java中运行sqlmap中等待输入的问题

最新推荐文章于 2024-05-04 20:29:53 发布
最新推荐文章于 2024-05-04 20:29:53 发布
阅读量981 收藏
点赞数
文章标签: java python 终端 sqlmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35900276/article/details/78398584
版权

一、如何运行python程序

java中运行python程序大致有两种思路,一种是利用jython的环境进行java和python交互,第二种是利用java内的Process类模拟系统终端的操作,我们这里利用Process类进行交互。
大体操作如下: 
int exitValue;
try {
	Process pro = Runtime.getRuntime().exec("python", "python文件名", "其他参数");
	InputStream out = pro.getInputStream();
	BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(in));
	String line;
	while ((line = bufferedReader.readLine()) != null) {
		System.out.println(line);
	}
	pro.waitFor();
	exitValue = pro.exitValue();
	} catch (IOException | InterruptedException e) {
		exitValue = 2;
	}

System.out.println("exit: " + exitValue);
但是,如果遇到像sqlmap这样需要中途用户进行选择的话,就没有办法进行输入操作。虽然Process类中有getOutputStream的方法,但是如果没有到需要输入的地方输入无效,而且这个线程会在 bufferedReader.readLine()中挂起(终端中等待输入没有"\n",意味着readLine没有结束),后续操作无法执行。

二、解决方法(仅对sqlmap有效)

根据已知问题,由sqlmap对用户选择的语法分析发现会出现类似“ [Y/N] ”的字段,这个字段之后就是用户输入的地方,我们利用这一点对代码进行改造: 
int exitValue;
try {

	Process pro = Runtime.getRuntime().exec("python", "python文件名", "其他参数");
InputStream in = pro.getInputStream();OutputStream out = pro.getOutputStream();BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(in));



	int charNum;
	StringBuilder sb = new StringBuilder();
	while ((charNum = bufferedReader.read()) != -1) {
		sb.append((char) charNum);
		System.out.print((char) charNum);
		if (charNum == '\n' || charNum == '\r') {
			sb = new StringBuilder();
		}
		if (sb.toString().endsWith("[Y/n] ") || sb.toString().endsWith("[Y/N] ") ||
		    sb.toString().endsWith("[y/n] ") || sb.toString().endsWith("[y/N] ")) {
			Scanner scanner = new Scanner(System.in);
			String input = scanner.next();
			out.write((input + "\n").getBytes(Charset.defaultCharset()));
			out.flush();
		}
	}
	pro.waitFor();
	exitValue = pro.exitValue();
} catch (IOException | InterruptedException e) {
	exitValue = 2;
}


    
    




 

 

 
 这段代码则是逐字符读入readLine方法防止因没有换行符挂起的问题,其次,根据sqlmap的语法,在询问用户是会出现上述类似字段,则判断现有字段中是否已经存在上述字段,如果存在说明将会等待用户输入,这是利用OutputStream输出内容,其中“\n”将会指示“终端”输入完成并进行后续操作。 

 

 
 这样则可以基本解决sqlmap的输入问题。 

 

 
 第一篇博客留影纪念。 

 

 
 
 


                

        

        

    

  


    

      

        

            

              
                
                  Ghostlead
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
Java基础学习总结(98)——阿里巴巴Java开发手册

				
			

			

				

					科技D人生
				

				

					02-16
					
					2041
					
				

			

		

		

			
				
Java开发手册


 




 


版本号



制定团队



更新日期



备  注



 




1.0.0



阿里巴巴集团技术部



2016.12.7



首次向Java业界公开





      一、编程规约
(一)
命名规约 

1.   【强制】所有编

			
		

	



                

              
                



	

		

			

				
					
sqlmap能测试java么_Web应用手工渗透测试—用SQLMap进行SQL盲注测试

				
			

			

				

					weixin_30120049的博客
				

				

					02-26
					
					156
					
				

			

		

		

			
				
SQLmap –r ~root/Desktop/header.txt – -technique B – -p username – -current-user这里-p选项表示要注入的参数,“–current-user“选项表示强制SQLmap查询并显示登录MYSQL数据库系统的当前用户。命令得到输出如下图所示:同时也可以看到工具也识别出了操作系统名,DBMS服务器以及程序使用的编程语言。“”当前我...

			
		

	



                


  
              

                


	

		

			

				
					
java web sqlmapapi_Sqlmap API用法,SqlmapAPI,使用

				
			

			

				

					weixin_42511712的博客
				

				

					03-01
					
					408
					
				

			

		

		

			
				
Sqlmap API作用客户端调用服务端的Sqlmap API,可实现批量同时扫描疑似SQL注入点,具有一定的高效性linux下Sqlmap使用建立服务端使用kali进行学习1.进入到/usr/share/sqlmap目录2.运行sqlmapapi.py命令如下:cd /usr/share/sqlmappython sqlmapapi.py -ssqlmapapi.py后可加参数如下:客户端调用1...

			
		

	





	

		

			

				
					
sqlmap能测试java么_实验吧 这个看起来有点简单!&渗透测试工具sqlmap基础教程

				
			

			

				

					weixin_28951683的博客
				

				

					02-26
					
					256
					
				

			

		

		

			
				
下载sqlmap,拖到python安装文件夹下面,在桌面创建sqlmap的cmd快捷方式,都不赘述。教程开始:1.检测注入点是否可用命令:2.暴库:爆出该mysql里所有数据库的名称命令:结果:爆出有3个数据库3.web当前使用的数据库命令:sqlmap.py-u"http://ctf5.shiyanbar.com/8/index.php?id=1"--current-db结果:得到当前使用...

			
		

	



		

			
		



	

		

			

				
					
java sqlmap_IBATIS SQLMap详解

				
			

			

				

					weixin_36079903的博客
				

				

					02-16
					
					553
					
				

			

		

		

			
				
package test;import java.io.Reader;import com.ibatis.sqlmap.client.*;import com.ibatis.common.resources.*;import bo.*;public class AutoMag {private Reader reader;private SqlMapClient sqlMap;private St...

			
		

	





	

		

			

				
					
sqlmap使用

				
			

			

				

					java_java_cl的博客
				

				

					01-12
					
					509
					
				

			

		

		

			
				
sqlmap是由Python编写的渗透测试工具,主要用来检测sql注入漏洞,是一款功能强大的sql漏洞检测利用工具。

SQLMAP使用

基本参数


作者:fuubar2
链接:https://www.jianshu.com/p/ea1d8170e118
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
...

			
		

	





	

		

			

				
					
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap

				
			

			

				

					墨鱼菜鸡
				

				

					07-11
					
					3092
					
				

			

		

		

			
				
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 
黑帽与白帽都喜爱的十大SQL注入工具:...

			
		

	





	

		

			

				
					
SQL注入攻击的时间盲注与sqlmap的应用

				
			

			

				

					
				

			

		

		

			
				
SQL注入攻击是一种常见的网络安全威胁,攻击者通过在Web应用程序的输入字段注入恶意的SQL代码,从而绕过应用程序的输入验证机制,执行非法的数据库操作。当用户的输入未经有效过滤和验证时,攻击者可以利用这个...

			
		

	





	

		

			

				
					
网络安全最新网络安全-sqlmap学习笔记_sqlmap --no-cast

					
最新发布

				
			

			

				

					2301_82242964的博客
				

				

					05-04
					
					647
					
				

			

		

		

			
				
检测和利用SQL注入的工具。sqlmap官网sqlmapWiki本文参考用户手册,有删减,算是低创,但并非完全翻译,有包含自己的抓包及部分使用sqlmap注入的内容,sqlmap实战在文末链接。--prefix和--suffix在某些情况下,仅当用户提供要添加到注入有效负载的特定后缀时,漏洞参数才可利用。当用户已经知道查询语法并想通过直接提供注入有效载荷前缀和后缀来检测和利用SQL注入时,这些选项很方便出现的另一种情况就会出现。为了检测和利用此SQL注入,您可以让sqlmap 在检测阶段为您检测边界。

			
		

	





	

		

			

				
					
Centos安装sqlmap、nmap、metasploit

				
			

			

				

					the3robit的博客
				

				

					12-08
					
					2549
					
				

			

		

		

			
				
首先安装用到的支持环境 
否则安装过程可能会出现莫名其妙的错误,折腾好好久才弄好,以下先列出来用到的包 
     git 用于检出源码 
     autoconf:configure用的 
     GNU GCC C 编译器(gcc)  编译C的 
     GNU GCC C++ 编译器 (gcc-c++): 编译C++的 
     make/automake: make的主程序

			
		

	





	

		

			

				
					
java开发基于SQLmap的SQL注入工具源码.zip

				
			

			

				

					06-01
				

			

		

		

			
				
基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发

安装教程
安装JDK(需要有javafx) 安装Python 安装SQLmap

基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发

安装教程
安装JDK(需要有javafx) 安装Python 安装SQLmap基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发

安装教程
安装JDK(需要有javafx) 安装Python 安装SQLmap基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发

安装教程
安装JDK(需要有javafx) 安装Python 安装SQLmap基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发

安装教程
安装JDK(需要有javafx) 安装Python 安装SQLmap基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发

安装教程
安装JDK(需要有javafx) 安装Python 安装SQLmap


			
		

	





	

		

			

				
					
java   ibaties  sqlMap配置文件

				
			

			

				

					01-29
				

			

		

		

			
				
java   ibaties  sqlMap配置文件
java   ibaties  sqlMap配置文件
java   ibaties  sqlMap配置文件
java   ibaties  sqlMap配置文件
java   ibaties  sqlMap配置文件

			
		

	





	

		

			

				
					
SqlMap自动生成小工具SqlMapAutoGen1.0

				
			

			

				

					03-07
				

			

		

		

			
				
设计思路:
通过java原生的反射机制获取java类的私有字段
1)获取字段名转换成数据库字段名
注意这里有潜规则,默认是这样处理的
createDateTime --> CREATE_DATE_TIME
car --> CAR
2)根据字段的java类型获取jdbc类型
我只定义了以下规则
// javaType --> jdbcType
rules.put("java.lang.String", "VARCHAR");
rules.put("java.lang.Long", "DECIMAL");
rules.put("java.lang.Integer", "DECIMAL");
rules.put("java.math.BigDecimal", "DECIMAL");
rules.put("java.util.Date", "TIMESTAMP");
在SqlMapAutoGen类的构造函数,可以自行修改
3)预先定义了模板 temple.xml (请放在D:/test 目录下)
temple.xml定义了insert、update和delete方法
模板定义了一系列的特殊字符串,如#BASE_COLUMN_LIST#
#BASE_COLUMN_LIST#

#BASE_COLUMN_LIST#代表数据库字段列表
在SqlMapAutoGen类,通过程序自动生成这些字符串,然后再做替换写入到文件
生成的文件也存储在D:/test目录下
文件名 = 表名 + "_SqlMap.xml"

			
		

	





	

		

			

				
					
SQLMAP 语法

				
			

			

				

					LYSM
				

				

					05-08
					
					444
					
				

			

		

		

			
				
扫描指定URL
sqlmap -u "网站URL" --cookie="COOKIE值"




			
		

	





	

		

			

				
					
java sqlmap_sqlmap 学习指南

				
			

			

				

					weixin_36003021的博客
				

				

					02-16
					
					668
					
				

			

		

		

			
				
标签标签用于生成一个文本的输入区域。它必须包含和相关formbean的相同属性对应的“property”属性。该标签只有在嵌入到一个标签时才有效。例如:会被转换成:标签标签用于生成一个口令字(typepassword)的输入区域。它必须包含和相关formbean的相同属性对应的“property”属性。该标签只有在嵌入到一个标签时才有效。该标签的一个很重要的属性是“redispla...

			
		

	





	

		

			

				
					
Java 之防止 SQL 注入

				
			

			

				

					Java
				

				

					09-12
					
					462
					
				

			

		

		

			
				
Java 防止 SQL 注入

			
		

	





	

		

			

				
					
DVWA—使用sqlmap工具get注入

				
			

			

				

					@一只躺平的猪@的博客
				

				

					07-08
					
					1928
					
				

			

		

		

			
				
使用phpstudy搭建的DVWA靶场SQL盲注
burpsuite
sqlmap下载安装sqlmap https://javaforall.cn/126449.html修改DVWA靶场的安全级别为Low
本章介绍了sqlmap关于get注入的使用步骤以及攻击的相关语句。

			
		

	





	

		

			

				
					
java 防止sql注入_JavaSQL注入以及如何轻松防止它

				
			

			

				

					从零开始的教程世界
				

				

					07-14
					
					2364
					
				

			

		

		

			
				
java 防止sql注入 什么是SQL注入? (What is SQL Injection?)
SQL Injection is one of the top 10 web application vulnerabilities. In simple words, SQL Injection means injecting/inserting SQL code in a query via use...

			
		

	





	

		

			

				
					
Java应用程序的SQL注入

				
			

			

				

					最佳 Java 编程
				

				

					05-12
					
					664
					
				

			

		

		

			
				
在本文,我们将讨论什么是SQL注入攻击。 以及它如何影响任何Web应用程序使用后端数据库。 在这里,我专注于Java Web应用程序。 开放Web应用程序安全项目(OWAP)列出了SQL注入是Web应用程序的主要漏洞攻击。 黑客将Web请求的SQL代码注入Web应用程序并控制后端数据库,即使后端数据库未直接连接到Internet也是如此。 我们将看到如何解决和防止Java Web App...

			
		

	





	

		

			

				
					
sqlmap文使用手册:自动化SQL注入工具详解

				
			

			

				

					
				

			

		

		

			
				
"sqlmap是一个强大的自动化SQL注入工具,用于检测和利用Web应用程序的SQL注入漏洞。它能够识别多种数据库管理系统,获取数据库信息、表名、列名,甚至读取系统文件。此外,sqlmap还支持多种功能,如绕过WAF、HTTP...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值