最常用的sql注入工具

于 2023-10-26 20:58:17 发布
阅读量340 收藏 2
点赞数
分类专栏: 网络安全 黑客 文章标签: sql 数据库 web安全 安全 网络安全 网络攻击模型 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44652484/article/details/134064575
版权

前言:

        该文章仅用于信息网络安全防御技术学习,请勿用于其他用途!

        该文章为纯技术分享,严禁利用本文章所提到的技术进行非法攻击!

       

使用工具:Havij

1、双击 注册控件.exe
2、二次选择Havij选择管理员运行即可打开
3、打开本地sqli-labs靶场
4、把本地能访问的url放入target里面,点击Analyze即可进行注入
5、注入的结果显示在status窗口中

6、点击info也可以看到注入出来的数据(IP、服务器类型、数据库名称等等)
7、点击Get再次自动化注入(爆数据库名)

8、点击Tables,下面窗口中会显示刚才爆出来的数据库名称
9、勾选任意数据库名称前的复选框
10、点击Get Tables即可自动注入出数据库库中的表名(爆表名)

11、勾选表名前的复选框,选择Get Columns即可自动注入出字段名(爆字段)
12、勾选字段名前的复选框,选择Get Data即可自动注入出数据(爆数据)

总结:
相比较sqlmap命令行的操作界面,图形化界面的操作会相对方便一些,

当然,还有一些别的功能,比如读取文件
点击Read Files,在下面的输入框中输入本地某个文件地址,点击Read即可读取文件
(前提是my.ini文件中的secure_file_priv=’ ’值为空不是为null)
选择Query,下方输入框填写select @@secure_file_priv 点击Execute即可查询是否为空还是为null

工具二:超级sql注入工具(中文版)

1、把要注入的url地址填到HTTP请求包的框里面,点击识别注入
2、生成结果后,点击自动识别,得到有哪些地方可以注入

3、选择数据中心--环境变量--全部勾选---获取环境变量----得到右边的变量值
4、点击数据库信息----选择获取库,很快就把数据库注入出来了(爆库名)

5、勾选security数据库,点击获取表,注入成功后,自动在库名下展示(爆表名)
6、勾选users表,点击获取列,注入成功后,自动在表名下展示字段名(爆字段名)
7、勾选字段名,输入条数,点击获取数据,即可注入出表中的数据(爆数据)

这款工具可以直观的看到每一次执行的payload

这里的文件操作和Havij是一样的

总结:

窗口化的注入工具和命令行的sqlmap相比,在操作使用上比较方便,但是功能方面还是sqlmap更胜一筹,所以因人而异,只要你用的顺手,看着习惯就好,不请求。

DMXA
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 2917
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
超级SQL注入工具
03-31
超级SQL注入工具
超级SQL注入工具使用说明书V201512271
08-08
程序简介超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的
Metasploit 线程代码注入工具
CSDN
07-05 7350
前段时间,本人实现过一款远程ShellCode注入器,但由于实现的比较仓促所以在参数解析上只是简单的传递非常的难以记忆和使用,今天借着有时间我将程序的参数进行了规范化,以及分类,不同的分类功能放在不同的位置,使用起来能更加清晰。 该工具主要用于后渗透使用,当我们拿到目标主机的权限时,可以直接将该工具传输到对端并在命令行下执行注入命令,如果是服务器那么多半常年不关机,这样使用进程注入功能将Meta...
10个SQL注入工具
paoling2010的专栏
09-14 2215
众所周知,SQL注入攻击是最为常见的Web应用程序攻击技术。同时SQL注入攻击所带来的安全破坏也是不可弥补的。以下罗列的10款SQL工具可帮助管理员及时检测存在的漏洞。 BSQL Hacker BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入。 BSQL Ha
最受欢迎的十款SQL注入工具
2301_77472496的博客
08-28 4322
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~《网络安全入门+进阶学习资源包》CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享网络安全源码合集+工具包​​。
【网络安全-sql注入(5)】sqlmap以及几款自动化sql注入工具的详细使用过程(提供工具
最新发布
m0_67844671的博客
10-03 2132
本篇文章详细介绍了sqlmap工具和使用,如何用sqlmap进行自动化的SQL注入,还讲解了穿山甲,萝卜头等自动化SQL注入工具
SQLiDetector:一款功能强大的SQL注入漏洞检测工具
u010291330的博客
03-25 1858
SQLiDetector是一款功能强大的SQL注入漏洞检测工具,该工具支持BurpBouty配置文件,可以帮助广大研究人员通过发送多个请求(包含14种Payload)并检查不同数据库的152个正则表达式模式来检测基于错误的SQL注入漏洞。我们还创建了一个BurpBounty配置文件,它会使用相同Payload并在不同的位置注入,例如:参数名、参数值、Header和路径。3、使用你的链接和URL工具获取所有的waybackurl,如waybackurl、gau、gauplus等;1、运行子域名搜索工具
Sql注入工具php,phpcms框架SQL注入--基于Havij工具
weixin_39754267的博客
03-17 315
sql注入的步骤:1.首先观察网站是通过GET还是POST方式传输数据的:a.如果是GET传输,则在url中输入?id=1' 或者 " 或者 ') 来测试是否存在sql注入。b.如果是POST传输,则在输入框中输入?id=1' 或者 " 或者 ') 来测试是否存在sql注入。2.测试完成发现存在注入,进行注入,先测试有多少表单:a.?id=1 order by *(*数字为数字)进行测试,3.测试...
注入工具使用-sqlmap
HacHunter的博客
03-24 4856
目录 利用sqlmap进行需要登录的注入 利用sqlmap进行POST注入 利用sqlmap进行文件读写 利用sqlmap辅助手工注入 利用sqlmap交互式写shell 利用sqlmap进行需要登录的注入 sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post ,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 打开 dvwa,输入用户
Havij破解版
10-25
1。支持数据库与注入方法:   MSSQL 2000 / 2005错误   MSSQL 2000 / 2005无错误联盟总部   MSSQL盲   MSSQL时基   基于MySQL的联盟   MySQL盲   基于MySQL的错误   MySQL的时间   基于Oracle的联盟   基于Oracle错误   Oracle盲   基于PostgreSQL的联盟   基于MS访问联盟   MS Access盲   Sybase(ASE)   Sybase(ASE)Blind   2。HTTPS支持   三.多线程   4。代理支持   5。自动信息服务器检测   6。自动参数类型检测(字符串或整数)   7。自动关键词检测(发现正面和负面的反应之间的区别)   8。自动扫描所有参数。   9。尝试完全不同的注射方法   10。替代房屋的选择,…针对IDS或过滤器   11。避免开发字符串(绕过magic_quotes和类似的过滤器)   12。手动注入语法支持   13。手动查询结果   14。强迫法外联盟   15。随机信号发生器   16。完全可定制的协议头(如参考,用户代理…)   17。从网站加载Cookie(s)进行身份验证   18。加载HTML类型的输入   19。协议基本和摘要认证   20。注入统一资源定位器重写页面   21。绕过防火墙和类似防火墙ModSecurity的互联网应用   22。绕过webknight互联网应用防火墙和类似防火墙   23。即时结果 软件特色   Havij这个注入工具大家应该多蛮清楚的吧,大牛小牛应该多有玩过。   算是比较著名也比较好用的SQL注入工具了。用的人也很多,它经常更新。   正版是要钱的。要感谢国内的破解大牛Hmily。每次多是它破解的最好用了。   这次这个也是它破解的。虽然网上有好几个版本。这个是免安装。注册一下控件就行了
SQL注入测试工具sqlmap工具
05-14
渗透测试SQL漏洞,sqlmap工具;渗透测试SQL注入测试工具
sql注入测试安全工具
12-11
Pangolin(中文译名为穿山甲)一款帮助渗透测试人员进行Sql注入测试的安全工具
pangolinsdl—sql注入工具
06-20
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP...超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
sql注入sql注入工具
09-29
sql注入sql注入工具
sql注入工具常见方式
05-13
以下是 SQL 注入工具的常见方式: 1.手动注入:手动注入是最基本、最原始的 SQL 注入方式,需要手动构造 SQL 语句并在目标网站的输入框中提交,通过观察网站返回的错误信息来判断是否存在 SQL 注入漏洞。 2.自动化工具:自动化工具是通过扫描程序自动发现目标网站存在的 SQL 注入漏洞,然后使用预先定义的 SQL 注入语句进行攻击,最终获取网站数据库中的数据。 3.代理工具:代理工具通过在攻击者和目标网站之间插入代理服务器,拦截并修改 HTTP 请求中的参数,从而实现 SQL 注入攻击。代理工具常用于测试和验证 SQL 注入漏洞。 4.漏洞扫描器:漏洞扫描器是一种自动化工具,可以扫描目标网站的漏洞,并自动发现 SQL 注入漏洞。漏洞扫描器通常使用预先定义的 SQL 注入语句进行攻击,最终获取网站数据库中的数据。 需要注意的是,这些工具在进行 SQL 注入攻击时,需要遵循法律规定,不得进行未经授权的攻击行为。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值