sqlmap图形化_为Kali Linux中的Sqlmap配置 WEB-GUI 界面

最新推荐文章于 2024-09-13 22:51:28 发布
最新推荐文章于 2024-09-13 22:51:28 发布
阅读量858 收藏 1
点赞数
文章标签: sqlmap图形化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39772352/article/details/111482505
版权

大家好,在本文中,我们将为大家介绍如何为SQLMAP设置Web-GUI界面。这里的Web-GUI,是指借助于浏览器,通过HTTP/HTTPS服务为我们的工具提供的图形用户界面。

在对含有MySQL安全漏洞的网站进行渗透测试的时候,我们经常会用到SQLMAP工具。实际上,只要涉及SQL注入测试,无论是基于错误消息的SQL注入,还是SQL盲注,sqlmap都是最强有力的工具之一。对于一点,是人尽皆知的;但是,很少有人知道,SQLMap还提供了一个用Python编写的API,供大家利用该API来搭建一个图形用户界面的前端,来实现所有命令行界面下的功能。

实际上,Hood3Drob1n(https://github.com/hood3Drob1n/sqlmap-web-gui)已经为sqlmap创建了一个基于PHP的前端,所以,我们只需在Kali Linux中进行相应的设置就可以了,而不用重复发明轮子。并且,该前端可以与所有的Linux发行版相兼容。

我们开始吧。

克隆github存储库

首先,我们需要克隆Hood3Drob1n的存储库。为此,可以使用git clone命令,并将名为sqlmap的文件夹放到“/var/www/html”目录中。

git clone https://github.com/Hood3dRob1n/SQLMAP-Web-GUI

cd SQLMAP-Web-GUI

mv sqlmap ..

cd ..

chmod 777 sqlmap

定位并托管API

下一步是启动Apache服务器。如果还没有安装Apache的话,可以使用apt-get install apache2 命令进行安装。

启动Apache服务器之后,还需要运行sqlmapapi。

由于默认文件夹会因Linux的发行版而异,因此,我们需要使用locate命令来定位名为“sqlmapi.py”的文件。

我们需要使用以下命令来运行该API:

python usr/share/sqlmapapi.py -s

启动前端

完成上述操作之后,请打开localhost/sqlmap,这时将看到:

瞧!说明配置成功了,接下来,我们就可以注入SQL查询了。

渗透测试

这里有6个选项卡,分别是:BASIC:该选项卡用来设置一个URL,以对其进行SQL注入渗透测试。当然,我们也可以设置HTTP方法。这里还提供了其他选项,如POST、PUT、HEAD等。

REQUEST:在这里,我们可以使用可选参数来修改请求,这些参数包括如时间延迟、请求之间的超时、重试连接次数、用户代理等。

INJECTION & TECHNIQUE:用于选择注入类型和技术,如基于布尔值的注入方法、基于错误消息的注入方法等;此外,该选项卡还提供了许多其他选项,如使用DBMS十六进制函数进行数据检索、数据库类型(MySQL或MSSQL)等。

DETECTION:将自定义字符串设为匹配项。

ENUMERATION:指出要检索哪些数据,如转储当前用户和当前数据库中的数据。当然,如果您愿意的话,也可以转储所有用户的数据。

ACCESS:访问参数。如果对这些参数的作用不是很清楚的话,最好保留其默认值。

我们将一步一步地设置这些参数。为了防止造成实际的破坏,这里将使用另一台IP地址为192.168.1.105的PC作为SQL注入测试的模拟对象,称为SQL-Dhakkan。关于该实验室的具体配置方法,请参阅这里!

当我们成功搭建好实验室之后,将看到:

现在,我们要完成的第1课的实验任务,这里的id = 1,要测试的是一个基于错误消息的SQLi漏洞。因此,让我们将该URL复制到具有web-gui的sqlmap中。

在这里,我们强烈建议读者先熟悉一下HTTP方法相关知识,并参阅讲解如何手动攻击SQLi的文章,因为这样有助于理解这里的相关选项。但是如果你想继续学习本教程,也未尝不可。

转到Enumeration选项卡,并选择要测试的方法。

之后,设置要进行的SQLi的类型。

然后,开始扫描!

为简单起见,这里仅进行了一个非常基本的扫描,扫描结果给出了当前的数据库和主机名,当然大家可以进行其他测试。

小结

如果为sqlmap搭建基于Web的GUI的话,就能极大提高该软件的易用性——再也不用记住各种冗长的命令了,相反,只要进行执行相关的点选操作就能搞定了!

另外,基于Web的GUI对您来说只是一个Web应用程序:一个运行SQLMap的Web应用程序,难道您不觉得很酷吗?

希望读者喜欢这个小教程。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

SQLMAP简易使用教程
nzw1134864657的博客
10-07 9272
SQLMap 一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL 注入漏洞,内置了很多绕过插件 1.1 SQLMap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面。 4、联合查询注入,可以使用union的情况下的注入。 5、堆查询注入,可以同
kali】34 WEB渗透——扫描工具w3af_console
(∪.∪ )...zzz的博客
12-07 6218
这里写自定义目录标题一、简介1.plugin2. kali 安装w3af[问题解决]二、 操作1. 启动帮助2.plugins模块开启三个插件模块扫描所有插件模块3. profiles 模块4.http-settings 模块5.misc-settings (杂项设置)模块6.target 模块7.启动8.脚本 w3af_console 一、简介 web扫描框架(开源、不断添加 集成exploit模块 1.plugin audit(审计):该类插件会向Crawl插件爬取出的注入点发送特制的POC数据以
渗透入侵\sqlmap图形化界面.zip
07-15
sqlmap图形化界面
sqlmap命令_为Kali LinuxSqlmap配置 WEB-GUI 界面
weixin_39564831的博客
12-09 330
大家好,在本文,我们将为大家介绍如何为SQLMAP设置Web-GUI界面。这里的Web-GUI,是指借助于浏览器,通过HTTP/HTTPS服务为我们的工具提供的图形用户界面。在对含有MySQL安全漏洞的网站进行渗透测试的时候,我们经常会用到SQLMAP工具。实际上,只要涉及SQL注入测试,无论是基于错误消息的SQL注入,还是SQL盲注,sqlmap都是最强有力的工具之一。对于一点,是人尽皆知的;...
SQLmap-GUI:基于SQLMAP图形化界面工具
最新发布
gitblog_07359的博客
09-13 365
SQLmap-GUI:基于SQLMAP图形化界面工具 sqlmap-gui 基于SQLmap工具进行汉化,并提供GUI界面 项目地址: https://gitcode.com/gh_mirrors/sq/sqlmap-gui ...
基于PHP开发的SQLMAP-Web-GUI
YQ的博客
03-26 743
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。SQLMAP-Web-GUI是一款使用PHP作为前端程序开发的WebSQLMAP,和命令行版一样功能非常齐全。 Here is a few quick videos I made to show that almost all of you
sqlmapGUI汉化版
06-24
sqlmap汉化界面,是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL...参考资料 1. 啊D注入工具
sqlmap gui
cnbird's blog
04-01 2129
This is a awesome sqlmap python gui made by xcedz.To make it work get and install python 2.7 and download the last version of sqlMap-dev svn checkout https://svn.sqlmap.org/sqlmap/trunk/sqlmap sq
虚拟化Kali Linux USB:在虚拟机流畅运行技术
[虚拟化Kali Linux USB:在虚拟机流畅运行技术](https://media.geeksforgeeks.org/wp-content/uploads/20210807094956/Example11.jpg) # 1. 虚拟化技术基础与Kali Linux概述 在当今快速发展的IT行业,虚拟...
kali linux的信息收集姿势
KHOST的博客
08-18 1157
第一章分类 信息收集是从公开可用资源获取所有相关信息的一种方式,是与目标网络和设备交互过程的一部分,涉及开源情报(Open Sourcew Intelligence,OSINT)。在进行渗透测试时信息收集是整个流程的第一步,在实际测试目标网络前进行的,收集的结果会给出需要额外收集的方向或者直接指出接下来在漏洞利用截断可利用的漏洞。信息收集可以分为两种类型:被动侦察(passive reconnaissance)和主动侦察(reconnaissance)。 被动侦察一般是指分析公开的信息,这些信息..
Web渗透测试新境界:Kali Linux的专业工具解析
![kali linux tools](https://media.geeksforgeeks.org/wp-content/uploads/20200709080909/displaycpuhash.png...Web渗透测试是从攻击者的角度出发,模拟黑客的攻击手段,来发现和利用Web应用的安全漏洞。这种测试是
sqlmap图形化工具
09-19
Linux, Apache, PHP PHP 5.3+ Python 和 SQLMAP 依赖 将repo拷贝到你的机器 编辑sqlmap/inc/config.php配置文件 拷贝sqlmap/ 目录至你的web根目录(cd SQLMAP-Web-GUI && cp -R sqlmap/ /var/www/) 启动sqlmap API服务(python /home/user/tools/sqlmap/sqlmapapi.py -s) 通过浏览器访问Web应用 (http://127.0.0.1/sqlmap/index.php)
SQLmap_GUI:[BETA]用于SQLmap工具的GUI(python 2.7,Tkinter,仅适用于Linux
05-11
SQLmap_GUI 用于SQLmap工具的Gui(python 2.7,Tkinter,仅用于Linux) 使用正确的选项帮助您启动终端。 您一直在CLI使用SQLmap,但是可以轻松快捷地启动该工具。 省时间。 保持控制。 如何安装 ? SQLmap_GUI使用SQLmap的默认路径: /usr/share/sqlmap/sqlmap.py 。 这与kalilinux下的过程相同。 您必须将SQLmap安装或重新复制到该目录。 如果尚未安装tkinter: sudo apt-get install python-tk ( python 3 : sudo apt-get install python3-tk ) 如果遇到导入错误,请更改此: 的Python 2 的Python 3 特肯特 Tkinter 蒂克斯 tkinter.tix k tkinter.ttk
sqlmap-gtk:使用PyGObject(gtk + 3)的sqlmap GUI
05-24
sqlmap-gtk sqlmap GUI,使用PyGObject(gtk + 3) 支持linux,在Mint 20上测试,kali 2020.4 上的 ,需要改进。 sqlmap具有python3的端口。 请不要再使用python2了。 截屏 如何 先决条件 python3.6 +,GTK + 3.20以上(Linux已包含) :(选择一项) pip3 install sqlmap (建议) git clone https://github.com/sqlmapproject/sqlmap.git pygobject :(选择一项) apt-get install python3-gi (建议) pip3 install PyGObject 请求: pip3 install requests 下载 git clone https://github.com/need
SQLMAP 带py2 7和可视界面
05-30
SQLMAP带py2.7.3,直接安装py后就可以使用了。
sqlmapGUI.zip
08-14
sqlmapGUI.zip,对sqlmap封装的图形化界面,需要Python环境
SQLMAP图形化工具】SQLMAP-Gui v1.6
qq_21039641的博客
05-18 870
Sqlmap-Gui是针对SQLMAP工具制作的图形化界面工具,通过人工汉化,并针对文与英文的语法区别,进行了特殊的代码修改,从而实现汉化后语句通顺,减小误会的产生。编写好的GUI文件直接进入图形化模式,通过鼠标勾选参数就可以快速执行命令,同时通过脚本开发,目前支持批量并发扫描URL、批量扫描Burp等请求包,为大批量检测sql注入漏洞提供了便利。同时支持了Windows、Linux、Mac三大操作系统。SQLMAP是一款开源的自动化SQL注入工具,用于扫描和利用Web应用程序的SQL注入漏洞。
推荐一款SQL注入神器:SQLmap GUI - 汉化版与增强型图形化工具
gitblog_00009的博客
06-09 865
推荐一款SQL注入神器:SQLmap GUI - 汉化版与增强型图形化工具 项目地址:https://gitcode.com/gh_mirrors/sq/sqlmap-gui 1、项目介绍 SQLmap是一款强大的自动化SQL注入测试工具,但其原始版本主要为英文且仅支持命令行操作,给不少使用者带来了困扰。现在,我们有一个好消息要分享:出现了SQLmap的汉化并优化的GUI版本!这款名为SQLmap...
SQLMap配置WebUI界面
weixin_34258078的博客
03-20 1671
1、概述 sqlmap是一款开源、功能强大的自动化SQL注入工具,支持多种数据库和多种注入方式。在注入的时候,只需输入几条命令,便能为你节约大量的人力、物力、财力。 但很少有人知道,sqlmap提供API,我们可以根据提供的API开发一个前端界面。已经有大神开发完成了,他就是 Hood3dRob1n(github.com/Hood3dRob1n…),他用PHP为sqlmap开发了一个webui。本...
Kali Linuxsqlmap渗透测试工具:自动化SQL注入与数据库权限获取
Kali Linux是文档提及的背景,它是一个专为渗透测试和安全审计设计的高级Linux发行版,以其丰富的工具集而闻名。Kali提供永久免费且遵循Linux目录结构的用户界面,用户可以方便地访问命令行工具、帮助文档和库文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值