使用sqlmap进行SQL注入检测

最新推荐文章于 2024-07-23 22:14:51 发布
最新推荐文章于 2024-07-23 22:14:51 发布
阅读量7.1k 收藏 33
点赞数 6
分类专栏: Web项目漏洞修复 文章标签: SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhl704792104/article/details/100007894
版权

最近公司项目被扫描出有SQL注入的漏洞,通过百度之后,决定使用sqlmap进行SQL注入的检测。这里仅仅是记录一下注入检测的步骤。

检测前准备

sqlmap是一个python编写的工具,因此我们首先要进行python环境的搭建,然后再从sqlmap官网下载最新版本。

检测步骤

查看需要检测的注入点

首先我们需要访问自己的项目,找到一个需要检测的url,这个url需要对应后台的处理,这个url对应的后台需要接收参数,并且会将我们的参数作为sql的一部分去数据库进行查询之类的操作。

如 我们有个链接 http://192.168.21.12:8080/mylink.action?userCode=admin

URL检测是否存在注入点

使用python sqlmap.py -u "http://192.168.21.12:8080/mylink.action?userCode=admin" --batch

这里--batch表示不需要用户输入,使用默认行为,否则会有一些提示选择需要用户进行。

如果此URL中存在SQL注入,那么将会出现如下画面。并且可以看到 这里告诉我们后台使用的数据库类型与版本是SQLServer 2008.

 获取到数据库名称

这里我们使用

python sqlmap.py -u URL --dbs --batch

可以获取到此实例下的所有数据库名称。

使用python sqlmap.py -u URL --current-db --batch

可以获取当前系统使用的数据库名称。

最低0.47元/天 解锁文章
黑人问号
关注
  • 6
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap自动扫描注入点_简记——利用sqlmap检测网站sql注入漏洞获取数据
weixin_39834488的博客
11-26 1633
sqlmap是一个开源软件,用于检测和利用数据库漏洞,并提供了将恶意代码注入其中的选项。[1]它是一种渗透测试工具,可在终端中提供其用户界面,从而自动检测和利用SQL注入漏洞的过程。[2]该软件在命令行运行,可以下载用于不同的操作系统:Linux发行版,Windows和Mac OS操作系统。[3]除了映射和检测漏洞之外,该软件还可以访问数据库,编辑和删除数据以及查看表中的数据,例如用户,密码,备份...
利用sqlmap进行需要登录的注入
ChuMeng1999的博客
01-19 4131
目录预备知识了解Sqlmap了解cookie实验目的实验环境实验步骤一利用sqlmap进行Cookie注入实验步骤二 预备知识 了解Sqlmap sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 了解cookie cookie是由网景公司的前雇员Lou Montulli在1993年3月的发明,由服务
SQLMap 扫描利用SQL注入
无痕的博客
12-21 1397
SQLmap工具安装更新,结合DVWA演示使用
SQL注入SQL注入漏洞检测及防御,零基础入门到精通
最新发布
baimao__Ch的博客
07-23 1116
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库开发者、Web开发者和安全专业人员需要了解它,以采取措施来预防和检测SQL注入漏洞。01什么是SQL注入SQL注入是一种攻击技术,攻击者通过在输入字段中插入恶意SQL代码,试图欺骗应用程序以执行不安全的数据库操作。这些恶意SQL代码将与应用程序的数据库进行交互,允许攻击者执行未授权的操作。
sqlmap报错注入
weixin_44110913的博客
04-07 3720
0x00 背景 学习记录一下报错型的注入,经各方整理和自己总结形成。 所有的注入原理都是一样,即用户输入被拼接执行。但后台数据库执行语句产生错误并回显到页面时即可能存在报错注入。 0x01概念 报错型注入的利用大概有以下3种方式: 复制代码 1:?id=2’ and (select 1 from (select count(*),concat( floor(rand(0)*2),(select (...
sqlmap 注入oracle,使用 sqlmap 进行 SQL 注入检测
weixin_34915171的博客
04-13 1659
为什么80%的码农都做不了架构师?>>> 最近在看《白帽子讲 Web 安全》,讲服务器端注入攻击时提到一个神器 sqlmap。到 Github:sqlmap 下载工具,到目录下运行python sqlmap.py -u "https://my.oschina.net/lvyi/blog?catalog=423226&temp=1476090615355"即可开始分析有没有...
info testing mysql_使用 sqlmap 进行 SQL 注入检测
weixin_29384935的博客
02-03 746
最近在看《白帽子讲 Web 安全》,讲服务器端注入攻击时提到一个神器 sqlmap。python sqlmap.py -u "https://my.oschina.net/lvyi/blog?catalog=423226&temp=1476090615355"即可开始分析有没有 SQL 注入的可能。[17:10:41] [INFO] GET parameter 'catalog' is d...
利用sqlmapapi进行批量检测sql注入
03-28
sql注入 本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
使用sqlmap+burpsuite进行中级sql注入
06-01
sqlmap是一款自动化SQL注入工具,它能自动检测和利用SQL注入漏洞,获取数据库信息。BurpSuite则是一个集成化的渗透测试工具,主要用来拦截和修改网络请求,便于安全测试和漏洞发现。 1. **启动Burpsuite**: 在...
sqlmap之(六)----POST登陆框注入实战
你身后的人
04-21 733
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下   2.列数据库:  [html] view plain copy sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs  注:-r表示加载一个文件,-p指定参数  其中出现...
sqlmap自动扫描注入点_SQLMAP使用指南[学员作品]
weixin_39926311的博客
11-26 1023
文章作者:小酱团队交流群:673441920-----------------------------------------------------------目录什么是SQLMAPSQLMAP的安装 常见数据库的结构 SQLMAP参数 SQLMAP扫描漏洞 SQLMAP的性能优化SQLMAP的进阶用法 1、什么是SQLMAPSqlmap是一款由Python语言编写的开源sql注入检测、利...
注入工具使用-sqlmap
HacHunter的博客
03-24 4999
目录 利用sqlmap进行需要登录的注入 利用sqlmap进行POST注入 利用sqlmap进行文件读写 利用sqlmap辅助手工注入 利用sqlmap交互式写shell 利用sqlmap进行需要登录的注入 sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post ,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 打开 dvwa,输入用户
使用sqlmap检测sql注入漏洞
热门推荐
菜鸟、上路
08-21 10万+
一、 sql注入概述并安装sqlmap漏洞查看工具 1、 sql注入概述 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 它是利用现有应用程序,可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库。 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表...
SQL注入sqlmap入门教程
m0_56634355的博客
04-09 9162
sqlmapsql注入必备的也是最常用的工具,是每一位白帽子在的利器之一。
sql注入漏洞sqlmap使用
hmysn的博客
07-07 2108
目录什么是sql漏洞:sql语言:数据库和网页用户请求的原理:sql注入原理:sql注入检测sql注入检测工具:实例演示:漏洞防御 这边采用了皮卡丘的sql漏洞的概述: 在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。 一个严重的SQL注入漏洞,可能会直接导致一家公司破产! SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。
利用SQLMap进行cookie注入
kuxing100的专栏
05-05 2020
SQLMap被称为注入神器,N多大神都使用SQLmap进行注入测试,我等小菜当然也会用来装一下A*C,用了N久SQLMAP了,但是极少用到cookie注入,一遇到cookie注入就去使用注入中转工具,比较麻烦。刚好今天群里的USB问起sqlmap是否支持cookie注入,就研究了一下,发现其实sqlmap进行cookie注入很简单的。 测试URL:   参数获取使用的是
SQL注入——SQLmap的进阶使用(十三)
Gjqhs的博客
02-21 1352
SQLmap的下载和安装使用教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值