sqlmap的使用命令记录

版权声明:著作权归作者所有,任何形式的转载都请注明出处。 https://blog.csdn.net/xiaokui9/article/details/80352690

最近新做的测评方案要做SQL注入检测,简单学习了下,记录一下。

1、无需安装,直接上官网下载解压,用python运行就可以。

2、测试是否存在注入点

解压目录下命令行执行

python sqlmap.py -u "http://192.168.1.150?id=111"

由于没有详细看sqlmap的原理,部分靠猜测,url链接一定是有?后面带参数的,因为参数会作为注入点测试。

因为一开始试了几个网站,没有成功的,一个有WAF,发包均有问题,一个test几个之后被forbidden访问了。后来想想可能是要带参数的,找了一个,可以执行。


3、通过爬取的数据包来进行注入检测

解压目录下命令行执行:python sqlmap.py -r search-test.txt -p password

search-test.txt为爬取到的要注入的数据包的内容,类似如下,password为数据包中要注入的参数



收集的链接:

1、sqlmap一些功能的使用命令

https://blog.csdn.net/zgyulongfei/article/details/41017493

2、通过爬取的数据包来进行注入检测

http://www.freebuf.com/sectool/2311.html

3、sqlmap.py执行时可以带的各项参数的说明使用

https://blog.csdn.net/zsf1235/article/details/50974194

阅读更多

没有更多推荐了,返回首页