqlmap -u url -v 3 里面有个注意的点url后面必须是可注入的参数?id=之类的,否则url检测会有问题 对于某些今天url可以在/a/b*.html尝试加入*号来进行此路径内的检测 2、爆库 sqlmap.py -u http://...
利用SQLmap实现 SQL 注入
m0_71805735的博客
06-21 2338
利用SQLmap实现 SQL 注入
Sqlmap -- POST注入
weixin_41489908的博客
07-07 2849
想归想,难过归难过,若你岁岁平安,我可生生不见。。。 ---- 网易云热评 一、检测是否存在注入 1、通过BurpSuite抓包获取提交的数据 2、sqlmap -u "http://192.168.139.129/pikachu/vul/sqli/sqli_id.php" --data "id=1&submit=%E6%9F%A5%E8%AF%A2" --data指定提交的数据 运行结果:id值存在注入,可能是布尔盲注、报错注入、时间盲注、联合注入 [14:37:09]...
自用Linux版学习用品分享
jennycisp的博客
11-01 65
在逐渐摸坑的日子里,搜集了一些常用的学习用品。学习用品仅为学习用途,请勿用于非法用途。学习用品都为搜集而来,若侵犯原创者权益,可联系我删除。(Mail :(已保留.git文件,方便升级代码和证明原创者版权。
sqlmap post注入方法
09-20
sqlmap是一种常用的自动化SQL注入工具,可以用于测试和发现应用程序中的SQL注入漏洞。在使用post注入方法时,可以通过以下步骤进行操作: 1. 使用`-u`参数指定目标URL,例如:`-u "http://xxx.xxx.com/Login.asp"` 2. 使用`--data`参数指定POST请求的数据,例如:`--data "n=1&p=1"` 3. 输入命令`sqlmap -u http://xxx.xxx.com/Login.asp --data "n=1&p=1"`来执行注入攻击 请注意,这只是一个简单的示例,实际使用时可能需要根据具体情况进行参数的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值