sqlmap入门

已于 2022-09-04 23:12:54 修改
阅读量202 收藏
点赞数
文章标签: web安全
于 2022-09-04 23:12:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47493074/article/details/126696360
版权

sqlmap查找SQL注入漏洞入门
1、安装sqlmap
sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。注意:sqlmap只是用来检测和利用sql注入点的,使用前请先使用扫描工具扫出sql注入点。
它由python语言开发而成,因此运行需要安装python环境。它依赖于python 2.x ,请不要安装python 3.x
1.1 安装pyhon
在Windows上安装Python
首先,从Python的官方网站www.python.org下载最新的2.x版本,地址是这个:
https://www.python.org/downloads/
然后,运行下载的MSI安装包,在选择安装组件的一步时,勾上所有的组件:
特别要注意选上pip和Add python.exe to Path,然后一路点“Next”即可完成安装。
默认会安装到C:\Python27目录下
1.2 安装sqlmap
请在http://sqlmap.org/ 中下载sqlmap
将下载文件解压,然后将目录更改为SQLMap,将SQLMap复制到Python的安装目录C:\Python27,在cmd窗口中输入sqlmap.py -h,能看到帮助命令就表示安装成功了
我们将下载文件解压,然后将目录更改为SQLMap,将SQLMap复制到Python的安装目录C:\Python27,在cmd窗口中输入sqlmap.py -h,能看到帮助命令就表示安装成功了
2、检测注入
GET注入
sqlmap -u “http://www.vuln.cn/post.php?id=1″ 默认使用level1检测全部数据库类型
sqlmap -u “http://www.vuln.cn/post.php?id=1″ –dbms mysql –level 3 指定数据库类型为mysql,级别为3(共5级,级别越高,检测越全面)
-u:指定注入点url
post中注入
可以使用Fiddler工具来抓取post包,把请求保存在txt文件里
sqlmap -r “c:\tools\request.txt” -p “username” –dbms mysql 指定username参数
-r REQUESTFILE 从一个文件中载入HTTP请求。
-p TESTPARAMETER 可注入的参数
3、暴库
3.1 曝出所有数据库名称,命令如下:
C:\Python27\sqlmap>python sqlmap.py -u “http://www.vuln.cn/post.php?id=1” —dbs
参数:
–dbs:dbs前面有两条杠
3.2 当前使用的数据库
C:\Python27\sqlmap>python sqlmap.py -u “http://www.vuln.cn/post.php?id=1” —current-db
3.3 数据库使用账户
C:\Python27\sqlmap>python sqlmap.

最低0.47元/天 解锁文章
Yolo山药
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmap学习(十二)检索DBMS信息
rane的博客
03-29 355
1、sqlmap检索DBMS banner 参数:-b、--banner python sqlmap.py -u "http://172.17.0.1/Less-3/?id=1" -b 2、sqlmap检索DBMS当前用户 参数:--current-user 3、sqlmap检索DBMS当前数据库 参数:--current-db 4、sqlmap检索DBMS当前主机名 参数:--hostn...
SqlMap入门指南-思维导图.png
04-25
SqlMap入门指南.png
sqlmap新手教程
weixin_66717977的博客
06-30 1695
sqlmap
python | sqlmap,一个实用的 Python 库!
最新发布
csdn_xmj的博客
05-15 899
sqlmap是一个强大的自动化SQL注入工具,专为检测、利用和管理数据库的SQL注入漏洞设计。它支持广泛的数据库系统,能自动识别注入点,并通过多种技术执行详尽的数据库、表、数据提取。sqlmap的功能包括获取数据库版本信息、数据提取、访问底层文件系统和执行远程命令,甚至允许植入后门。该工具不仅适用于网络安全专家进行安全审计和渗透测试,也广泛用于安全教育和培训,帮助了解和防范SQL注入攻击。通过其命令行界面和API,sqlmap为自动化测试提供了极大的便利,是网络安全领域中不可或缺的工具。
sqlmap命令详解
Pitbull2014的博客
12-20 1091
cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sq...
SQL盲注之python脚本爆破及sqlmap基础操作
wangringyi的博客
04-09 6101
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、SQL盲注是什么? 二、介绍与使用 1.盲注的三种分类 2.基于报错的盲注 3.基于时间的脚本化盲注 sqlmap的使用 前言 哈,我是爱挖洞的萝卜头,从今天开始来csdn分享学习过过程,学习经历,望各位大佬指教指教,嘿嘿嘿。 一、SQL盲注是什么? 经历过前面的数字型注入,字符型注入,提交方式注入等,我们对sql注入有了基本的...
网安入门05-Sql注入(布尔盲注&SqlMap
m0_61499194的博客
12-13 817
常规:python sqlmap.py -u"127.0.0.1/sqllabs/Less-5/?id=1" python sqlmap.py -u"127.0.0.1/sqllabs/Less-5/?id=1" --tables -D security
sqlmap中文手册.pdf
08-13
sqlmap中文版的使用,仅供学习研究使用.用户手册 介绍——介绍 sqlmap 技术——sqlmap 支持的 SQL 注入技术 特性——支持的特性列表 下载更新——更新你的 sqlmap 副本 相关依赖——关于第三方库和工具的信息 历史...
ibatis-sqlMap-入门教程(代码)
10-22
eclipse工程,工程中所用到library在lib文件夹下,建表的语句在工程文件下person.sql
sqlmap.pdf
07-16
sqlmap注入工具实例。它是一个很好的WEB工具主要工作在linux系统下。
sqlmap中文版本(和谐渗透小组专用)
10-22
入门 结构化的语言是数据库的标准声明语言。这让(语言)变的更加简洁并且更易于使用。SQL起源于70年代的IBM实验室。SQL被用来让应用程序与数据库之间进行通信。 SQL使用如下的4种语言来对数据库进行操作 SELECT ...
sqlmap使用方法
08-26
sqlmap -p 指定测试参数 -b 获取banner --dbs 列举数据库 --is-dba 是否是管理员权限 --current-db 当前数据库 --current-user 当前用户 --tables 列举数据库的表名 --count 检索所有条目数 --columns 获取表的列名 --dump 获取表中的数据,包含列 --dump-all 转存DBMS数据库所有表项目 --level 测试等级(1-5),默认为1 -v 显示详细信息 读取数据库--->读取表---->读取表的列---->获取内容
sqlmap注入命令详解
08-19
使用sqlmap进行数据库注入漏洞测试,高效,快速
SQL注入技巧-盲注暴库详细技巧及实例
10-11
个人通过拜读各位前辈们的博文以及大量的ctf题目训练,结合挖洞经验整理的几点sql常用的盲注技巧,结合具体的sql指令加深理解,针对常用的防护技术,总结了几种通用的绕过技巧
sqlmap+python
10-23
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 资源包括sqlmap和运行所需的python安装包
sqlmap安装
11-13
Sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。
sqlmap如何进行时间盲注的爆破
weixin_35749786的博客
12-20 368
SQLMap是一个开源的渗透测试工具,它可以用来执行自动化的SQL注入攻击。在进行时间盲注攻击时,SQLMap会尝试通过构造特殊的SQL语句来猜测数据库中的数据。 要使用SQLMap进行时间盲注攻击,需要在命令行中输入以下命令: sqlmap -u URL--dbms=DBMS --time-sec=TIMESEC --technique=T --threads=THREADS ...
细说——sqlmap
LainWith的博客
11-20 4651
目录一些地址关于SQLmap5种漏洞检测技术更多sqlmap参数常用命令指定某个url进行测试GET型POST型需要登录cookie型指定测试的参数检测cookie注入参数拆分字符从文件中加载HTTP请求测试GET型POST型从文本中获取多个目标扫描从谷歌引擎搜索结果扫描测试时常用的参数指定参数指定数据库指定数据库服务器系统指定无效的大数字指定无效的逻辑注入payload列出数据时常用的参数数据库版本用户获取所有库当前数据库当前用户是否为管理员列数据库用户列出并破解数据库用户的hash列出数据库管理员权限列
SQL注入漏洞扫描---sqlmap
嘿嘿嘿
05-03 2217
数据库--数据表---字段---字段内容一站式识别
sqlmap入门到精通.pdf
11-21
sqlmap入门到精通.pdf》是一本介绍SQL注入工具sqlmap的综合性指南。该书从最基础的内容开始,先介绍了SQL注入的概念和原理,然后深入讲解了sqlmap工具的使用方法和技巧,最后逐步引导读者成为sqlmap的高级用户。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值