初级SQLmap注入实例

最新推荐文章于 2023-12-04 20:50:11 发布
最新推荐文章于 2023-12-04 20:50:11 发布
阅读量512 收藏 3
点赞数
文章标签: sql kali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45854655/article/details/117393836
版权

初级SQLmap注入实例

前言

SQLmap是SQL注入的经典工具
尤其作为Kali Linux预装的注入工具,非常适合新手学习和使用
下面就通过一个简单的例子来了解SQLmap的基本用法

一、找到可能的注入参数

使用SQLmap进行注入时,url或本地文件中的url应当含有查询参数
否则SQLmap将无法定位可能的注入点,也就无法完成后续的工作

!

二、进行SQL注入

1.猜解可用数据库

输入以下命令

sqlmap -u <目标url> --dbs


执行时会出现三次提示
第一次是sqlmap已经匹配了数据库类型,是否要跳过对其他类型的测试(选择y)
第二次是是否只进行level(1)的扫描(选择n)
第三次是说sqlmap发现给出的参数是易受攻击的,是否对其他可能的项进行测试(选择y)


此时可以看到,我们成功获取了四个可用数据库

2.猜解可用数据库中的表

输入以下命令

sqlmap -u <目标url> --dbs -p <目标参数> -D <目标数据库> --tables

3.猜解表中的列

输入以下命令

sqlmap -u <目标url> --dbs -p <目标参数> -D <目标数据库> -T <目标表> --columns

4.Dump列中的所有数据项

输入以下命令,此处列可以多选,用双引号括起来,不同的列中间用逗号隔开

sqlmap -u <目标url> --dbs -p <目标参数> -D <目标数据库> -T <目标表> -C <目标列> --dump

写在结尾

这次的实验是SQLmap最简单的用法
根据不同的请求方式(GET/POST),SQLmap的使用方式也不相同
更为复杂的情况还需要多进行手注才能更好的理解SQL注入的原理和变式
SQLmap中参数的记忆也比较容易:
[1] u ----> url
[2] p ----> param
[3] D ----> DataBase
[4] T ----> Table
[5] C ----> Column

BackTrack/
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
sqlmap详细教程
简介
01-04 3164
SQLmqp教程!
算机网络安全基础知识5:sql注入漏洞攻击,DVWA演示sql注入漏洞,如何利用sql注入查看数据库信息,sqlmapsql注入漏洞的防御
weixin_46838716的博客
03-04 1705
算机网络安全基础知识5:sql注入漏洞攻击,DVWA演示sql注入漏洞,如何利用sql注入查看数据库信息,sqlmapsql注入漏洞的防御
SQL注入部分:DVWA+SQLmap+Mysql注入实战
AZXYZNPY的博客
11-21 675
(提示带.的文件夹为隐藏,在图形命令下,用文件浏览器打开文件夹,按下ctrl+h组合键可显示隐藏文件合文件夹,再按一次取消显示。注意:应当在第一个页面就点检查,而不是点击检查源代码之后再点击检查,然后就能获得cookie值,而且每次实验的值都不一样,因此做实验最好一次做完。7、枚举指定数据表中的所有用户名与密码,并down到本地。--tables:枚举指定数据库的所有表。2、枚举当前使用的数据库名称和用户名。5、枚举数据库和指定数据库的数据表。--dbs:枚举当前数据库。-T:指定数据库中的数据表。
网络渗透测试实验3:SQL注入(DVWA+SQLmap+Mysql注入实战)
zzzfff__的博客
11-21 1771
实验环境搭建。启动Metasploitable2虚拟机。1.输入账号密码【msfadmin】,输入【ip a】查询ip2.打开浏览器,输入该ip,进入DVWA输入账号密码:admin,password。账号密码使用nmap穷举,见我的另一篇博客3.注入点发现。首先肯定是要判断是否有注入漏洞。在输入框输入1,返回ID: 1返回正常;
网络安全之sql注入测试——sqlmap的使用实例
Python_BT的博客
12-16 875
很久没更新bolg了,下面给大家写一份最近get的渗透测试的知识。 SQL注入测试 郑重声明:此文仅供学习,不可用于非法途径 需要用到的软件 python2.7版本 Burp_Suite sqlmap kali(linux系统即可) cobaltstrike 使用环节 安装python2.7版本,这个不多赘述,安装好后配置path环境,控制栏输入python -V 安装Burp_Suite且版本不能过低,这里给出网址按照教程安装https://blog.csdn.net/weixin_43811883
sqlmap注入漏洞测试
02-22
SQLMap 注入漏洞测试 在 Web 应用程序中, SQL 注入是一种常见的安全漏洞,它可以让攻击者访问和控制数据库中的敏感数据。SQLMap 是一款自动化的 SQL 注入工具,它可以检测和利用 SQL 注入漏洞,以获取数据库中的...
sqlmap注入神器
12-30
sqlmap是一款注入神器,灵活的运作它将是你更有效率的完成工作
SQLmap注入工具
09-20
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, ...
SqlMap注入软件
03-29
SqlMap是一款强大的自动化工具,专为安全专家设计,用于检测和利用SQL注入漏洞。这款开源软件在渗透测试领域中有着广泛的应用,被誉为检测和利用SQL注入的“神器”。它的核心功能在于,通过智能分析和利用潜在的SQL...
sqlmap注入
10-26
SQLMap是一种广泛使用的开源自动化工具,专门用于检测和利用SQL注入漏洞。它的主要目标是帮助安全研究人员和渗透测试者在Web应用程序中发现和利用数据库漏洞。以下是对SQLMap注入相关知识点的详细介绍: **1. SQL...
记一次我的漏洞挖掘实战——某公司的SQL注入漏洞
PICACHU+++的博客
05-02 4497
我是在漏洞盒子上提交的漏洞,上面有一个项目叫做公益SRC。公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。SQL注入的防御方法很多,也是老生常谈的问题。
【网络安全 | 渗透工具】SQLmap加密注入教程+实战详析
等风来
08-02 6055
在使用手工注入绕过参数加密的限制时,需要构造出原始POC再进行加密注入,耗时耗力,因此采用sqlmap加密注入。表示只对该参数进行注入测试,不加 * 的话还会测试其他参数是否为注入点,增加时间。选择默认选项,跑sqlmap的时候加上这句话可节约时间、不需要回复提示
SQLMAP工具 详细使用方法
HAKUNAMATATATTA的博客
11-15 3354
SQLMAP 是一个开源的渗透测试工具,可以用来自动化的检测,利用 SQL 注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。
SQLMAP基本应用详解(实战演示)
刘桂香263的博客
07-31 4694
SQLMAP自动化注入工具具有扫描、发现并利用给定的URL的SQL漏洞。
sqlmap实战 简单的注入学习
qq_43355651的博客
11-29 557
本人是网络安全的在校学生 为了使自己更好的学习和坚持决定记录一下 希望一次次的记录可以使自己慢慢变强 自己最近在学习安全的重要工具------sqlmap,因为初次学习,为了更好的熟悉和方便,在自己本机上安装了sqlmap(未使用kali Linux)。sqlmap是一个自动化的sql注入工具,主要功能是扫描发现并利用注入漏洞。 本文为学习笔记,仅限于学习交流,不得从事违反法律相关的内容...
sql注入原理及各姿势sqlmap使用
最新发布
m0_63641882的博客
12-04 1365
ps:及后端服务器在收到参数未对参数进行过滤直接带入数据库当中进行查询,这样就导致了参数拼接构造的sql语句进行执行列子:当我们在前端进行页面登录的时候后端代码 输入用户admin和万能密码:2' or '1时后端代码 因为逻辑运算符有优先级之分 or
渗透测试:详解sqlmap进行POST注入、基于insert的注入(以vulnhub靶机LampSecurity:CTF7为例)
Bossfrank的博客
06-22 4611
本文以vulnhub靶机LampSecurity:CTF7为例,详解了insert(非select)类型的SQL注入方法,包含对报错注入函数updatexml的使用。同时还详解了使用sqlmap进行POST类型注入的方法。
sql注入sqlmap
qq_62046696的博客
07-01 856
通过id的报错可以判断是字符型注入,order by 得出字段数是3简单来说,就是利用参数二的特殊字符串,去匹配参数一中的东西。 正常情况下 参数二的特殊字符串就是一段符合xpath语法规则的字符串。当参数二不符合xpath语法规矩,这个函数就会报错,显示出参数二的内容。 报错注入就是利用这个原理来进行的。 看例子,这里的参数一是随便写的1,参数二是concat(0x7e,(select version()),0x7e) concat函数是用来连接字符串的,就是将它的所有参数连接起来。 0x7e代表的
sqlmap注入详解(joomla案例)
m0_63028223的博客
04-01 2759
我们以该网站为例: 我们需要先找到其报错注入点: 再次要注意:报错注入点中的 ‘ [] ’ 符号是不能为sqlmap所识别的。我们所需要将其转换为url编码。 之后进入正题 打开kali并开启root权限,利用sqlmap扫描其数据库。--dbs 这时候我们得到了该网站的五个表。 我们进入joomla表中。-D joomla --tables 之后我们进入#__users列中并指定想要获取的信息。 这时候便得到了我们想要的账户,密码,以及邮箱。 此密码经过加密,解密..
sqlmap注入靶场
09-29
sqlmap是一种流行的自动化SQL注入工具,常用于测试和验证应用程序的安全性。它可以通过检测和利用应用程序中的SQL注入漏洞,获取数据库的敏感信息。在注入靶场中使用sqlmap可以用于学习和实践SQL注入攻击。 在注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值