简明SQLmap暴库

已于 2022-09-13 16:44:32 修改
阅读量1.7w 收藏 8
点赞数
分类专栏: 安全测试 工具 测试 文章标签: 安全性测试 测试工具 sql 系统安全
于 2022-04-01 17:55:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41648820/article/details/123904098
版权
测试 同时被 3 个专栏收录
14 篇文章 21 订阅
订阅专栏
工具
13 篇文章 0 订阅
订阅专栏
安全测试
6 篇文章 9 订阅
订阅专栏

1、首先在网站找到 可能有sql注入的 url链接,图中凭感觉怀疑 id 参数有注入的可能
在这里插入图片描述
2、上sql map,检测这个url
在这里插入图片描述
3、稍等片刻后 扫描结果如图中,说明有注入,不做过多详细说明
在这里插入图片描述
4、既然有注入,直接 --dbs 爆破出 数据库名称
在这里插入图片描述
5、稍等片刻,sqlmap 告诉我们 找到三个数据库
在这里插入图片描述
6、maoshe 这个数据库应该是 该网站的数据库,直接 指定数据库 爆库 -D “maoshe” --dump-all
在这里插入图片描述
7、数据库中的表数据都被保存下来了
在这里插入图片描述
在这里插入图片描述
拿到admin 账号密码 就可以去做更多的事了

回忆式~过去.
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQLmap压缩包,SQLmap压缩包
06-07
SQLmap压缩包
owasp漏洞常见基础安全面试题--SQL注入sqlmap常见命令
ouyang_ly的博客
09-09 3759
SQL注入常见面试题: 原理:攻击者将sql语句插入到网站的参数或链接中,从而恶意查询数据库的敏感信息。 SQL注入的数据类型:数字型、字符型、搜索型。 SQL注入的方式/方法:盲注、报错注入、布尔注入、宽字节注入。 数据库版本在5.0以上或以下有什么注入区别:5.0以下直接暴力查询,5.0以上通过 ...
SQLMAP教程,零基础入门到精通,一篇就够了!
资深程序员,曾自学JAVA,C#,如今从业于网安行业
02-18 1077
这些选项可以用来创建用户自定义函数`--udf-inject 注入用户自定义函数`` ` `--shared-lib=SHLIB 共享库的本地路径`
sqlmap表找不到
3569
02-11 5320
以下是从SQLMAP帮助文档中看到的,希望有用。 暴力破解表 参数:–common-tables 当使用–tables无法获取到数据库的表时,可以使用此参数。 通常是如下情况: 1、MySQL数据库版本小于5.0,没有information_schema表。 2、数据库是Microssoft Access,系统表MSysObjects是不可读的(默认)。 3、当前用户没有权限读取系
sqlmap入门-库,表,列,字段
weixin_46626737的博客
11-14 6780
①当判断a为get注入后(get) 可使用python sqlmap.py -u "url?a=1" --dbs数据库 假设结果中有member数据库 ②表 python sqlmap.py -u "url?a=1" --tables -D member 假设有表student ③列 python sqlmap.py -u "url?a=1" --column -T student -D member 假设有列id,password,stasus等列 ④字段 python sq
小迪安全27WEB 攻防-通用漏洞&SQL 注入&Tamper 脚本&Base64&Json&md5 等
weixin_73760178的博客
02-20 568
搜索型(模糊查询’%%’):http://192.168.101.1/blog/27/other/news.php?加密/编码型(base64 )等:http://192.168.101.1/blog/27/other/news.php?——sqlmap对于编码或者加密型等,会出现识别不了的情况,所以要手工或者向sqlmap加入脚本:--tamper=xxx.py。注入:对与json格式,SQL语句不对双引号””,进行考虑,所以只需考虑键值中的数据类型。
Sqlmap常用命令总结及注入实战(Access、mysql
上善若水~的博客
05-14 1003
sqlmap常用命令总结: 注意:命令为kali linux中运行的 (windows中用python sqlmap.py执行) 1#、注入六连: 1.   sqlmap -u  “http://www.xx.com?id=x”    【查询是否存在注入 –dbs         【检测站包含哪些数据库 3.     --curre
如何使用sqlmap库和挂马
Leslieyzz的博客
01-19 2257
如何使用sqlmap库和挂马的技术博客
SQLMap工具】SQLMap基础及简单使用方法
cc
02-09 6901
SQLMap是一个自动化的SQL注入工具,主要功能是扫描、发现,并利用给定url(域)的SQL注入漏洞。SQLMap支持的数据库有MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB。相对于手工注入sqlmap的高效注入大大提高了我们渗透效率。
SQL注入库渗透测试(初学者必看)
yi152787的博客
04-30 1799
库原理基本一致的,也许站不同但只要存在sql注入则需要进行数据库破,步骤及使用的参数基本相同,对参数不够熟悉的网友可以去某百某博查看相关信息,本次实验结束,本文章仅提供参考,请勿在未授权的情况下进行测试。本次实验利用sqlmap破工具对SQL靶场进行渗透测试(数据库破),最终目标:拿到用户和密码,实验中页面出现的用户密码可忽略,真实实战中一般不会直接出用户和密码的。5.在security出users,已确定目标所在,进行第三步破 所使用到的参数 -D -T --colimn;
SQLmap使用简明指南
05-22
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。
sqlmap-master
01-04
sqlmap-master
SQLMAP Windows
02-23
SQLMAP Windows
SQLMap完成安全测试
03-03
sqlmap是一个开源的渗透测试工具,它可以自动化检测和利用SQL注入漏洞并接管数据库服务器。它有一个强大的检测引擎,许多适合于终极渗透测试的良好特性和众多的操作选项,从数据库指纹、数据获取到访问底层文件系统...
20.安全性测试与评估
shihao的博客
04-04 1345
每年都会涉及;可能会考大题;典型考sql注入、xss;从2个方面记:1、测试对象的功能、性能;2、相关设备的工作原理;如防火墙,要了解防火墙的功能、工作原理;主要议题:基本安全策略、数据库、操作系统、安全日志考察较多;其他议题偶尔涉及;
SpringMVC进阶(自定义拦截器以及异常处理)
Sun的个人博客
04-28 2678
import org/*** @author 孙显圣*/ @Component //注入容器 public class Myinterceptor01 implements HandlerInterceptor {/*** 在目标方法执行前被调用,如果返回false,目标方法不会被执行* @return} /*** 在目标方法执行后被调用,可以获取目标方法返回的ModelAndView,可以根据业务进行二次处理} /*** 在渲染之后会被调用,可以进行资源清理工作。
从 Servlet 到 SpringMvc
最新发布
逸枚俗人的博客
05-03 400
下图为 SpringMvc 的 DispatcherServlet 到 Servlet 的继承体系结构,从 HttpServletBean 开始的子类,便属于 Spring 的体系结构,Spring 框架中类似这种以 XXXBean 结尾是用于和其它框架进行整合的 JavaBean 对象,类似还有和 MyBatis 框架进行整合的 SqlSessionFactoryBean。这里只需要关注 HttpServlet 到 Servlet 的这一部分。 方法 描述 init() 容器启动时,被容
sqlmap库命令
09-07
使用sqlmap进行数据库破的命令有多种。以下是一些常用的sqlmap命令示例: - 要获取当前数据库称的命令是: sqlmap -u "http://43.138.211.45/news.php?cid=1" --current-db。 - 要获取操作系统级别的shell访问的命令是: sqlmap -u "http://43.138.211.45/news.php?cid=1" --os-shell。 - 要获取指定表的列信息的命令是: sqlmap -u "http://43.138.211.45/news.php?cid=1" -T 510_admin --columns。 - 要获取指定数据库中的表信息的命令是: sqlmap -u "http://43.138.211.45/news.php?cid=1" -D 510cms --tables。 请注意,这些命令仅供参考,并且在实际使用时可能需要根据目标数据库的不同进行调整。在使用sqlmap进行数据库破时,请确保遵守法律法规,并获得合法授权。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

回忆式~过去.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值