java web sqlmapapi_Sqlmap API用法,SqlmapAPI,使用

最新推荐文章于 2024-05-30 15:46:42 发布
最新推荐文章于 2024-05-30 15:46:42 发布
阅读量378 收藏
点赞数
文章标签: java web sqlmapapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42511712/article/details/114924118
版权

Sqlmap API作用

客户端调用服务端的Sqlmap API,可实现批量同时扫描疑似SQL注入点,具有一定的高效性

linux下Sqlmap使用

建立服务端

使用kali进行学习

1.进入到/usr/share/sqlmap目录

2.运行sqlmapapi.py

命令如下:

cd /usr/share/sqlmap

python sqlmapapi.py -s

e6ba924ff266574fcc90c207c4aeee17.png

sqlmapapi.py后可加参数如下:

2fd01d1d360789fa32e5d1178f13c8c4.png

客户端调用

1.进入到/usr/share/sqlmap目录

2.运行sqlmapapi.py

命令如下:

cd /usr/share/sqlmap

python sqlmapapi.py -c

1a2fc3113104dd9b322186b2b0abd144.png

使用Sqlmap进行检测

api使用参数如下:

87e4a758770030e1c94a09bcbf5c9e8f.png

简单使用DVWA试验:

1.建立任务

new -u "http://192.168.142.129/dvwa/vulnerabilities/sqli/?id=1&Submit=sumbit" --cookie="security=low; PHPSESSID=add73afaf6f1b7a2664cb3043d37fc09"

2.查看状态

86082ce5a63153d3ae270d5b9947fa57.png

terminated表示检测完毕

3.显示数据

fe35d3cf1feaf13591b1616eaa382a2a.png

Python下使用Sqlmap

kali下安装python2的requests模块:

1.安装pip

sudo apt-get install python-pip

2.安装requests

sudo pip install requests

导入模块

import requests

import json #输出json格式数据

创建任务

r = requests.session()

datas = r.get("http://127.0.0.1:8775/task/new")

查看任务id

datas.json()

29bce74a4984070eb34e83dd7b133cd0.png

查看选项

datas = r.get("http://127.0.0.1:8775/option/bce5c82e269051de/list")

datas.json()

946f94f6ef2cce0fd44652ccaee0b03c.png

配置参数

datas = r.post("http://127.0.0.1:8775/option/bce5c82e269051de/set",data=json.dumps({'url':'http://192.168.177.142/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#','cookie':'security=low; PHPSESSID=f06638edc54f08c420717a3a22e8b6b9'}),headers={'Content-Type':'application/json'})

datas.json()

d8a1ba6c689fed06e1e79af51930ee62.png

查看参数设置情况

r.post("http://127.0.0.1:8775/option/bce5c82e269051de/get",data=json.dumps({'url':'http://192.168.177.142/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#','cookie':'security=low; PHPSESSID=f06638edc54f08c420717a3a22e8b6b9'}),headers={'Content-Type':'application/json'})

datas.json()

a1580a8e5564220feeabc3670247da76.png

开始任务

datas = r.post("http://127.0.0.1:8775/scan/bce5c82e269051de/start",data=json.dumps({'url':'http://192.168.177.142/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#','cookie':'security=low; PHPSESSID=f06638edc54f08c420717a3a22e8b6b9'}),headers={'Content-Type':'application/json'})

查看状态

r.get("http://127.0.0.1:8775/scan/bce5c82e269051de/status",data=json.dumps({'url':'http://192.168.177.142/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#','cookie':'security=low; PHPSESSID=f06638edc54f08c420717a3a22e8b6b9'}),headers={'Content-Type':'application/json'})

f903b6a6b11639096ca45ab26336aa29.png

获取数据

datas = r.get("http://127.0.0.1:8775/scan/bce5c82e269051de/data")

datas.json()

40fbaefdf4f3ffd8e2e40fbb756c80d6.png

总结

日后一定写个脚本

王大明白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-Reference_zh_CN(Spring中文参考手册)
06-06
创建SqlMap 12.5.2.2. 使用 SqlMapTemplate 和 SqlMapDaoSupport 12.5.3. iBATIS SQL Maps 2.x 12.5.3.1. 创建SqlMapClient 12.5.3.2. 使用 SqlMapClientTemplate 和 SqlMapClientDaoSupport 12.5.3.3. 基于原生...
实现ibatis手动控制加载sqlmap文件,终于不用重启应用了
06-19
1. **监听文件系统变化**:我们可以使用Java的WatchService API或者第三方库,如Apache Commons IO的FileAlterationObserver,监听SQL映射文件所在的目录。当检测到文件有变动(例如:修改、新建或删除)时,触发...
java web sqlmapapi,深入了解SQLMAP API
weixin_33765908的博客
03-13 512
前言以前觉得sqlmap自己玩得挺溜了,结果最近有一个任务,需要调用sqlmap api接口来验证存在sql注入漏洞的站点,一开始听到这个任务觉得完了,可能完成不了了。后来我去网上搜了搜相关的资料,发现关于这方面的资料确实挺少的,于是参观了一下sqlmap的源码,大致摸清楚了如何调用api接口。因此,笔者打算写一篇完整些的文章,才有了本文。笔者技术有限,有错误或者写的不好的地方敬请谅解!为什么要使...
sqlmapapi.py使用
liangjiao_shou的博客
05-30 274
通过api接口调用来实现自动化扫描,不然每个注入点,都需要我们手工的使用sqlmap;可以进行对个url扫描注入​ 参考:https://www.freebuf.com/articles/web/265908.html。
java web sqlmapapi,爬虫结合SqlmapApi判断注入
weixin_42511491的博客
03-13 155
最近在弄点蛋疼的东西.爬虫,扫描。扫描交给sqlmapapi来进行.现在的资料不是很多,但是还是可以找到一些《使用sqlmapapi.py批量化扫描实践》http://drops.wooyun.org/tips/6653看看他所封装的sqlmapapi的类Default#!/usr/bin/python#-*-coding:utf-8-*-import requestsimport timeimp...
p79 Python 开发-sqlmapapi&Tamper&Pocsuite(含安全狗的安装与开启网站防护)
weixin_43263566的博客
03-10 1128
Python 开发-sqlmapapi&Tamper&Pocsuite
SQLMap进阶使用
Kali与编程
12-10 1067
使用 SQLMap 插件时,我们需要了解 SQLMap 的基本使用方法,并掌握一些高级功能,如配置 SQLMap使用 Payloads 和 Tamper Scripts、使用插件 API 等。其中一个最流行的工具是sqlmap,它是一个功能强大的自动化SQL注入工具,可以执行各种高级注入技术。在本文中,我将详细介绍sqlmap的高级用法。可以通过该选项设置注入技术,包括B:布尔型盲注、E:错误型注入、U:基于联合查询的注入、S:基于堆栈的注入、T:基于时间的盲注、Q:基于双查询的注入、A:自动检测。
【高效开发工具系列】sqlmap使用
热门推荐
檀越的博客
02-08 3万+
sqlmap 是一个自动化的 sql 注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,sqlmap 还提供了很多脚本.但在实践测试的时候基本用不上.sqlmap使用 python 开发的.sqlmap 支持 MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase 和 SAP MaxDB 等数据库的各种安全漏洞检测。
java 扫描包框架_简单的web扫描器框架 ScanFramwork-Java
weixin_28997071的博客
03-07 179
花了一天的时间造的轮子,用Java写的由三个大类组成,支持导出结果到文件/批量多线程扫描/自定义正则匹配结果/文本数据包直接解析发送(与burp拦截格式和sqlmap -r格式相同)盲注类-p sleep和自动插入后门backdoor保留,暂未实现用法:这里使用上次挖出的Tale博客系统漏洞来测试,设置post.txt为模板GET /admin HTTP/1.1Host: tale.biezhi....
高级JAVA开发必备技能:java8 新日期时间API((一)JSR-310:ZoneId 时区和偏移量)(JAVA 小虚竹)_时区和偏移量的区别(1)
2401_84302816的博客
05-04 979
​ 提供的TZUpdater 工具允许您使用更新的时区数据更新已安装的 Java 开发工具包 (JDK) 和 Java 运行时环境 (JRE) 软件,以适应不同国家/地区的夏令时 (DST) 更改。Oracle 依赖于通过 IANA 的时区数据库公开提供的时区数据。如果您无法使用 Oracle 最新的 JDK 或 JRE 更新版本,或者如果最新版本上的时区数据不是最新可用的,TZUpdater 工具提供了一种更新时区数据的方法,同时保持其他系统配置和依赖项不变.
SqlMap中文手册
陆总的博客
09-07 1746
零、前言 Sqlmap是十分著名的、自动化的SQL注入工具。为了较为系统地学习Sqlmap,我决定翻译一遍Sqlmap的用户手册,于是便有了此文。由于我英语学得很差,所以翻译地不好。基本上是意译,还加入了我自己的东西,和原文有较大差距。 一、Sqlmap是什么 Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、F
高级JAVA开发必备技能:java8 新日期时间API((四)JSR-310:常用计算工具)(JAVA 小虚竹)_java8 jsr 310
2401_84239830的博客
05-04 611
一个ChronoField成员会维护一个字符串名字属性name、一个TemporalUnit的基础单位baseUnit、一个TemporalUnit的表示范围的单位rangeUnit和一个ValueRange类型的range用于表示当前属性的范围。其中ChronoUnit枚举了标准的日期时间单位集合,就是常用的年、月、日、小时、分钟、秒、毫秒、微秒、纳秒,这些时间单位的时间量到底是多少,代表多长的时间,在该枚举类中都有定义。方法不太一样,前者是获取这段时间的月的部分,后者是整个时间转化为以月为单位长度。
vulnerableapi:简单的Spring Boot应用程序容易受到sql Injection的攻击
05-13
然而,如果不正确地使用这些框架,或者使用原生的JDBC(Java Database Connectivity)API,就可能出现SQL注入的风险。 例如,假设我们有一个控制器方法接收用户输入的ID并查询对应的数据: ```java @GetMapping("/...
IBatisNet开发使用小结[收集].pdf
10-11
通过DAO,开发者可以使用统一的方法来处理不同的数据存储,隐藏了数据持久化的实现细节,提高了代码的可复用性和可扩展性。 5. IBatisNet的使用步骤 - 下载并安装IBatisNet的软件包,包括DataMapper和DataAccess的...
ibatis3__发布_入门示例
11-28
标题与描述概述的知识点主要集中在iBatis 3(现称为MyBatis)的入门级应用,特别是关于如何在Web项目中集成并使用这个框架。iBatis 3是一个持久层框架,它允许开发者通过XML配置文件或注解来映射SQL语句,从而简化了...
数理方法习题 前六章.pdf
08-03
数理方法习题 前六章
某大型制造企业IT蓝图规划及实施路线.pptx
最新发布
08-03
某大型制造企业IT蓝图规划及实施路线.pptx
基于Springboot和Vue的社区团购系统设计源码 社区团购系统设计代码(98分期末优秀大作业)
08-03
社区团购系统设计源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
调用sqlmap api执行数据库命令
01-31
你可以使用 Python 调用 sqlmap API 来执行数据库命令。 首先,安装 sqlmap 库: ``` pip install sqlmap ``` 然后,你可以使用以下代码来调用 sqlmap API 执行数据库命令: ``` import sqlmapapi # 启动 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值