sqlmap 基本使用步骤(二)

最新推荐文章于 2023-06-20 08:07:55 发布
最新推荐文章于 2023-06-20 08:07:55 发布
阅读量191 收藏
点赞数
文章标签: php python
原文链接:http://www.cnblogs.com/natian-ws/p/7932170.html
版权

post
------------------------------------------------------------------
1、使用 -r
python sqlmap.py -r post.txt

post.txt是原始的http请求:

POST /vuln.php HTTP/1.1
Host: www.target.com
User-Agent: Mozilla/4.0

id=1

2、使用 --data
python sqlmap.py -u "http://www.target.com/vuln.php" --data="id=1"

3、使用 --forms
自动解析form表单
python sqlmap.py -u "http://www.target.com/vuln.php" --forms

cookie
---------------------------------------------------------------------
1、--cookie
python sqlmap.py -u "http://www.target.com/vuln.php" --cookie "_ga=GA1.2.37391804.1496308052; tz=Asia%2FShanghai"

2、--drop-set-cookie
忽略HTTP response的cookie设置

3、--cookie-del=分隔符
设置cookie分隔符

4、--load-cookies=文件
使用Netscape/wget格式存放的cookie

5、--level 2
level 2及以上,将自动测试cookie注入

User-Agent
---------------------------------------------------------------------
1、--user-agent
自定义user-agent

2、--random-agent
从 ./txt/user-agents.txt中随机取user-agent

3、 --level 3
level 3及以上,将自动测试user-agent注入

Host
------------------------------------------------------
1、--host
手动设置http host,默认情况下从url中取

2、--level 5
自动测试host注入

referer
-----------------------------------------------------
1、--referer
伪造referer,默认情况下没有referer

2、--level 3
自动测试ferer注入

--level
------------------------------------------------------
sqlmap对于每一个payload都有一个level级别,level级别越高表示检查的payload个数就越多
level >= 2,测试cookie
level >=3, 测试 User-Agent、Referer

--risk
------------------------------------------------------------------------
1,2,3三个等级,风险等级,有多大几率获取破坏数据。值有1,2,3,分别表示低中高。

转载于:https://www.cnblogs.com/natian-ws/p/7932170.html

weixin_30505225
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmap简单的使用步骤
xyx107的博客
03-02 907
sqlmap用于sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。注意:sqlmap只是用来检测和利用sql注入点的,使用前请先使用扫描工具扫出sql注入点。1、检测注入GET注入sqlmap -u “http://www.vuln.cn/post.php?id=1″ 默认使用level1检测全部数据库类型sqlmap -u “http://www.vuln....
SQLMAP基本使用步骤
qq_51768842的博客
05-09 1014
sqlmap是一个自动化的SQL注入工具,主要功能是扫描,发现并利用漏洞。sqlmap的功能包括数据库指纹识别,数据库枚举,数据提取等等,并在获取完全的操作权限是执行任意命令
sqlmap 基本使用步骤(一)
weixin_30555125的博客
07-11 269
列出数据据信息:python sqlmap.py -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --dbs 列出当前数据库信息:python sqlmap.py -u "http://ctf5.shiyanbar.com/web/index_3.php?id=1" --current-db 列出所有库的表信息:python sqlm...
sqlmap使用一般流程
夏日 の blog
02-02 1182
一般流程 1.检查注入点: sqlmap -u “http://192.168.0.182/” --data “word=1&number=5” --batch 2.爆所有数据库信息: sqlmap -u “http://192.168.0.182/” --data “word=1&number=5” --dbs --batch 3.爆当前数据库信息: sqlmap -u “htt...
一次使用SQLMAP的过程
子曰小玖的博客
06-14 530
url:http://www.microtek.com.cn/happystudy/happystudy_info.php?idnow=4 第一步: -u 注入地址 --dbms "Mysql" --current-user 获取当前用户名 [root@Hacker~]# Sqlmap-uhttp://www.microtek.com.cn/happystudy/happystudy...
SqlMap使用
06-24
#### 三、基本使用 根据文档提供的测试环境,我们可以通过以下命令启动SqlMap并检测注入点: ```bash C:\Python27\sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" ``` 其中`-u`选项指定...
sqlmap使用手册
12-11
1. **安装与配置**: 首先,要在本地环境中安装SQLMap,了解基本的命令行选项和配置参数。 2. **理解注入类型**: 学习不同类型的SQL注入,如基于错误的注入、基于时间的注入、联合查询注入等。 3. **实战演练**: ...
使用sqlmap+burpsuite进行中级sql注入
06-01
首先,我们需要了解sqlmap和BurpSuite的基本功能。sqlmap是一款自动化SQL注入工具,它能自动检测和利用SQL注入漏洞,获取数据库信息。BurpSuite则是一个集成化的渗透测试工具,主要用来拦截和修改网络请求,便于安全...
SQLMAP Windows
最新发布
02-23
在Windows环境下使用SQLMAP,首先要了解SQL注入的基本概念。SQL注入是一种常见的网络安全威胁,攻击者通过在输入字段中插入恶意SQL代码,从而获取、修改或删除数据库中的敏感信息。SQLMAP通过自动化这一过程,大大...
网络安全 sql注入工具sqlmap使用
01-13
Sqlmap使用非常简单,基本上可以分为五个步骤: 1. 查看数据库:使用命令`python sqlmap -u 存在注入的 URL 地址 --dbs`可以查看目标数据库服务器上的所有数据库。 2. 查看表名:使用命令`python sqlmap -u 存在...
史上最详细sqlmap入门教程
weixin_44867191的博客
05-16 1万+
最近做安全测试,遇到了SQL盲注的漏洞,从发现漏洞,确认漏洞,协助开发复现漏洞,验证漏洞一整套流程下来,有了亿点点收获,下面分享给大家,希望对软件测试同学有所启发,难度不大,小白看完也能上手的那种。
SQLmap使用教程图文教程(超详细)
wangyuxiang946的博客
06-20 4万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 537
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
史上最详细的sqlmap使用教程
大河之犬的博客
09-19 4万+
sqlmapsqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
sqlmap详细使用教程
m0_55854679的博客
12-28 9348
文章目录简介SQL注入流程命令参数拓展 简介 Sqlmap是一个自动化检测和利用SQL注入漏洞的免费开源工具,对SQL注入漏洞进行检测的最佳工具 支持对多种数据库进行注入测试,能够自动识别数据库类型并注入 支持多种注入技术,并且能够自动探测使用合适的注入技术 如:布尔盲注、时间盲注、联合查询注入、报错注入、堆查询注入 能够爆破数据库信息,如用户名,密码 能够自动识别哈希密码,并且使用密码字典进行破解. SQL注入 原理:SQL注入攻击指的是用户输入了特殊的数据拼接到原本程序的代码中
使用SQLMAP扫描步骤
qq_35773551的博客
06-20 8643
sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由python语言开发而成,因此运行需要安装python环境。一、检测注入点是否可以利用    C:\Python27\sqlmap>python sqlmap.py -u "http://xxxxxx/products.asp?id=56" 参数:-u:指定注入点url,注意带入注入点如果成功,那么会...
sqlmap注入使用教程
热门推荐
黑面狐
09-05 8万+
最近在学习SQL注入的东西。自己搭建了一个wavsep靶机,作为练习的对象,之后有空会写一个wavsep的教程。 首先下载安装sqlmap..github传送门:https://github.com/sqlmapproject/sqlmap/releases 一、sqlmap选项   目标:至少要选中一个参数     -u URL, --url=URL   目标为 URL (例如. "ht
Sqlmap使用教程
ygyydwx的博客
03-09 2112
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。 今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 教程说明 学习sqlmap前,建议了解SQL注入实现原理与基本的手工注入操作,更易于理解sqlmap使用。 我的另一个笔记整理:可能是网上最易懂的SQL手工注入教程【个人笔记精华整理】 针对sqlmap注入过waf,可以参考:sqlmap注入之t
sqlmap 安装使用
09-23
要安装和使用sqlmap,您可以按照以下步骤进行操作: 1. 首先,您需要从sqlmap的官方GitHub页面下载安装包。您可以访问这个链接:https://github.com/sqlmapproject/sqlmap 2. 在官方页面的右侧,您会看到一个绿色...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值