SqlMap常用参数(一)

最新推荐文章于 2024-05-01 12:30:53 发布
最新推荐文章于 2024-05-01 12:30:53 发布
阅读量6.5k 收藏 3
点赞数 1
分类专栏: 技术
原文链接:https://www.colorgg.com
版权

sqlmap可谓是利用sql注入的神器了,sqlmap的参数很多,接下介绍几种常见的参数。

一。注入access数据库常用的参数

sqlmap.py -u "url"  //判断参数是否存在注入

sqlmap.py -u "url" --tables //猜解表名

sqlmap.py -u "url" --columns -T "要猜解的表名"  //猜解列名

sqlmap.py -u "url" --dump -C "列名" -T “表名”  //爆出字段数据

二。注入MySQL数据库常用参数

sqlmap.py -u "url"  //判断参数是否存在注入

sqlmap.py -u "url" --current-db  //查看网站当前数据库

sqlmap.py -u "url" --is-dba  //查看当前用户权限

sqlmap.py -u "url" --tables //猜解表名

sqlmap.py -u "url" --columns -T "要猜解的表名"  //猜解列名

sqlmap.py -u "url" --dump -C "列名" -T “表名”  //爆出字段数据

三。一些常用参数集合

-h //查看帮助选项

--dbs //查看网站所有数据库

--users //查看所有数据库的用户

--count  //统计条数 (该条命令可用在爆表名的时候,便于查看哪个是管理员的表)

--level //测试等级(1-5)默认是1,cookie注入是2,http头注入是3

--dbms=mysql/oracle/mssql 指定数据库(这样既可以节省时间,在某些时候也可以绕过waf)

  sqlmap.py -u “url”--batch --exclude-sysdbs //batch是使用sqlmap默认选项,不用按回车;exclude-sysdbs是排除系统自带的数据库

显示调式信息
-v 显示调用信息有7个级别
0, 只显示python错误以及严重的信息
1,同时显示基本信息和警告信息。
2,同时显示debug信息
3,同时显示注入的payload
4,同时显示http请求
5,同时显示http响应头
6,同时显示http响应页面
--risk    //风险等级,共有四个等级,1会测试大部分的测试语句,2会增加基于事件的测试语句,3会增加OR语句的sql注入测试
-m       //从文本中获取多个目标,文件中保存url格式,sqlmap会一个一个测试  sqlmap.py -m 1.txt
-r        //获取http请求注入,sqlmap可以从一个文本文件中获取http请求,这样就可以跳过设置一些其他参数,在存在注入的http请求头加*。
利用的场景:post,搜索注入,http头注入,登陆后的注入(在登录后存在注入点,因为只有在登录后才有cookie)
-g       //处理google搜索结果, sqlmap可以测试注入google的搜索结果中的get参数(前100个请求)       sqlmap.py -g "inurl:php?id="
独星
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入工具sqlmap源代码+常用指令
04-09
SQLMap常用指令如下: -u 或 --url:指定目标URL。 -p 或 --param:指定注入的参数名称。 --data:指定POST请求的数据。 -d 或 --dbms:指定目标数据库类型。 --level:指定注入测试的等级(1~5)。 --risk:指定...
SQLMAP使用笔记.pdf
01-25
下面是 SQLMAP 的使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> [options]` 其中,`-u` 选项指定了要测试的 URL,`[options]` 是可选的参数和选项。 二、...
SQLMap 使用参数详解
qq_37019068的博客
10-09 1万+
SQLMap 使用参数详解 SQLMap是一款自动化的SQL注入测试工具,在kali上已集成 如果不想使用kali的话,可以从github上直接拉取开源项目 git clone https://github.com/sqlmapproject/sqlmap.git 注:最新版的sqlmap应该是支持python3的,但是如果python3无法使用的话可以试试切换成python2执行 常见参数 -h 输出参数说明 -hh 输出详细的参数
sqlmap参数大全
卖瓜小农的博客
02-23 8529
sqlmap参数大全 cookie注入:sqlmap.py -u 注入点 --cookie “参数” --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data “指定参数” 绕过waf防火墙:sqlmap.py -u 注入点 -v 3 --dbs --batch --tamper space2morehash.
SQL 注入神器:SQLMap 参数详解
最新发布
Flag少侠的博客
05-01 2062
这些选项可用于创建自定义用户定义函数--udf-inject 注入自定义用户定义函数--shared-lib=SHLIB 共享库的本地路径。
Sqlmap详解使用
白白白
09-03 5911
转载自https://www.anquanke.com/post/id/235846 作者:谢公子 感谢作者,内容非常详细。 Sqlmap sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等 Sqlmap采用了以下5种独特的SQL注入技术 基于布尔类型的盲注,即可
sqlmap详细的参数功能介绍(全面)
weixin_46709219的博客
11-13 5509
目录 介绍 命令参数 指定目标 直连数据库 服务型数据库(前提知道数据库用户名和密码) 文件型数据库(前提知道数据库绝对路径) URL探测 文件读取目标 Google dork注入 Http参数 设置请求方法 POST提交参数 设置参数分隔符 设置Cookie 设置User-Agent Host Referer 额外的HTTP头部 协议认证 设置代理 Tor匿名网络 设置...
Web安全工具—Sqlmap常用命令和参数(持续更新)
weixin_44431280的博客
04-07 1万+
Web安全工具—SQLMAP常用命令和参数 简介:此篇文章主要记录学习注入神器sqlmap的过程,文章会对常见参数进行详解(附图),适合入门学习。 一:SQLMAP介绍: 简介:sqlmap是一个由python语言编写的开源自动化渗透测试工具,主要被用来检测sql注入漏洞,是一款功能强大的sql漏洞检测利用工具。 支持检测的数据库:access,mysql,oracle,postgresql,sqlserver(mssql),db2等 支持的注入类型:布尔盲注,时间盲注,显错注入,堆叠注入,联合查询注入等,
SQLMAP神器使用.pdf
01-05
SQLMap是一款强大的自动化SQL注入工具,用于检测和利用SQL注入漏洞。它可以帮助安全研究人员或渗透测试人员检测网站是否存在SQL注入漏洞,并进一步获取数据库中的敏感信息。以下是对SQLMap使用的一些关键知识点的...
sqlmap自动化脚本
03-27
在这些脚本中,用户可能已经预设了一些常用SQLMap参数,使得执行SQLMap扫描或攻击时更加便捷。例如,可能包括了`--threads`(线程数量)、`--level`(测试级别)、`--risk`(风险级别)、`--dbs`(枚举所有数据库...
sqlmap.rar
08-02
此外,熟练掌握Sqlmap参数设置和定制脚本能力,能使其在特定场景下发挥更大的作用。 总结起来,Sqlmap是网络安全专业人士手中的重要工具,它能够帮助我们有效地发现和利用SQL注入漏洞,提升我们的安全评估能力。...
sqlmap参数详解
十五年游戏主程转渗透之路
04-09 6954
sqlmap
SQLmap参数详解
Williamanddog的博客
01-19 5523
目标URL参数:-u或者--url 格式:http(s)://targeturl[:port]/[…] 例如:python sqlmap.py -u "从Burp或者WebScarab代理中获取日志 参数:-l 可以直接吧Burp proxy或者WebScarab proxy中的日志直接导出来交给sqlmap来一个一个检测是否有 注入。 从文本中获取多个目标扫描 参数:-m 文件中保存url,sqlmap会一个一个检测 从文件中加载HTTP请求 参数:-r。
史上最详细sqlmap入门教程
weixin_44867191的博客
05-16 1万+
最近做安全测试,遇到了SQL盲注的漏洞,从发现漏洞,确认漏洞,协助开发复现漏洞,验证漏洞一整套流程下来,有了亿点点收获,下面分享给大家,希望对软件测试同学有所启发,难度不大,小白看完也能上手的那种。
Sqlmap详解
weixin_44311721的博客
04-17 2609
(1)Target(指定扫描目标) –version 查看sqlmap版本 1、-u + url (get方法提交参数) 2、-p + 指定参数(使–level失效) 3、-f (footprint 指纹) 注入结束后,查看数据库指纹信息(如:数据库版本) 4、–users 查询数据库账号信息 5、-- banner 查询数据库据库信息 6、–dbs 查询目标有哪些数据库 7、–schema 查看...
【SQL注入工具】SQLMap参数详解
ssrf
09-02 2825
文章目录前言1、基本参数2、显示调试信息3、风险等级4、批量测试多个注入点5、获取http请求注入6、处理Google搜索结果7、以POST方式提交参数8、指定参数连接符9、cookie注入10、referer/headers/proxy11、时间控制12、绕过策略13、手动指定测试参数14、指定参数前后闭合字符15、指定使用哪种探测技术16、UNION查询指定参数17、二阶注入18、搜索指定库/表/列19、--udf-inject/--shared-lib20、日志文件读取与写入21、默认yes22、编码
Sqlmap参数详解
热门推荐
Breeze的博客
06-09 3万+
sqlmap参数详解 sqlmap是在sql注入中非常常用的一款工具,由于其开源性,适合从个人到企业,从学习到实战,各领域各阶段的应用,我们还可以将它改造成我们自己独有的渗透利器。这款工具中,大大小小191个参数,在这篇文章中,我将一一介绍,其实很多参数我也没有使用过,所以有一些是自己的经验,还有一些是网上搜集的资料和sqlmap文档的记载。 参数简介 以下是使用-hh参数看见的全部的sq...
SQLMap使用详解
未完成的歌~的博客
02-19 2万+
文章目录前言:一、SQLMap介绍1、Sqlmap简介:2、Sqlmap支持的注入方式:二、SQLMap安装三、SQLMap使用:1、判断是否存在注入:2、判断文本中的请求是否存在注入:3、查询当前用户下的所有数据库:4、获取数据库中的表名:5、获取表中的字段名:6、获取字段内容:7、获取数据库的所有用户:8、获取数据库用户的密码:9、获取当前网站数据库的名称:10、获取当前网站数据库的用户名称:四、SQLMap进阶:参数讲解1、-- level 5:探测等级2、-- is-dba:当前用户是否为管理权限3
Sqlmap参数
m0_63510587的博客
02-18 1326
参数功能 目标参数 参数:-u 直接输入目标URL 参数:-m 从文件中取出保存的URL进行检测 参数:-r 从文本中获取http请求 参数:-g 测试注入Google的搜索结果的GET参数 参数:-l 从Burp或者WebScarab代理中获取日志 枚举参数 参数:-b,–banner 列出版本号 参数:–dbs 列出所有数据库的库名 参数:–current-db 列出当前使用的数据库库名 参数:–tables 列出数据库中的表
nmap和sqlmap常用参数
04-05
sqlmap 常用参数: 1. -u: 指定目标URL 2. -p: 指定参数,进行注入测试 3. --level: 指定注入测试级别 4. --risk: 指定注入测试风险等级 5. --dbms: 指定数据库类型 6. --batch: 不需要用户确认 7. --threads: 指定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值