sqlmap 使用教程

最新推荐文章于 2023-12-20 11:40:16 发布
最新推荐文章于 2023-12-20 11:40:16 发布
阅读量2w 收藏 45
点赞数 7
分类专栏: Web安全 知识总结 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46962006/article/details/121307150
版权

                       sqlmap 使用教程

目录

前言

       个人观点,若有误请指教

Options(选项)

  • -h:帮助文档
  • -‌-version:查看sqlmap版本信息
  • -v:显示详细信息
       ·0:只显示python的错误和一些严重性的信息
       ·1:显示基本信息(默认)
       ·2:显示debug信息
       ·3:显示注入过程的payload
       ·4:显示http请求包
       ·5:显示http响应头
       ·6:显示http响应页面

Target(目标)

  • -d:直接连接数据库(格式:‘mysql://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME’)
    在这里插入图片描述
    注解:暂时不知道这个有什么用,其他的Target选项都可以扫描出漏洞!

  • -u:指定url扫描,但url必须存在查询参数. 例: xxx.php?id=1
    在这里插入图片描述

  • l:后面跟一个log文件,判断log(日志)文件中所有记录是否存在注入点(用于多个url)

  • m:后面跟一个txt文件,判断txt文件中所有记录是否存在注入点(用于多个url)
    在这里插入图片描述

  • -r:检查post请求是否存在注入(可以通过抓包工具抓取包,把请求保存在一个文档中,不限制文档后缀)。
    在这里插入图片描述

  • 注意:以上至少需要设置其中一个选项

Request(请求)

  • -‌-method:指定请求是提交的方法。如 --method=GET( --method=POST)
    注解:一般来说,Sqlmap能自动判断出是使用GET方法还是POST方法,但在某些情况下需要的可能是PUT等很少见的方法,此时就需要用参数“–method”来指定方法。如:“–method=PUT”。

  • -‌-data: 该参数指定的数据会以POST方式进行提交,Sqlmap也会检测该参数指定数据是否存在注入漏洞。(格式: --data = “参数1 & 参数2…”)
    注解:get/post提交的都适用(地址栏或者表单);可以只提交一个参数。
python sqlmap -u “http://127.0.0.1/index.php” --data=”user=1&pass=2

  • -‌-param-del: 当用其他字符分割参数的时候,需要用到此参数(针对data)。
python sqlmap.py -u "http://127.0.0.1:8080/user.php" --data="id=0;name=ner" --param-del=";"

  • -‌-cookie:该
最低0.47元/天 解锁文章
月生ψ
关注
  • 7
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap使用教程
hmysn的博客
07-27 1万+
sqlmap是一个自动化的SQL注入工具,主要功能是扫描、发现,并利用给定url的SQL注入漏洞。
SQLmap使用教程图文教程(超详细)
wangyuxiang946的博客
06-20 3万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
sqlmap (--os-shell)的使用
热门推荐
千寻的博客
11-04 9万+
第一步 搭建存在sql注入的网站 第二步 扫描注入点 python sqlmap.py -u "http://192.168.232.129/cms/show.php?id=33" --os-shell 第三步 选择网站的语言 第四步 输入网站的角度路径 第五步 查看权限
sqlmap命令大全(附详细扫描流程)
m0_50818626的博客
05-24 7180
3.扫描指定数据库中的所有表名,-D可以指定要扫描的数据库,这里我扫的是security库。红框内就是我们所扫描出的字段名,一共有三个,分别为id,password,username。如上图所示,我们就把我们需要的username和password找出来啦!4.扫描users中的字段名是什么,-T可以指定扫描的表。上图红框内就是security库中的所有表啦。可以看到有漏洞,布尔盲注和时间盲注。可以看到所有的数据库都被扫描出来了。5.用dump扫描出字段中的所有数据。2.扫描所有数据库 -dbs。
sqlmap详细使用教程
m0_55854679的博客
12-28 9275
文章目录简介SQL注入流程命令参数拓展 简介 Sqlmap是一个自动化检测和利用SQL注入漏洞的免费开源工具,对SQL注入漏洞进行检测的最佳工具 支持对多种数据库进行注入测试,能够自动识别数据库类型并注入 支持多种注入技术,并且能够自动探测使用合适的注入技术 如:布尔盲注、时间盲注、联合查询注入、报错注入、堆查询注入 能够爆破数据库信息,如用户名,密码 能够自动识别哈希密码,并且使用密码字典进行破解. SQL注入 原理:SQL注入攻击指的是用户输入了特殊的数据拼接到原本程序的代码中
SQLMAP使用笔记.pdf
01-25
SQLMAP 使用笔记 SQLMAP 是一个开源的渗透测试工具,用于检测和利用 SQL 注入漏洞。下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> ...
sqlmap安装包及教程.zip
12-23
在这个"sqlmap安装包及教程.zip"压缩文件中,包含了SQLMap的安装程序和后续配置的教程,这将有助于用户快速上手和熟练使用这款工具。 首先,让我们深入了解SQLMap的基本概念。SQL注入是一种常见的网络安全威胁,...
sqlmap使用说明.pptx
04-02
介绍了 渗透测试工具 sqlmap使用方法。 对sqlmap -tamper 脚本的使用进行了演示。 burpsuite中sqlmap的插件进行了简单的介绍。
Windows下Sqlmap环境安装教程详解
01-21
Sqlmap安装 Sqlmap >> 基于Python的自动化渗透测试工具,安装工具前需要进行Python的环境准备 Python环境的安装 1.1 下载与安装 python(2.7.16): ...
sqlmap手册-中文版.pdf
07-30
sqlmap
sqlmap (--os-shell) 的使用
m0_55628907的博客
09-06 195
1. 可通过抓包,输入不合法的字符让页面回显出根路径如:c:\appserv\www\phptest2\db_func.php我们需要猜测根目录是在 c:\appserv\www\phptest2\ 还是在 c:\appserv\www\
Sqlmap 使用方法小结
0verWatch的博客
08-02 2万+
平常的使用GET方法像–tables –columns -T -D –dbs –dump 啥的就不说了,只是博客几天不发,空着不好,还是得写写东西 --is-dba 当前用户权限(是否为root权限,mssql下最高权限为sa) --dbs 所有数据库 --current-db 网站当前数据库 --users 所有数据库用户 --current-user 当前数据库用户 --random-age...
超详细SQLMap使用攻略及技巧
最新发布
喜欢Python编程的程序员柚柚呀
12-20 4761
sqlmap支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测。sqlmap支持五种不同的注入模式:l 基于布尔的盲注,即可以根据返回页面判断条件真假的注入;l 基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;
sqlmap详细使用介绍
zjdda的博客
05-25 1455
sqlmap介绍
渗透测试-SQL注入之sqlmap使用
lza20001103的博客
04-16 5554
渗透测试-SQL注入之sqlmap使用
SQLMAP使用
ssslq的博客
03-02 1282
SQLMAP详解

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值