利用Sqlmap自动化注入工具实现cookie注入与交互式写shell

最新推荐文章于 2024-04-04 12:24:53 发布
最新推荐文章于 2024-04-04 12:24:53 发布
阅读量471 收藏 4
点赞数 1
文章标签: 网络安全 sqlmap注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hehigoxqc606/article/details/102526381
版权

我是小白,这是我个人的学习记录,如有不对的地方,欢迎留言评论,以便我尽快改正,谢谢。

记录成长,充实生活!

Sqlmap简介:

       Sqlmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)的特性,支持枚举用户、密码、哈希、权限、角色、数据库、数据表和列,支持自动识别密码哈希格式并通过字典破解密码哈希(只是有关于这实验的)。

Sqlmap支持五种不同的注入模式:

  • 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
  • 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回的时间是否增加)来判断。
  • 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
  • 4、联合查询注入,可以使用union的情况下的注入。
  • 5、堆查询注入,可以同时执行多条语句的执行时的注入。

Sqlmap支持的数据库有

      MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Acces,IBM DB2,SQLite,Firebird,Sybase和SAPMaxDB

常用的使用选项

1、--cookie                  //设置我们的cookie值 “将DVWA安全等级从high设置为low

2、-u                           //指定目标URL

3、-b                           //获取DBMS banner

4、-current -db           //获取当前数据库

5、-current -user        //获取当前用户

6、-string                    //当查询可用时用来匹配页面中的字符串

7、-users                    //枚举DBMS用户

8、--password             //枚举DBMS用户密码Hash

9、-dbs                        //枚举DSMS中的数据库

10、-D                          //要枚举的DBMS数据库

11、--tables                  //枚举D

最低0.47元/天 解锁文章
Fit柠檬茶嘻
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【SQL注入cookie注入:原理、步骤、示例
07-08 4392
【SQL-cookie注入
利用sqlmap交互式shell
qq_57147160的博客
12-18 3130
首先我们必须找到渗透点,看一下靶机网站: 我们找一下注入点: 进行了报错,发现存在注入点: 随后我们使用sqlmap来进行操作: 随后我们来进行注入: 发现可以进行注入: 随后我们直接输入:--os-shell来进入shell平台。 这里选择4 php 其实在slqmap中我们进行拿交互式shell也是需要一定的条件的,这里的条件就是需要知道网站的绝对路径。 这里的选择就是: 第一个就是使用存在的字典来进行爆破路径, 第二个就是手敲网站的路径,我们知道网站的
sqlshell原理_sql注入shell的条件,网络安全基础入门
最新发布
m0_67980892的博客
04-04 924
本篇文章属于自己验证,如有错误之处,请大佬指正。如需转载请注明本次验证涉及的工具有:1 Sqlmap 版本为1.7.22 Phpstudy 版本为8.1.1.3(Apache+Php(5.4)+Mysql(5.7))3 Burpsuite 2021专业版5 Navicat6 中国蚁剑7 靶场环境为Pikachu工具都是常见工具,如需要请网上自行下载知晓网站的绝对路径原因是因为在指定–os-shell参数时,期间会让你输入要入木马的web路径,不然蚁剑如何连接。
COOKIE注入
weixin_50464560的博客
07-10 1096
一、简介 Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 Cookie注入简单来说就是利用Cookie而发起的注入攻击。从本质上来讲,Cookie注入与传统的SQL注入并无不同,两者都是针对数据库的注入...
SQL注入Cookie注入
weixin_43765321的博客
03-03 1064
1. Cookie背景介绍 Cookie最先是由Netscape (网景)公司提出的,Netscape官方文档中对Cookie的定义是这样的:Cookie是在HTTP协议下,服务器或脚本可以维护客户工作站上信息的一种方式。 Cookie的用途非常广泛,在网络中经常可以见到Cookie的身影。它通常被用来辨别用户身份、进行session跟踪,最典型的应用就是保存用户的账号和密码用来自动登录网站和电子商务网站中的“购物车”。 2. Cookie注入原理 Request对象的使用方法一般是这样的: reques
关于sql注入cookie注入
whatday的专栏
12-05 7514
小知识:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过W
sqlmap自动化注入工具
05-19
sqlmap自动化注入工具可用于sql注入
java开发基于SQLmap的SQL注入工具源码.zip
06-01
基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx)...
sqlmap中文手册-sql注入自动化测试工具
07-19
sql注入自动化测试工具sqlmap的操作手册,中文版,值得拥有哦。Web安全测试必备工具
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
sqlmap自动化脚本
03-27
自己用批处理的一个sqlmap脚本,不用看手册输命令行了 大部分参数均可设置,也可以自己输入其他参数
sqlmap 自动化的SQL注入工具
01-01
一个自动化的SQL注入工具 1、完全支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 2、完全支持布尔型盲注、时间型盲注、...
cookie注入原理详解
weixin_50464560的博客
07-16 6548
那我们还是围绕以下几个问题来看看cookie注入: 1.什么是cookie注入? 2.为什么要cookie注入? 3.怎样cookie注入? 1.什么是cookie注入?   ♦cookie注入的原理是:就要修改cookie的值,   ♦cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post...
Cookie注入自动化检测脚本实现
afei001
07-17 455
在渗透中基于Cookie注入可能会有不少小伙伴忽视。最近又在玩山*的靶场,于是自动化实现了一下检测。
Cookie注入
LOnely_ec0li的博客
10-31 2853
1.先找cookie,URL中输入/?id=1 2.用burpsuite抓包 3.尝试注入,更改 id=123+union+select+database(),2# 查询到数据库名sqli 4.查 询 表 名 接 着 更 改 id=123 union select group_concat(table_name),2 from information_schema.tables wheretable_schema=’sqli’# 5.查 询 字 段 名 输 入 id=123...
sqlmapshell命令及步骤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-12 2413
一篇利用工具sqlmapshell的文章,网上已经有很多类似的文章了,感觉不是很详细,也是自己做个笔记再重温一遍sqlmapshell命令及步骤吧 sqlmap.py -u "http://192.168.3.50/2sqli-labs/Less-1/?id=1" --os-shell输入完语句之后首先会让你选择脚本类型,我这里是php的 接下来回车一下,又会出现4个选项(让你指定目录)我这个选择自定义目录,然后回车接下来输入网站的根路径会自动生成一个上传文件的地方成功入2个shell,一个用来执行
sqlmap --os-shell 使用方法
m0_50818626的博客
06-07 3603
可以看到最下方有文件上传的位置,在这里我们可以上传一句话木马。如上图所示,红框处很明显是一个传参点,我们就在这个页面抓包。总结:sqlmap -os-shell 的使用需要以下条件。抓到包之后将内容保存到桌面的1000.txt文件下。--os-shell:本质就是入两个php文件。-dbms=mysql:指定跑mysql数据库。我们获得了两个url,我们访问第一个url。这里我们先选择4,因为网站是php代码的。三、上传一句话木马,连接蚁剑。上图就是一句话木马的内容。二、sqlmap跑包。
sqlmap如何实现post注入
04-30
SQLMap可以使用`--data`参数来指定POST请求的数据,然后进行注入测试。具体步骤如下: 1. 使用`-u`参数指定目标URL,并添加`--data`参数指定POST请求的数据,例如: ...SQLMap自动检测注入漏洞并执行相应的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值