kali中的sqlmap的使用

已于 2023-12-01 13:09:18 修改
阅读量898 收藏 10
点赞数 2
文章标签: 安全
于 2023-12-01 12:12:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yishuihanwyf/article/details/134730529
版权

SqlMap简介:sqlmap是一款自动化的sql注入测试工具,可更加简介的验证和利用sql注入漏洞,并且能对一些限制进行绕过,kali中已经集成了sqlmap。

首先搭建好我们的dvwa,进行登录

将漏洞等级调整到低级

选择SQL Injection并在输入框中输入要查询的UserId:

点击Submit提交后查询出结果并拿到url地址

下面打开kali 打开命令行界面

输入 sqlmap -u "http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1&Submit=Submit#" 双引号中就是刚刚的url地址 ,注意,这里的ip也就是127.0.0.1需要换成你安装dvwa的主机上的ip,可使用ipconfig查询

由于dvwa是登录之后才能进行,所以需要给sqlmap一个登录凭证(cookie),证明已经登录过,不需要再进行登录操作,在刚刚dvwa页面中按F12打开开发者工具,并点击网络,没有网络选项的可点击>>找到

此时点击网页刷新按钮页面会出现刚刚url的一些请求信息

单击之后找到cookie

复制该cookie,然后再kali中刚刚输入的命令后面加上--cookie,也就是sqlmap -u "http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="你的cookie"   注意kali中不能使用ctrl+v 可使用鼠标右键再点击paste selection,输入完成之后直接回车运行

一下这些就是改注入点暴露的一些sql注入漏洞

若想查询数据库信息可在刚刚的命令后加上--dbs

sqlmap -u "http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=6j8usjnm4v4i8mr3c9k9erdoqt" --dbs

回车执行查到数据库相关信息

并可使用-D选择数据库来查询表信息

sqlmap -u "http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=6j8usjnm4v4i8mr3c9k9erdoqt" -D dvwa --tables

查询字段具体内容可在后面加入--dump

sqlmap -u "http://127.0.0.1/DVWA-master/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=6j8usjnm4v4i8mr3c9k9erdoqt" -D dvwa -T users --dump


图中涉及到md5加密可在线解密

以上是kali中sqlmap的简单试用,跟windows中sqlmap的使用类似。

会用鼠标的猴子
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
kali使用sqlmap进行sql注入
xv66666的博客
07-26 879
1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面。4、联合查询注入,可以使用union的情况下的注入。5、堆查询注入,可以同时执行多条语句的执行时的注入。
如何在kali Linux使用sqlmap工具
gaomei2009的专栏
06-20 1731
post请求参数为 uname=admin*&passwd=test&submit=Submit。第一步:先判定kali Linuxsqlmap能够正常使用。在kali linux使用sqlmap,如上图。先遍历出数据库类型和所有的表。第二步:抓取某个页面的登陆数据包,如下。指定数据库表名sql10051008。
kali工具sqlmap使用教程
qq_52805176的博客
07-13 3825
渗透测试工具sqlmap的简单使用
kali基于sqlmap使用
ztK63LrD的博客
04-27 8820
kaliSQLmap
kali工具SQLmap基本使用方法流程以及命令解析
FRANXX_02的博客
10-06 5808
kali工具SQLmap基本使用方法流程以及命令解析
kali-sqlMap使用技巧
HKkkkkSky的博客
09-20 735
SQL 注入是一种代码渗透技术,是最常用的网络黑客技术之一。SQL 注入非常危险,可能会导致数据库的数据被暴露,甚至被损坏。
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
2. 自动注入:攻击者使用工具来自动构造 SQL 语句来访问或修改数据库的数据。 二、SQL 注入分类 SQL 注入可以分为两种: 1. 编译时注入:攻击者在编译时inject恶意代码。 2. 运行时注入:攻击者在运行时inject...
kali linux 下sqlmap注入ACCESS数据库.doc
03-04
在本文,我们详细介绍了如何使用 Kali Linux 下的 SQLmap 注入 ACCESS 数据库。我们首先介绍了数据库安全和 SQL 注入的概念,然后详细介绍了 SQLmap 的功能和使用方法。最后,我们使用 SQLmap 实践了 ACCESS ...
使用sqlmap+burpsuite进行级sql注入
06-01
在命令行,我们使用`sqlmap`命令来读取`zyllmn.txt`文件,初步探测数据库: ``` root@kali:~# sqlmap -r zyllmn.txt --dbs ``` 这条命令会尝试列举出服务器上可用的数据库。如果成功,它将显示数据库列表。 ...
Sqlmap获取用户名与服务器.docx
04-14
在检测到 SQL 注入漏洞后,我们可以使用 Sqlmap 工具来检测目标数据库系统的所有数据库。命令如下: `sqlmap -u http://tunesoman.com/product.php?id=200 --dbs` 该命令将检测目标数据库系统的所有数据库,并...
kali-sql.pptx
09-19
sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库存储的数据,访问...
kali linux下sqlmap使用教程
热门推荐
龙卷风摧毁停车场
03-30 1万+
SQLMAP 有windows和linux两个版本使用,可跨系统进行操作,语法参数都相同,此处以kali linux为例进行操作 sqlmap --version 查看sqlmap版本 sqlmap -h 查看sqlmap帮助 sqlmap -hh 查看sqlmap高级帮助 使用sqlmap连接数据库 查看数据库banner信息 sqlmap -d "mysql://root:123456@47.208.229.216:3306/tiantianbao" -f --banner 查看数据库用户 sql
sqlmapkali的应用及ctfhub实战
2301_77004573的博客
07-08 1308
工具一把嗦固然方便,但仍不能忽视对原理的理解,毕竟常有sqlmap跑不出来的题目,为了检验自己对sql注入的掌握情况,之后也会补一篇手工注入的文章。
sqlmap 使用笔记(kali环境)
最新发布
qq_40691438的博客
02-10 1783
sqlmap默认把session文件跟结果文件保存在output文件夹下,用此参数可自定义输出路径 例如:–当请求是HTTPS的时候,需要配合–force-ssl参数来使用,或者可以在Host头后面加上:443。在有些时候web服务器使用了伪静态,导致无法直接使用sqlmap测试参数,可以在想测试的参数后面加*用–os-shell参数也可以模拟一个真实的shell,可以输入你想执行的命令。输出的格式可定义为:CSV,HTML,SQLITE。参数:–os-cmd,–os-shell。文件内容直接copy。
kali sqlmap使用笔记
N1ce_peter的blog
05-16 1028
kali sqlmap使用笔记一、-u 判断数据库类型二、获取目标所有数据库。功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 参考资料 https://www.cnblogs.com/aeolian/p/11021796.html
Kali-工具-sqlmap常见用法
weixin_44257023的博客
07-19 2862
Kali-工具-sqlmap常见用法
渗透工具——kaliSQLMap简介
2301_78006725的博客
09-02 792
首先,SQLMap是一个自动化的SQL注入工具,其主要功能是扫描、发现、利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库有MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB。3. 基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面;4. 联合查询注入,可以使用union的情况下的注入;
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 5928
安全等级调为low进入SQL Injection(Blind)页面。
kali linux之sqlmap
weixin_30410999的博客
03-02 476
一款开源的命令行自动SQL注入工具,它能够对多种主流数据库进行扫描支持,基于Python环境。 检测动态页面get/post参数,cookie,http头 数据榨取/文件系统访问 操作系统命令执行 引擎强大,特性丰富 xss检测 支持主流的数据库 五种漏洞检测技术: 基于布尔的盲注检测 基于时间的盲注检测( 'and (select(sleep(20)))a)-- ...
kalisqlmap使用教程
09-12
要在Kali使用sqlmap,可以按照以下步骤进行操作: 1. 首先,确保已经安装了Kali虚拟机,并打开虚拟机。 2. 打开终端,输入以下命令来运行sqlmap工具: ``` sqlmap -U target website --dbs ``` 这个命令将会获取目标网站的所有数据库名。请注意,将"target website"替换为你要测试的网站的URL。 3. 扫描到数据库系统后,我们可以继续获取表。对于特殊的数据库系统,比如Microsoft Access,可以使用以下命令来获取表名: ``` sqlmap -U target website --tables ``` 这个命令将会获取数据库的所有表名。 需要注意的是,使用sqlmap时,请参考官方手册以获取详细的使用方法和参数说明。同时,在获取数据库名和表名时,请遵循原始的字母大小写,不要进行修改。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值