SQLmap的使用

最新推荐文章于 2024-04-13 19:25:01 发布
最新推荐文章于 2024-04-13 19:25:01 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: 渗透测试 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52180702/article/details/125506890
版权

SQLmap的使用

将文件下载解压后即可使用,免安装。然后进入到Sqlmap的目录下,在路径栏输入cmd进入到命令提示符窗口,然后输入python sqlmap.py,如果出现以下界面则可以正常使用了,如果没有出现,检查python程序的名字。

在这里插入图片描述

1.找注入点

​ get型 需要带参数

​ POST 需要带参数

​ cookie 需要登录,需要对应的账号密码

​ user_aggent

2.利用注入点

​ 获取数据库名,表名,字段名,数据

帮助文档

常用的命令:

​ 探测有哪些漏洞:python sqlmap.py -u URL

​ 默认确认:–batch 自动化测试,需要选择全部默认Y(诸如时间可能比较久)

​ 清除缓存:–purge

在这里插入图片描述

在这里插入图片描述

获取库名: --dbs

在这里插入图片描述

在这里插入图片描述

指定数据库名: -D

获取表面:–tables

在这里插入图片描述

在这里插入图片描述

指定表名:-T

获取字段名:–columns

在这里插入图片描述

在这里插入图片描述

获取数据:–dump(拖库(无授权情况下禁止使用))

在这里插入图片描述

在这里插入图片描述

-u:指定URL

-p:指定注入点

挖SRC到数据库名就可以提交了,不要继续往下。不要使用dump,否则包吃住。

测试多目标(GET型):python sqlmap.py -m test.txt

-m:指定目标文件

测试POST型注入:python sqlmap.py -r test.txt

-r:指定要测试的数据包

SQL注入漏洞寻找及提交

通过谷歌搜索引擎寻找

sql常见的特征: ?id=1 ?xxx=xxx

谷歌黑客语法: inurl:?id=1 inurl:?id=1 公司 inurl:?id=1产品

提交:

1.SRC(Security Response Center)是安全研究者反馈厂商产品和业务安全问题的官方平台。该平台旨在加强厂商与安全业界的合作,提升厂商整体安全水平,打造健康安全的互联网出行生态。

2.公益SRC是白帽子随机发现的漏洞提交漏洞盒子平台。

3.教育行业漏洞报告平台。

旨在加强厂商与安全业界的合作,提升厂商整体安全水平,打造健康安全的互联网出行生态。

2.公益SRC是白帽子随机发现的漏洞提交漏洞盒子平台。

3.教育行业漏洞报告平台。

游子无寒衣
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SQLMAP使用笔记.pdf
01-25
SQLMAP 使用笔记 SQLMAP 是一个开源的渗透测试工具,用于检测和利用 SQL 注入漏洞。下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> ...
sqlmap使用详解(1)
臭nana的博客
03-08 1103
1.更新语句sqlmap .py--updata 速度较慢,建议去官网http://www.sqlmap.org 2.用的时候前面记得加上-- sqlmap.py -h 查看帮助选项 常用的: is-dba 当前用户权限 dbs 所有数据库 current-db 网站当前数据库 users 所有数据库用户...
windows下sqlmap清除缓存记录
good good study
07-26 1万+
有时候,我们需要使用sqlmap对某个站点进行多次sql注入测试,测试完一遍然后修复然后再测试。但是当sqlmap成功注入一遍后,你再次测试的时候sqlmap使用的还是原来的缓存记录,这样我们就不好判断我们对站点的修复是否有效。所以我们需要学习下怎么删除缓存 如下,第二次注入的时候,漏洞明明修复了,但是它直接从缓存中读取漏洞,不直接进行测试,最下面也给出了缓存的记录,我们打开该文件夹 AppData\Local\sqlmap\output\192.168.200.13,将其中的session.sq.
sqlmap 通关sqli—labs less 1-10
最新发布
zzxyccxc的博客
04-13 283
2.用 sqlmap 工具注入完毕后,C 盘 AppData 文件夹下会有缓存文件夹,不删掉的话会影响 SQL 注入结果,可用sqlmap.py --purge清理缓存。1.在实际检测过程中,sqlmap 会不停的询问,需要手工输入Y/N来进行下一步操作,可以使用参数。less 02-less 09和上面一样,修改完url跑出表名即可。2.使用 --current-db 可以爆出当前数据库名。3.爆出security数据库下的所有表。4.爆出users表下的所有字段。1.爆出所有数据库名。
sql-map 工具使用教程
m0_65096687的博客
10-29 1362
这里主要是编辑$dbpass='';这里,写phpstudy的数据库密码。下载后放在phpstudy/www/ 目录下。更改文件用记事本编辑db-creds.inc。7.mysql的登录账户和密码。1.清除sqlmap缓存。6.列出所有使用过的账户。2.检测注入点是否可用。4.暴当前使用数据库。5.暴当前使用的账户。8.列出数据库中的表。
SQLMap的基本使用-靶场墨者学院(DB2数据库)
T1ngSh0w的博客
09-10 4992
SQLMap使用讲解
sqlmap常用命令
weixin_52385170的博客
10-19 2382
sqlmap常用命令
SQLmap使用总结
Alexz__的博客
02-15 3608
1.简介 2.说明书翻译 3. 基础命令汇总 4.基础命令尝试 5.高级用法 壹 sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQLServer、IBM DB2、SQLite、Firebird、Sybase和...
SQLMAP深入分析-使用篇(基础使用、进阶命令、tamper脚本)
热门推荐
Love&Share
12-29 2万+
文章目录使用篇基础命令进阶命令输出信息的详细程度目标指定连接时信息指定注入参数指定检测级别指定注入类型枚举信息用例指定数据包注入伪静态注入暴力破解文件操作执行命令UDF提权有状态带外连接:Meterpreter & friends访问 Windows 注册表常规选项Tamper脚本tamper 适用的数据库类型 & 版本自带tamper介绍代码分析攻防 学安全的都知道这个注入神器 Sqlmap,也正是这些神器的出现,我们逐渐变成了“脚本小子”,要想变成大佬,就要求不仅会用还会写,在面试中也.
sqlmap使用介绍
06-22
详细分析了sqlmap工作原理,指令使用方法,并给出常用示例
sqlmap使用说明.pptx
04-02
介绍了 渗透测试工具 sqlmap使用方法。 对sqlmap -tamper 脚本的使用进行了演示。 burpsuite中sqlmap的插件进行了简单的介绍。
sqlmap操作指南
06-02
sql操纵指南sql操纵指南sql操纵指南sql操纵指南sql操纵指南sql操纵指南sql操纵指南sql操纵指南
sqlmap使用手册
12-11
对于Web安全研究人员和CTF(Capture The Flag)初学者来说,掌握SQLMap使用是提升技能的重要一步。 **核心功能** 1. **检测SQL注入**: SQLMap通过一系列智能探测方法,识别网站是否存在SQL注入漏洞。它能快速...
sqlmap使用手记
06-01
sqlmap使用手记sqlmap使用手记sqlmap使用手记sqlmap使用手记sqlmap使用手记
sqlmap使用总结1
08-03
10. **实战技巧**:在实际使用中,了解不同场景下如何调整参数、理解不同注入模式的原理以及如何绕过防御机制,是提高SQLMap使用效果的关键。 总之,SQLMap是一个功能强大的工具,它的高效性和灵活性使得它在渗透...
Sqlmap使用手册中文版
01-13
学习使用Sqlmap,除了阅读其官方文档和用户手册,还可以配合像sqli-labs这样的实验系统进行实践。用户手册详尽地介绍了Sqlmap的所有选项和开关,提供了丰富的实例,帮助用户理解和掌握如何有效使用这个工具。 当...
sqlmap 清除缓存记录
lieren123567的博客
05-07 1万+
项目场景: sqlmap注入 问题描述: 在sqlmap进行注入时会有缓存记录在 /root/.local/share/sqlmap/output 目录中 解决方案: 在新的注入时应删除缓存记录在进行注入 删除 /root/.local/share/sqlmap/output目录下的缓存文件 rm -rf /root/.s...
史上最详细sqlmap入门教程
weixin_44867191的博客
05-16 9926
最近做安全测试,遇到了SQL盲注的漏洞,从发现漏洞,确认漏洞,协助开发复现漏洞,验证漏洞一整套流程下来,有了亿点点收获,下面分享给大家,希望对软件测试同学有所启发,难度不大,小白看完也能上手的那种。
sqlmap使用教程
LFY2087701967的博客
04-10 699
总结如果命令是多个字母就用 -- 例如--dbs,--tables。单个字母就用-u,-r 等。删除缓存带cookie的注入:-r指定文件名和路径自动选择y/nsqlmap.py –update 更新sqlmapsqlmap.py -h 查看帮助sqlmap.py -version 查看版本sqlmap.py -u url 这里的-u参数就是注入点sqlmap.py -u url –is-dba 当前用户权限 返回True的话为管理员–dbs 列出所有数据库
sqlmap 使用指令
09-22
sqlmap 是一款常用的自动化 SQL 注入工具,它可以帮助检测和利用 SQL 注入漏洞。下面是一些常用的 sqlmap 使用指令: 1. 扫描目标网站是否存在 SQL 注入漏洞: `python sqlmap.py -u <URL>` 例如:`python sqlmap.py -u http://www.example.com/index.php?id=1` 2. 检测目标网站是否存在 SQL 注入漏洞,并获取数据库类型: `python sqlmap.py -u <URL> --dbs` 例如:`python sqlmap.py -u http://www.example.com/index.php?id=1 --dbs` 3. 指定目标数据库进行注入测试: `python sqlmap.py -u <URL> --dbms <database>` 例如:`python sqlmap.py -u http://www.example.com/index.php?id=1 --dbms mysql` 4. 指定目标注入点进行注入测试: `python sqlmap.py -u <URL> --dbms <database> --level <level> --risk <risk>` 例如:`python sqlmap.py -u http://www.example.com/index.php?id=1 --dbms mysql --level 2 --risk 3` 5. 获取目标数据库的所有表: `python sqlmap.py -u <URL> --dbms <database> -D <database_name> --tables` 例如:`python sqlmap.py -u http://www.example.com/index.php?id=1 --dbms mysql -D database_name --tables` 这只是 sqlmap 的一些基本指令,实际使用中还有更多高级功能和选项可供选择。在使用 sqlmap 时,你需要确保已经获得了授权来测试目标网站。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游子无寒衣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值