SqlmapAPI调用实现自动化SQL注入安全检测

已于 2023-12-14 12:55:05 修改
阅读量1.1k 收藏 8
点赞数 9
分类专栏: # Ptyhon安全开发 文章标签: python 自动化 sql
于 2023-11-29 17:23:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaosong_/article/details/134695079
版权

文章目录


应用案例:前期通过信息收集拿到大量的URL地址,这个时候可以配置sqlmapAP接口进行批量的SQL注入检测 (SRC挖掘)

查看sqlmapapi使用方法

python sqlmapapi.py -h

启动sqlmapapi 的web服务:

在这里插入图片描述

任务流程:

1.创建新任务记录任务ID          @get("/task/new"))
2.设置任务ID扫描信息           @post("/option/<taskid>/set")
3.开始扫描对应ID任务           @post ("/scan/<taskid>/start")
4.读取扫描状态判断结果          @get("/scan/<taskid>/status")
5.如果结束删除ID并获取结果      @get ("/task/<taskid>/delete")
6.扫描结果查看				@get("/scan/<taskid>/data")

简单使用

  • 1.创建新任务记录任务ID
import requests

# 1.创建新任务记录任务ID
task_new_url='http://127.0.0.1:8775/task/new'
response=requests.get(url=task_new_url)
print(response.json())

在这里插入图片描述

  • 2.设置任务ID扫描信息
import requests
import json
# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data={
    'url':'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers={
    'Content-Type':'application/json'
}
task_set_url='http://127.0.0.1:8775/option/'+taskid+'/set'
task_set_response=requests.post(url=task_set_url,data=json.dumps(data),headers=headers)
print(task_set_response.content.decode('utf-8'))

在这里插入图片描述

  • 3.开始扫描对应ID任务
import requests
import json

# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data = {
    'url': 'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers = {
    'Content-Type': 'application/json'
}
task_set_url = 'http://127.0.0.1:8775/option/' + taskid + '/set'
task_set_response = requests.post(url=task_set_url, data=json.dumps(data), headers=headers)
# print(task_set_response.content.decode('utf-8'))

##### 3.开始扫描对应ID任务
task_start_url='http://127.0.0.1:8775/scan/'+taskid+'/start'
task_start_data=requests.post(task_start_url,data=json.dumps(data),headers=headers)
print(task_start_data.content.decode('utf-8'))

在这里插入图片描述

这边任务id和上面不一样是因为我重启了服务

在这里插入图片描述

  • 获取扫描状态
import requests
import json

# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data = {
    'url': 'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers = {
    'Content-Type': 'application/json'
}
task_set_url = 'http://127.0.0.1:8775/option/' + taskid + '/set'
task_set_response = requests.post(url=task_set_url, data=json.dumps(data), headers=headers)
# print(task_set_response.content.decode('utf-8'))

# 3.开始扫描对应ID任务
task_start_url = 'http://127.0.0.1:8775/scan/' + taskid + '/start'
task_start_data = requests.post(task_start_url, data=json.dumps(data), headers=headers)
# print(task_start_data.content.decode('utf-8'))

# 4.读取扫描状态判断结果
task_scan_url = 'http://127.0.0.1:8775/scan/' + taskid + '/status'
task_scan_data = requests.get(task_scan_url)
print(task_scan_data.content.decode('utf-8'))

在这里插入图片描述

  • 查看结果

查看扫描结果是get请求,所以可以在浏览器中查看结果

在这里插入图片描述

在这里插入图片描述

上述代码,在每运行一次都会创建一个任务ID,所以需要进行代码优化

优化

import time

import requests, json


# 创建任务

def sqlmapapi(url):
    # 创建任务id
    task_new_url = 'http://127.0.0.1:8775/task/new'
    response = requests.get(url=task_new_url)
    taskid = response.json()['taskid']
    if 'success' in response.content.decode('utf-8'):
        print('sqlmapapi task create success !')
        data = {
            'url': url
        }
        headers = {
            'Content-Type': 'application/json'
        }
        # 设置 任务
        task_set_url = 'http://127.0.0.1:8775/option/' + taskid + '/set'
        task_set_response = requests.post(url=task_set_url, data=json.dumps(data), headers=headers)
        if 'success' in task_set_response.content.decode('utf-8'):
            print('sqlmapapi task set success !')
            # 扫描任务
            task_start_url = 'http://127.0.0.1:8775/scan/' + taskid + '/start'
            task_start_data = requests.post(task_start_url, data=json.dumps(data), headers=headers)
            if 'success' in task_start_data.content.decode('utf-8'):
                print('sqlmapapi task start success !')
                # 获取扫描状态
                while True:
                    task_status_url = 'http://127.0.0.1:8775/scan/' + taskid + '/status'
                    task_status_data = requests.get(task_status_url)
                    if 'running' in task_status_data.content.decode('utf-8'):
                        print('sqlmapapi task scan running .....')
                    else:
                        # 查看扫描结果
                        task_data_url = 'http://127.0.0.1:8775/scan/' + taskid + '/data'
                
                        task_data = requests.get(task_data_url)
                        print(task_data.content.decode('utf-8'))

                        break
                time.sleep(3)


if __name__ == '__main__':
    # url='http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
    for url in open('url.txt'):
        url = url.replace('\n', '')
        sqlmapapi(url)
过期的秋刀鱼-
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
探索 SQLMapAPI_PI:自动化SQL注入神器
gitblog_00024的博客
04-07 381
探索 SQLMapAPI_PI:自动化SQL注入神器 项目地址:https://gitcode.com/sowish/sqlmapapi_pi 在网络安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过构造恶意SQL语句来获取、修改或者删除数据库中的敏感信息。为了帮助安全研究人员和开发人员检测并防止这类漏洞,sqlmapapi_pi 应运而生。这是一个基于 PythonSQLMap ...
sqlmapsqlmapapi
十五年游戏主程转渗透之路
04-12 5819
sqlmapapi,,sqlmapapi二次封装原理和实操
sqlmapapi.py使用
最新发布
liangjiao_shou的博客
05-30 286
通过api接口调用实现自动化扫描,不然每个注入点,都需要我们手工的使用sqlmap;可以进行对个url扫描注入​ 参考:https://www.freebuf.com/articles/web/265908.html。
pythonsqlmapAPI-完成批量扫描
weixin_36591264的博客
12-15 1219
# Sqlmap API调用实现自动化SQL注入安全检测 # 调用API接口实现批量扫描 # 1.创建新任务记录任务ID @get("/task/new") # 2.设置任务ID扫描信息 @post("/option/<taskid>/set") # 3.开始扫描对应ID任务 @post("/scan/<taskid>/start") # 4.读取扫描状态判断结果 @get("/scan/<taskid>/status") # 5.扫描结果查看
三、SqlMap API
11-07 608
1、查询一个对象            Object queryForObject(string sql, Object parameter)      注意:需要返回对象有默认构造方法, 如果没有默认构造方法, 或者构造方法受保护, 使用下面这个API      Object queryForObje(String sql, Object parameter, Object re
python使用sqlmap API检测SQL注入
weixin_30608503的博客
05-26 267
0x00前言: 大家都知道sqlmap是非常强大的sql注入工具,最近发现他有个sqlmap API,上网查了一下。发现这是 sqlmap的微端。(可以叫做sqlmap在线检测sql注入= =) 0x001准备: 环境: Ubuntu 16.04 Python3 Python2 用到的库:requests,parform,os 0x002正文: 首先我们来启动sqlmap...
SQLMap API编程
03-06
ibatis相关的几个包 博文链接:https://imticg.iteye.com/blog/216840
第79天:Python开发-sqlmapapi&Tamper&Pocsuite1
08-03
SqlmapAPI调用实现自动化SQL注入安全检测 通过调用SqlmapAPI,我们可以将自动化安全检测集成到自己的Python项目中。例如,可以创建新的任务,设置任务ID,启动扫描,检查扫描状态,结束任务并获取结果。这极大地...
sqlmapproject-sqlmap-1.1.6-8
06-15
SQLMap是一款著名的开源自动化SQL注入工具,主要用于检测和利用网站应用程序中的SQL注入漏洞。它的功能强大,能够帮助安全研究人员和渗透测试人员有效地发现并利用数据库的潜在风险。在这个"sqlmapproject-sqlmap-...
Python 渗透测试:利用SQLmap API接口进行批量的SQL注入检测.(SRC挖掘)
网络安全领域___专研者.
05-24 7357
Python 开发学习的意义: (1)学习相关安全工具原理. (2)掌握自定义工具及拓展开发解决实战中无工具或手工麻烦批量化等情况. (3)在二次开发 Bypass,日常任务,批量测试利用等方面均有帮助.
sqlmap自动化脚本
03-27
自己用批处理写的一个sqlmap脚本,不用看手册输命令行了 大部分参数均可设置,也可以自己输入其他参数
SQLMapAPI介绍与实践(一)
03-25
SQLMap已经成为我们做渗透测试不可缺少的工具,在这里就不在描述工具的使用,在以往的SQLMap测试中我们大 都是以单个的URL为目标,遇到WAF,防火墙就需要进行手工绕过,或者在参数中加--tamper用SQLMap自带的脚本进行绕过;无论是哪种方式测试效率都是单兵作战,SQLMap的开发人员早已想到了这个问题,所以预留了扫描接口,也就是我们接下来要讲的SQLMapAPI
Jingubang:金箍棒-基于SQLMAPAPI的分布式注入系统
03-11
金刚邦 金箍棒-基于SQLMAPAPI的分布式注入系统 数据库配置文件调试模式已打开,开发结束后切记关闭$ config ['encryption_key']在config / config.php里设置api地址在sql_model里设置请在config / database.php里完成数据库配置多线程预备:apt -get install python-gevent ./sqlmapapi.py -s --adapter =“ gevent”更新:请在config / config.php里设置为Jingubang其中目录例如本地为: :
SqlMap API
justpassby的专栏
05-14 97
常用的API: queryForObject():用于从数据库中获取一条记录,把它放入到一个Java对象中。 queryForList():用于从数据库中获取一行或多行,并把它放入到一个Java对象列表中。 queryForMap():用于从数据库中返回一行或多行组成的一个Java Map。 Object queryForObject(String id, Object param...
深入了解sqlmap api (转)
X_namexi的博客
06-23 238
freebuf https://mp.weixin.qq.com/s/eOqURmczSBYInm2SPTx4QA
Autosqli——一个sqlmapapi的web管理应用
LeeHDsniper的博客
01-28 4396
Autosqli——一个sqlmapapi的web管理应用
php调用sqlmapapi.py,深入了解SQLMAP API
weixin_39679678的博客
04-13 299
原标题:深入了解SQLMAP API前言以前觉得sqlmap自己玩得挺溜了,结果最近有一个任务,需要调用sqlmap api接口来验证存在sql注入漏洞的站点,一开始听到这个任务觉得完了,可能完成不了了。后来我去网上搜了搜相关的资料,发现关于这方面的资料确实挺少的,于是参观了一下sqlmap的源码,大致摸清楚了如何调用api接口。因此,笔者打算写一篇完整些的文章,才有了本文。笔者技术有限,有错误或...
7.12、SQLmap自动化渗透测试工具(kali linux)
qq_33782021的博客
01-16 1464
sglmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值