sqlmap获取mysql数据库_(五)SQLMap工具检测SQL注入漏洞、获取数据库中的数据

最新推荐文章于 2023-03-18 15:56:42 发布
VIP文章 最新推荐文章于 2023-03-18 15:56:42 发布
阅读量986 收藏 1
点赞数
文章标签: sqlmap获取mysql数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39578516/article/details/113648612
版权

目录结构

利用SQLMap自动化工具,可判断某个带参数的url是否可被SQL注入,继而获取数据库和服务器的相关敏感数据和信息(如:库、表、列、字段值、数据库和服务器的名称&版本...)。本文以本地环境搭建的Web漏洞环境(OWASP Mutillidae+phpStudy)进行测试,具体操作流程如下:

17018bfbc8ef52873070b8d89adf9c93.png

Mutillidae漏洞程序

备注说明:因操作系统中同时安装有Python2和Python3的环境,为了区分两个版本,所以在以下sqlmap的操作命令中用python2开头,具体根据各自配置情况决定(常规情况直接用python开头)

一、判断被测url的参数是否存在注入点

python2 sqlmap.py -u "http://127.0.0.1:8001/mutillidae/index.php?page=user-info.php&username=test&password=123&user-info-php-submit-button=View+Account+Details"实际操作可以加上参数--batch,不用每次都提示作选择[Y/N]

c9dc9c0bb4c2363eab10ef1bd68ea8ad.png

035450555727e66482eb2ae1ef82239c.png

efe47049a8741b62415f4db676e807b6.png

从以上信息可知:1)被测url中的username参数存在注入点,可被利用注入的类型有(布尔盲注、报错注入、基于时间的盲注、联合查询注入);2)以及Web应用程序所采用的服务环境(

最低0.47元/天 解锁文章
weixin_39578516
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqldd:一款碾压sqlmapsql注入漏洞检测系统^^
05-31
Sqli-lib是一款由PHP语言编写SQL注入漏洞闯关游戏,包含了六十几个可注入页面,涵盖了几乎所有类型SQL注入漏洞,同时不同的关卡自定义了不同的过滤规则,是SQL注入漏洞学习的首选靶场。图4-1 本地搭建Sqli-lib环境...
使用 sqlmap 探测 MySQL 容器
KipJ的博客
10-04 466
sqlmap is an open source penetration testing tool that automates the process of detecting and exploiting SQL injection flaws and taking over of database servers. sqlmap是一个开源的渗透测试工具,它将检测和渗透脆弱数据库并接管数据...
sqlmap查找SQL注入漏洞入门
weixin_30332705的博客
11-21 1049
1、安装sqlmap sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。注意:sqlmap只是用来检测和利用sql注入点的,使用前请先使用扫描工具扫出sql注入点。 它由python语言开发而成,因此运行需要安装python环境。它依赖于python 2.x ,请不要安装python 3.x 1.1 安装pyhon 在Windows上安装Python ...
使用sqlmap执行SQL注入获取数据库用户名
老徐的博客只有干货
03-18 2305
sqlmap支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测sqlmap支持种不同的注入模式:基于布尔的盲注,即可以根据返回页面判断条件真假的注入;基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;
sqlmap使用
weixin_53440207的博客
02-20 3646
sqlmap详细使用
Sqlmap参数详解
gao646467783的博客
11-21 745
sqlmap全参数详解 sqlmap是在sql注入非常常用的一款工具,由于其开源性,适合从个人到企业,从学习到实战,各领域各阶段的应用,我们还可以将它改造成我们自己独有的渗透利器。这款工具,大大小小191个参数,在这篇文章,我将一一介绍,其实很多参数我也没有使用过,所以有一些...
sqlmap:自动SQL注入数据库接管工具-开源
04-25
它使检测和利用SQL注入漏洞以及接管数据库服务器成为一个自动化过程。 sqlmap具有许多功能,其强大的检测引擎使其成为最终的渗透测试仪。 它为MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access...
SqlMap-Sql注入
08-02
Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix...
sqlmap注入sql漏洞测试工具,可以通过该工具测试进行漏洞修补
12-23
sqlmap注入sql漏洞测试工具,可以通过该工具测试进行漏洞修补
SQL手工注入大全:包含各种类型的SQL注入,实现手工注入的乐趣,此资源你值得拥有。
05-31
宽字节注入、SQL手工注入漏洞测试(Oracle数据库)、SQL手工注入漏洞测试(Sql Server数据库)、SQL手工注入漏洞...MySQL数据库)、SQL注入漏洞测试(delete注入)、SQL过滤字符后手工注入漏洞测试、延时注入(时间注入)等...
sqlmap使用_如何使用Sqlmap获取数据库
weixin_39905695的博客
12-09 4636
我们在这里这里添加一个通过域名获取IP的命令 Sqlmap是一款开源的命令行自动SQL注入工具。它能够对多种主流数据库进行扫描支持,基于Python环境。它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎,适用于高级渗透测试用户,不仅可以获得不同数据库的指纹信息,还可以从数据库提取数据,此外还能够处理潜在的文...
SQLmap使用
BeatRex的博客
03-26 1143
一、确定目标 sqlmap -u "URL" 通过URL进行确定,GET方式时:此处为带参数的URL sqlmap -r 文件 结合Burpsuite抓包进行 首先设置代理访问网站,然后找到具体页面的请求包,将请求包选右击创建文件 示例: 将上图创建好的文件放置桌面,起名为post sqlmap 通过-r参数选 对于POST请求的,也可通过-u "URL" --cookie "访问网站...
SQLMAP工具详解
weixin_56218159的博客
06-02 2409
免责声明 该文章仅用于信息防御技术的交流和学习,请勿用于其他用途; 在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献; ...
Web安全攻防的学习——05—(sqlmap检索DBMS信息、sqlmap暴力破解数据SQL注入原理、SQL注入过程、get基于报错的SQL注入、get基于报错的SQL注入利用)(重点)
weixin_42118531的博客
02-29 2007
1、sqlmap检索DBMS信息 sqlmap检索DBMS banner 获取后端数据库banner信息 参数 --banner或者-b sqlmap检索DBMS当前数据库 获取当前数据库名 参数 --current-db sqlmap检索DBMS当前主机名 获取主机名 参数 --hostname sqlmap检索DBMS用户信息 sqlmap探测当前用DBA 探测当前用户是否是...
靶场sql注入练手----sqlmap篇(纯手打)
qq_30235073的博客
05-20 1397
靶场地址:封神台 方法一、首先尝试手工找注入点判断 第一步,判断是否存在sql注入漏洞 构造 ?id=1 and 1=1 ,回车,页面返回正常 构造 ?id=1 and 1=2 ,回车,页面不正常,初步判断这里 可能 存在一个注入漏洞 第二步:判断字段数 构造 ?id=1 and 1=1 order by 1 回车,页面正常 构造 ?id=1 and 1=1 o...
sqlmap获取mysql数据库,SQLMAP学习笔记2 Mysql数据库注入
weixin_42350506的博客
03-27 425
SQLMAP学习笔记2 Mysql数据库注入注入流程(如果网站需要登录,就要用到cookie信息,通过F12开发者工具获取cookie信息)sqlmap-u"URL"--cookie="名称=值;名称=值"--batch #其-u参数指定目标URL,--batch参数采用默认选项、不进行询问。结果发现是可注入的1、sqlmap -u "url" --dbs # 获取数据库;2、sq...
sqlmap的基本命令使用 网络详细整合版!
Grey的博客
12-28 2307
比较好的两篇文章 ① SQLMAP注入教程-11种常见SQLMAP使用方法详解 ② SqlMap用户手册 1. sqlmap Get注入 ./sqlmap.py -u “注入地址” -v 1 --dbs   // 列举数据库 ./sqlmap.py -u “注入地址” -v 1 --current-db   // 当前数据库 ./sqlmap.py -u “注入地址”
sql注入靶场搭建无法连接数据库问题 Can‘t connect to MySQL server on ‘localhost‘ (10061)
FACEYc的博客
11-30 765
sql注入靶场搭建无法连接数据库相关问题
sqlmap实战,攻击学校学院网站(靶机)
Marsper的博客
09-10 1699
sqlmap实战,获取学院网站(靶机)管理员密码 首先获取学院网址,寻找注入点,利用上节学到的sqlmap使用方法 然后直接放进sqlmap里运行,输入sqlmap.py -u http://117.167.136.244:28004/index/narticle.php?nid=3027 如下图 接着找出所有数据库,输入sqlmap.py -u http://117.167.136.244:28004/index/narticle.php?nid=3027 --dbs 运行结果如下 接着选择rjxy数
sql手工注入漏洞测试(mysql数据库-字符型)
最新发布
06-28
在针对MySQL数据库的字符型注入测试,攻击者会尝试利用输入表单的字符型数据来破坏SQL语句的可靠性,进而获取数据库的访问权限。 攻击者通常会使用一些SQL注入工具,例如SQLMap、Havij等,通过模拟输入表单来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值