sqlmap的使用命令记录

最新推荐文章于 2024-07-27 12:11:56 发布
最新推荐文章于 2024-07-27 12:11:56 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 终端安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaokui9/article/details/80352690
版权

最近新做的测评方案要做SQL注入检测,简单学习了下,记录一下。

1、无需安装,直接上官网下载解压,用python运行就可以。

2、测试是否存在注入点

解压目录下命令行执行

python sqlmap.py -u "http://192.168.1.150?id=111"

由于没有详细看sqlmap的原理,部分靠猜测,url链接一定是有?后面带参数的,因为参数会作为注入点测试。

因为一开始试了几个网站,没有成功的,一个有WAF,发包均有问题,一个test几个之后被forbidden访问了。后来想想可能是要带参数的,找了一个,可以执行。


3、通过爬取的数据包来进行注入检测

解压目录下命令行执行:python sqlmap.py -r search-test.txt -p password

search-test.txt为爬取到的要注入的数据包的内容,类似如下,password为数据包中要注入的参数



收集的链接:

1、sqlmap一些功能的使用命令

https://blog.csdn.net/zgyulongfei/article/details/41017493

2、通过爬取的数据包来进行注入检测

http://www.freebuf.com/sectool/2311.html

3、sqlmap.py执行时可以带的各项参数的说明使用

https://blog.csdn.net/zsf1235/article/details/50974194

xiaokui9
关注
专栏目录
Sqlmap命令大全
学习、分享、交流
05-26 2万+
Sqlmap:开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能 够查看数据,文件系统访问,甚至能够操作系统命令执行。
sqlmap常用命令
Bu2n的博客
12-15 2000
SQLmap命令选项目标请求智能化注入检测技巧手指印枚举*暴力破解用户定义函数注入文件系统访问操作系统访问Windows注册表访问常规杂项SQLmap常用命令指定目标测试条件查询内容执行CMD命令sqlmap命令改别名 SQLmap命令 选项 -h, --help Show basic help message and exit -hh Show advanced help message and exit –version .
SQLMAP 命令详解
安全苦行僧
05-30 415
SQLMAP 命令详解 Options(选项):–version 显示程序的版本号并退出-h, –help 显示此帮助消息并退出-v VERBOSE 详细级别:0-6(默认为 1)Target(目标):以下至少需要设置其中一个选项,设置目标 URL。-d DIRECT 直接连接到数据库。-u URL, –url=URL 目标 URL。-l LIST...
Sqlmap常用命令总结
最新发布
网安小白
07-27 709
id=x" 【查询是否存在注入点--dbs 【检测站点包含哪些数据库3. --current-db 【获取当前的数据库名--tables -D "db_name" 【获取指定数据库中的表名 -D后接指定的数据库名称5. --columns -T "table_name" -D "db_name" 【获取数据库表中的字段。
sqlmap使用记录
zaqwescsdn的博客
06-18 531
sqlmap使用记录 编号 语句 说明 1 sqlmap -u “目标url” –dbs 列数据库 2 sqlmap -u “目标url” -D 数据库名 –tables 列表 3 sqlmap -u “目标url” -D 数据库名 -T 表名 –columns 列字段 4 sqlmap -u “目标url” -D 数据库名 -T 表名 –dum
sqlmap命令详解
Pitbull2014的博客
12-20 1184
cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sq...
sqlmap命令大全
02-22
什么是SQLmapSQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令
SQLMAP使用笔记.pdf
01-25
SQLMAP 使用笔记 SQLMAP 是一个开源的渗透测试工具,用于检测和利用 SQL 注入漏洞。下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> ...
sqlmap使用手册
12-11
5. **数据库操作**: 支持执行任意SQL命令,如修改数据、删除记录、创建新表等。 6. **盲注处理**: 对于无法直接返回结果的盲注情况,SQLMap也能有效应对,通过时间延迟或布尔值判断来探测注入点。 7. **命令注入**...
sqlmap注入命令详解
08-19
本文将详细介绍SQLMap的基本使用方法和常见命令选项。 #### 二、基本步骤 1. **获取当前用户名称** `sqlmap -u "http://url/news?id=1" --current-user` 此命令用于获取目标数据库当前的用户名。 2. **获取...
sqlmap使用手册集合
06-10
3. 文件系统访问:在某些情况下,SQLMap可以读取服务器文件系统,甚至执行远程命令。 七、防护与防御 1. 输入验证:对用户输入进行严格的过滤和校验,防止恶意SQL代码进入数据库。 2. 参数化查询:使用预编译的SQL...
SQLmap命令大全
mmxhappy的专栏
01-25 2158
-delay=DELAY 在每个HTTP请求之间的延迟时间,单位为秒 --delay 0.5。--dbms=DBMS 强制后端的DBMS为此值 如:--dbms "Mysql"--proxy=PROXY 使用HTTP代理连接到目标URL --proxy。--random-agent 使用随机选定的HTTP User - Agent头。此外,您还可以运行您自己。--user-agent=AGENT 指定 HTTP User - Agent头。
SQLMap使用记录
soldi_er的博客
06-22 716
文章目录踩坑记录 踩坑记录   耗时60分钟的踩坑:SQLMap的缓存机制。 SQLMap设计了缓存机制,如果网站曾经测试过,那么SQLMap不会重新测试,而是读取缓存即历史的测试结果。所以对修复的网页进行测试,必须使用参数--flush-session清除缓存。 ...
作业二
weixin_43125060的博客
02-02 303
一.了解sql注入内容 二.使用phpstudy,sqlilabs搭建注入环境 phpstudy安装查看工具中相关链接,然后在GitHub上面下载Sqli-labs的zip包。 Sqli-labs注入环境搭建 将下载好的Sqli-labs的压缩包解压在phpstudy的网站根目录下,可以根据phpstudy客户端点击进入。 Sqli-labs注入环境搭建 配置sqli-labs的数据库,phpst...
SQLMap基本使用命令
longtangbin的博客
10-15 262
SQLMap基本使用命令 基础用法 $ sqlmap.py -u “注入地址” -v 1 --dbs // 列举数据库 $ sqlmap.py -u “注入地址” -v 1 --current-db // 当前数据库 $ sqlmap.py -u “注入地址” -v 1 --users // 列数据库用户 $ sqlmap.py -u “注入地址” -v 1 --current-user // 当前用户 $ sqlmap.py -u “注入地址” -v 1 --tables -D “数据库”
sqlmap基本命令
武恩赐
04-28 1302
判断是否存在注入 sqlmap -u url 当注入点后面的参数大于等于两个时,url需要加双引号 查询当前用户下的所有数据库 sqlmap -u url –-dbs 用于查询当前用户下的所有数据库,前提是当前用户有权限读取包含所有数据库列表信息的表 获取数据库中的表名 sqlmap -u url -D 数据库名 –-tables -D是指定某一个具体的数据库,如果没有指定,则会列出数据库中所有的库的表 获取表中的字段名 sqlmap -u URL -D 数据库名 -T 表名 –-columns 获
Sqlmap基础使用命令
weixin_42087160的博客
07-19 151
一,Sqlmap 注入 1,检查目标是否可以注入 C:\sqlmap> sqlmap.py -u http://192.168.1.1/index.php?id=1 2,查出所有数据库 C:\sqlmap> sqlmap.py -u http://192.168.1.1/index.php?id=1 --dbs 3,查询出当前web系统所使用多数据库信息 C:\sqlmap> sqlmap.py -u http://192.168.1.1/index.php?id=1 --curren
sqlmap简单使用命令
weixin_36829246的博客
03-27 344
一、sqlmap常用基础命令 sqlmap Common operation command 以下命令顺序即为sql注入常见步骤。 sqlmap -u [“url”] --dbs #获取数据库 sqlmap -u [“url”] --current-user #获取当前用户名称 : sqlmap -u [“url”] --current-db #获取当前数据库名称 sqlmap -u [“url”...
sqlmap的学习使用记录
RealIiikun的博客
04-07 76
这篇文章写得好,看这篇。
sqlmap清除历史记录
09-07
要清除sqlmap历史记录,你可以按照以下步骤操作: 1. 打开终端或命令提示符窗口。 2. 导航到sqlmap的安装目录。 3. 执行以下命令来清除历史记录: ``` python sqlmap.py --purge ``` 这将删除sqlmap保存的所有历史记录和配置文件。 请注意,执行此命令将清除所有保存的配置和历史记录,包括目标URL、cookie、HTTP头等信息。确保在执行此操作之前备份任何重要的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值