前提:用python2.7.9版本,3.0以上版本不支持,sqlmap可以检测所有数据库
get注入--语法python sqlmap.py -u 要检测的网址
提示是否检测其他数据库,检测等级是1,风险等级1,等级越高越慢。
执行测试的等级(1-5,默认为1),使用–level 参数且数值>=2的时候也会检查cookie里面的参数,当>=3的时候将检查User-agent和Referer。
执行测试的风险(0-3,默认为1),默认是1会测试大部分的测试语句,2会增加基于事件的测试语句,3会增加OR语句的SQL注入测试。
执行结果分析
白色的就是检测结果,id这个注入点有布尔盲注,时间盲注,联合查询
post注入--语法python sqlmap.py -r 1.txt -p id --level=3
搜狐插件hackbar使用,可以把get请求变为post
hackbar使用参考基于Chrome浏览器的HackBar_v2.2.6插件的安装与注册「建议收藏」-腾讯云开发者社区-腾讯云
使用burp右键-变更请求方法
把转换好的包粘贴到1.txt里面
输入语句
如果想要看sqlmap的语句可以放到编码器界面看
智能判断python sqlmap.py -u 网址 -batch-smart
生产环境不用这个
--mobile手机模仿访问
-m批量注入