本文介绍了SQLmap这款强大的SQL注入工具的使用方法,包括GET、POST和COOKIE注入,以及通过HTTP请求头进行注入。它能检测数据库名、表名、字段名并获取数据。此外,还详细阐述了各种参数设置,如--dbs、--tables、--columns和--dump等,帮助用户快速掌握SQL注入检测与利用的核心技术。
「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。
SQLmap是一款自动化SQL注入神器,用于SQL注入漏洞的检测和利用,支持多种数据库
检测位置
-u -- 指定url(GET请求)
-p -- 指定参数(url包含多个参数时,指定参数)
--data= -- 指定POST请求参数
--cookie -- 指定cookie参数
-r -- 从文件中加载HTTP请求(在需要检测的Header后面加上*)获取数据
--dbs -- 获取数据库名
--tables -- 获取表名
--columns -- 获取字段名
--dump -- 获取数据
-D -- 指定数据库
-T -- 指定表
-C -- 指定字段其他设置
--batch -- 自动化确认
--tamper -- 指定脚本
--dbms -- 指定数据库类型
--os -- 指定操作系统(windows/linux)
--level -- 指定探测等级(1~5)
--current-db -- 获取当前数据库的名字
-b -- 获取数据库版本信息
-f -- 获取数据库指纹
--users -- 当前使用的用户
--delay -- 设置延时
--technique -- 指定注入方式
U 联合注入
E 报错注入
B 布尔盲注
T 时间盲注
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
