sqlmap的使用命令记录

最近新做的测评方案要做SQL注入检测,简单学习了下,记录一下。

1、无需安装,直接上官网下载解压,用python运行就可以。

2、测试是否存在注入点

解压目录下命令行执行

python sqlmap.py -u "http://192.168.1.150?id=111"

由于没有详细看sqlmap的原理,部分靠猜测,url链接一定是有?后面带参数的,因为参数会作为注入点测试。

因为一开始试了几个网站,没有成功的,一个有WAF,发包均有问题,一个test几个之后被forbidden访问了。后来想想可能是要带参数的,找了一个,可以执行。


3、通过爬取的数据包来进行注入检测

解压目录下命令行执行:python sqlmap.py -r search-test.txt -p password

search-test.txt为爬取到的要注入的数据包的内容,类似如下,password为数据包中要注入的参数



收集的链接:

1、sqlmap一些功能的使用命令

https://blog.csdn.net/zgyulongfei/article/details/41017493

2、通过爬取的数据包来进行注入检测

http://www.freebuf.com/sectool/2311.html

3、sqlmap.py执行时可以带的各项参数的说明使用

https://blog.csdn.net/zsf1235/article/details/50974194

阅读更多
个人分类: 终端安全
想对作者说点什么? 我来说一句

SQLMAP2018版本中文详解

2018年05月13日 24KB 下载

SQLmap使用指令详解

2012年06月12日 13KB 下载

没有更多推荐了,返回首页

不良信息举报

sqlmap的使用命令记录

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭