Sqlmap对pikachu的GET请求注入漏洞测试

最新推荐文章于 2024-04-15 16:24:07 发布
最新推荐文章于 2024-04-15 16:24:07 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62943062/article/details/125748691
版权

目录:

            一.sqlmap注入原理

            二.  Sqlmap功能

            三.sqlmap语句

            四. 前置条件

            五.Sqlmap对pikachu的GET请求注入漏洞测试过程

    

sqmap注入原理:

   SQLMap是一个开放源码的***测试工具,它可以自动探测和利用SQL注入漏洞来接管数据库服务器。

       它配备了一个强大的探测引擎,为最终***测试人员提供很多猥琐的功能,可以***,可以访问底层的文件系统,还可以通过带外连接执行操作系统上的命令。

Sqlmap功能:

         sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。sqlmap的功能强大到让你惊叹,常规注入工具不能绕过的话,终极使用sqlmap会有意想不到的效果。

      1、判断可注入的参数

      2、判断可以用那种SQL注入技术来注入

      3、识别出哪种数据库

      4、根据用户选择,读取哪些数据

      5、可执行情况

      6、当前数据库用户名称和拥有的权限

      7、发现WEB虚拟目录

      8、上传***getshell

     9、绕过防火墙

Sqlmap常用语句:

  1. sqlmap -u "xxxxxx"   //查询是否存在注入点  //xxxxxx为网址

  2. --dbs   //检测站点包含哪些数据库

  3. --current-db   //获取当前的数据库名

  4. --tables -D "db_name"   //获取指定数据库中的表名 -D后接指定的数据库名称

  5. --columns -T "table_name" -D "db_name"   //获取数据库表中的字段

  6. --dump -C "columns_name" -T "table_name" -D "db_name"   //获取字段的数据内容

四.前置条件:          

       环境准备:

       java环境:jdk1.8

      数据库: Mysql.5.6

      小皮: php

最低0.47元/天 解锁文章
爱学习的归期
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Pikachu靶场——SQL注入漏洞
来日可期的博客
10-06 1561
SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。
sqlmap工具基本使用(检测sql注入
m0_37570494的博客
01-25 6119
sqlmap的用户手册: sqlmap是python2进行运行的,如果要直接使用,需要把sqlmap设置到环境变量中: sqlmap主要用于sql注入方面的异常检测 Mysql数据库 1、先检测是否可以注入,先判断是否可以正常注入sqlmap -u url -v 3 里面有个注意的点url后面必须是可注入的参数?id=之类的,否则url检测会有问题 对于某些今天url可以在/a/b*.html尝试加入*号来进行此路径内的检测 2、爆库 sqlmap.py -u http://...
Pikachu靶场——文件上传漏洞_pikachu文件上传漏洞(1),2024年最新实战分析
最新发布
erthre的博客
04-15 767
​ 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞
sqlmap)【sqli-labs靶场1-4】GET请求、错误注入、单引号、双引号、括号闭合、字符型、整型
05-26 953
【sqllabs靶场】sqlmap
SQLmap 扫描工具的使用
m0_61990875的博客
10-21 2792
sqlmap的使用方法
漏洞平台之pikachu详细图文搭建教程
安全界的彭于晏的博客
06-12 3211
1 pikachu-master.zip复制到www目录并解压 2 浏览器输入ip+端口+地址访问服务 http://192.168.31.145:90/pikachu/ 3 点击初始化进行安装 4 准备好环境,点击安装初始化 5 初始化完成后,提示数据库连接成功,点击“点击这里”进入首页 ...
sqlmap注入漏洞测试
02-22
SQLMap 注入漏洞测试 在 Web 应用程序中, SQL 注入是一种常见的安全漏洞,它可以让攻击者访问和控制数据库中的敏感数据。SQLMap 是一款自动化的 SQL 注入工具,它可以检测和利用 SQL 注入漏洞,以获取数据库中的...
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
sqlmap中文手册-sql注入自动化测试工具
07-19
sql注入自动化测试工具sqlmap的操作手册,中文版,值得拥有哦。Web安全测试必备工具。
SQLMap完成安全测试
03-03
sqlmap是一个开源的渗透测试工具,它可以自动化检测和利用SQL注入漏洞并接管数据库服务器。它有一个强大的检测引擎,许多适合于终极渗透测试的良好特性和众多的操作选项,从数据库指纹、数据获取到访问底层文件系统...
sqli-exploiter:利用sqlmap找不到SQL注入漏洞的工具
05-17
出于利用sqlmap找不到SQL注入漏洞的需要而产生的。 始终先尝试sqlmap。 它是高度可定制的,并且仅在非常复杂的注入情况下才会失败。 但是,当它确实失败时,请使用它。 享受! -蒂姆(@ lanmaster53)Tomes 入门 ...
Pikachu靶场通关笔记--Sql Inject(SQL注入)
weixin_45908624的博客
12-09 2790
sql注入
pikachu-数字型注入-方法一之:sqlmappikachu数字型注入
wjwqp的专栏
03-01 2722
pikachu-数字型注入-(方法一)之sqlmappikachu数字型注入pikachu-数字型注入-(方法二)之BurpSute (pikachu数字型注入)另附 题目链接:http://127.0.0.1/pikachu-master/vul/sqli/sqli_id.php 题目来源:pikachu-->SQL-inject-->数字型注入(post) 任意...
Pikachusqlmap注入实战---数字型注入
永不垂头的博客
08-06 971
Pikachusqlmap注入实战—数字型注入 笔者这里以数字型注入为例进行详细展示: ①任意提交数据,使用bp抓包得到post方式提交的参数为 id=1&submit=%E6%9F%A5%E8%AF%A2 使用sqlmap跑post方式时的格式:python2 sqlmap.py -u “” --data="<post提交的参数>" -<参数> 使用sqlmap跑数据库 sqlmap.py -u “http://127.0.0.1/pikachu-master/vul/
pikachu注入漏洞演示3
weixin_44722125的博客
04-04 1078
sql-inject 漏洞-盲注 盲注: 基于真假的盲注 先用字符串测试一下 发现不行 再试试 因为kobe存在,and 1=1为真 所以被写入后台,所以存在sql注入 用之前基于报错的payload来试一下 kobe’ and extractvalue(0,concat(0x7e,version()))# 不行 ...
实验20:sqlmap工具使用入门及案例介绍
qq_44720671的博客
04-15 231
sqlmap工具使用入门 我之前写过一篇sqlmap的基本入门,那个是以墨者学院的靶场为例,这里我们用pikachu重新演示一下。 打开sqlmappikachu的字符型注入。 在pikachu的输入框中随意输入数字,使其出现注入点 在sqlmap中输入python sqlmap.py -u “http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?n...
SQLmap————6、搜索型注入
Fly_鹏程万里
05-04 1916
参数—————— -gsqlmap可以测试注入Google的搜索结果中的Get参数(只获取前100个结果)例如:sqlmap -g "inurl:php?eid="如果可以注入,那么之后和常规一样,通过“--dbs\--tables\--columns\--dump”直接获取数据库名、表名、列名、字段名等等。这里就不再一一罗列了!...
Pikachu漏洞练习平台之SQL注入
ranuy阮的博客
02-27 1942
0x00 Pikachu Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 项目地址:https://github.com/zhuifengshaonianhanlu/pikachu 0x01 数字型注入(post) 界面如下 使用burpsuite抓包 POST /pikachu/vul/sqli/sqli_id.php HTTP/1.1 Host: 127.0...
基于python的漏洞扫描检测系统
12-14
基于Python的漏洞扫描检测系统是一种可以自动化地发现和报告系统中存在的安全漏洞的工具。它通过扫描系统中的网络、应用程序和操作系统,识别其中的漏洞并提供报告。Python作为一种高效而且易于学习的编程语言,在开发这种系统时具有很大的优势。 基于Python的漏洞扫描系统可以利用Python的丰富的库和模块来实现漏洞扫描功能。例如,使用requests库进行网络请求,使用BeautifulSoup库解析HTML页面,使用socket库进行端口扫描等。此外,Python还拥有强大的第三方库,如Scapy用于网络分析和socket编程,以及Nmap用于端口扫描。 该系统可以通过编写Python脚本来自定义各种漏洞扫描规则和检测方法,实现对不同类型漏洞的检测。同时,由于Python的易读性和灵活性,可以很容易地将新的漏洞检测算法集成到系统中。 另外,Python还可以与其他安全工具进行整合,比如与Metasploit、Nessus等工具进行数据交换和结果集成,增强漏洞扫描系统的功能和灵活性。 综上所述,基于Python的漏洞扫描检测系统具有高效、灵活和易扩展的特点,能够帮助系统管理员和安全专业人士更好地发现并解决系统中的安全漏洞问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱学习的归期

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值