最全sqlmap命令

最新推荐文章于 2024-05-17 08:18:18 发布
最新推荐文章于 2024-05-17 08:18:18 发布
阅读量484 收藏 8
点赞数 6
文章标签: 数据库 web 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzy1616/article/details/136514861
版权

SQLMap 使用参数详解

SQLMap 是一款自动化的SQL注入测试工具,在 kali 上已集成

总结一些sqlmap常用的参数:

-D 选择使用哪个数据库

-T 选择使用哪个表

-C 选择使用哪个列

--tables 列出当前的表

--columns 列出当前的列

--dump 获取字段中的数

-h                  输出参数说明
-hh                 输出详细的参数说明
-v                  输出级别(0~6,默认1)
-u url              指定url
--data=DATA         该参数指定的数据会被作为POST数据提交
-r file.txt         常用于POST注入或表单提交时注入
-p / --skip         指定/跳过测试参数
--cookie            设置cookie
--force-ssl         强制使用SSL
--threads           指定线程并发数
--prefix            指定前缀
--suffix            指定后缀
--level             检测级别(1~5,默认1)
--risk              风险等级(1~4,默认1)
--all               列举所有可访问的数据(不推荐)
--banner            列举数据库系统的信息等
--current-user      输出当前用户
--current-db        输出当前所在数据库
--hostname          输出服务器主机名
--is-dba            检测当前用户是否为管理员
--users             输出数据库系统的所有用户
--dbs               输出数据库系统的所有数据库
-D DB               指定数据库
--tables            在-D情况下输出库中所有表名
-T table            在-D情况下指定数据表
--columns           在-D -T情况下输出表中所有列名
-C column           在-D -T情况下输出某列数据的值
--dump              拉取数据存放到本地
--dump-all          拉取所有可访问数据存放到本地
--count             输出数据条目数量
--search            搜索数据库名、表明、列名,需要与-D -T或-C 联用
--sql-query         执行任意的SQL语句
--sql-shell         使用交互式SQL语句执行环境
--flie-read         读取文件
--file-write        上传文件(指定本地路径)
--file-dest         上传文件(指定目标机器路径)
--os-cmd            执行任意系统命令
--os-shell          使用交互式shell执行命令
--batch             所有要求输入都选取默认值
--wizard            初学者向导
 

ylyngzy
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Sqlmap命令大全
学习、分享、交流
05-26 2万+
Sqlmap:开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能 够查看数据,文件系统访问,甚至能够操作系统命令执行。
sqlmap命令大全
02-22
什么是SQLmapSQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令
SQLmap命令大全
mmxhappy的专栏
01-25 1652
-delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒 --delay 0.5。--dbms=DBMS 强制后端的DBMS为此值 如:--dbms "Mysql"--proxy=PROXY 使用HTTP代理连接到目标URL --proxy。--random-agent 使用随机选定的HTTP User - Agent头。此外,您还可以运行您自己。--user-agent=AGENT 指定 HTTP User - Agent头。
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
2401_84281629的博客
05-17 972
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
SQLMAP 命令详解
安全苦行僧
05-30 392
SQLMAP 命令详解 Options(选项):–version 显示程序的版本号并退出-h, –help 显示此帮助消息并退出-v VERBOSE 详细级别:0-6(默认为 1)Target(目标):以下至少需要设置其中一个选项,设置目标 URL。-d DIRECT 直接连接到数据库。-u URL, –url=URL 目标 URL。-l LIST...
sqlmap命令详解
Pitbull2014的博客
12-20 1121
cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sq...
sqlmap命令
qq_51085206的博客
01-29 633
1、判断网站是否存在注入 get:sqlmap -u “url” post:sqlmap -r “请求数据包” 2、爆数据库 当前数据库 --current-db 线程 --thread (1-10) 爆所有库 --dbs 指定库 -D 爆所有表 --tables 指定表 -T 爆所有列 --columns 指定列 -C 显示内容 --dump 脱库 --dump-all 挂马 --os-shell ...
sqlmap指令
Demerol的博客
11-24 299
常用最基础指令: -u 指定注入点 –dbs 跑库名 –tables 跑表名 –columns 跑字段名 –dump 枚举数据 (手铐警告) -D 指定库 -T 指定表 -C 指定字段 sqlmap.py -u http://59.63.200.79:8003/?id=1 -D maoshe -T admin -C password --dump 常见指令: –random-agent 选择随机user-agents头 –delay=1 每次探测延时1秒(防止访问过快被ban) –count 查看数
SQLmap常用命令
05-08
sqlmap是一个自动化的sql注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,甚至还提供了一个字典来将取回来的hash爆破,当然对于真实环境中这爆破功能战斗力基本为0....
sqlmap手册.zip
06-09
sqlmap用户手册,sqlmap命令详解,多文档,更详细 1. ./sqlmap.py -u http://www.evil0x.com/ test.php?p=2 -f -b –current-user –current-db –users –passwords –dbs -v 0 2. ./sqlmap.py -u ...
SQLmap压缩包,SQLmap压缩包
06-07
5. **数据库操作**:执行任意SQL命令,如修改数据、删除记录等。 6. **权限提升**:在某些情况下,SQLmap还可以尝试获取数据库服务器的完全控制权。 7. **隐蔽性**:SQLmap可以通过HTTP代理、Tor网络等方式隐藏攻击...
sqlmap使用命令
arissa666的博客
07-24 155
-dbs 自动的探测web应用后端数据库类型:MySQL、Oracle、PostgreSQL、MicrosoftSQL Server、Microsoft Access、SQLite、Firebird、Sybase、SAPMaxDB、DB2(注意:如果不是root用户不能看到所有库)本地D:/3.txt写入到宿主机的目录和文件名C:/phpStudy/3.txt,v1是显示细节。--current-user:大多数数据库中可检测到数据库管理系统当前用户。--is-dba:判断当前的用户是否为管理。
Sqlmap命令讲解
永不垂头的博客
08-05 267
Sqlmap命令讲解 一、Sqlmap命令讲解 apostrophenullencode.py 暴力破解表名如下: 二、Web练习1 1、 Access+ASP注入练习环境(CMS ,NewsInfo.asp,admin/123456,后台数据库备份拿shell) 后续操作请持续关注哦!!! ...
强大的SQL注入工具——sqlmap命令详解
weixin_33937913的博客
01-13 549
1. sqlmap简介:sqlmap是一个开放源码的***测试工具,它可以自动探测和利用SQL注入漏洞来接管数据库服务器。它配备了一个强大的探测引擎,为最终***测试人员提供很多猥琐的功能,可以***,可以访问底层的文件系统,还可以通过带外连接执行操作系统上的命令。2. SQLMAP命令详解:Options(选项): --version 显示程...
sqlmap教程一:命令
软件测试技术的博客
07-26 3424
一、sqlmap命令介绍 sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage 摘取了其中的命令参数格式如下 中英对照版: [html] view plain copy Usage: python sqlmap.py [options]    Options(选项):
sqlmap基本命令
武恩赐
04-28 1274
判断是否存在注入 sqlmap -u url 当注入点后面的参数大于等于两个时,url需要加双引号 查询当前用户下的所有数据库 sqlmap -u url –-dbs 用于查询当前用户下的所有数据库,前提是当前用户有权限读取包含所有数据库列表信息的表 获取数据库中的表名 sqlmap -u url -D 数据库名 –-tables -D是指定某一个具体的数据库,如果没有指定,则会列出数据库中所有的库的表 获取表中的字段sqlmap -u URL -D 数据库名 -T 表名 –-columns 获
Sqlmap命令详解
qq_45884195的博客
06-30 4801
sqlmap命令详解 目录0x01 sqlmap 确定目标1.1 直连数据库1.2 URL探测1.3 文件读取目标1.4 Google 批量扫描注入0x02 sqlmap 请求参数设置(一)2.1 设置 HTTP 方法2.2 设置 POST 提交参数2.3 设置参数分割符2.4 设置Cookie 头2.5 设置 User-Agent 头2.6 设置 Host 头2.7 设置 Referer 头2.8 设置 额外 HTTP 头2.9 设置 HTTP 协议认证2.10 设置 HTTP 代理0x03 sql
sqlmap命令大全(附详细扫描流程)
m0_50818626的博客
05-24 7212
3.扫描指定数据库中的所有表名,-D可以指定要扫描的数据库,这里我扫的是security库。红框内就是我们所扫描出的字段名,一共有三个,分别为id,password,username。如上图所示,我们就把我们需要的username和password找出来啦!4.扫描users中的字段名是什么,-T可以指定扫描的表。上图红框内就是security库中的所有表啦。可以看到有漏洞,布尔盲注和时间盲注。可以看到所有的数据库都被扫描出来了。5.用dump扫描出字段中的所有数据。2.扫描所有数据库 -dbs。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值