第79天-Python 开发-sqlmapapi&Tamper&Pocsuite

最新推荐文章于 2024-10-24 21:49:40 发布
最新推荐文章于 2024-10-24 21:49:40 发布
阅读量752 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 2020小迪安全—渗透测试学习笔记 文章标签: python 爬虫 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MCTSOG/article/details/124482564

思维导图

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D40diM1S-1651147770779)(image79/79.png)]

知识点

本课知识点:
Request 爬虫技术,Sqlmap 深入分析,Pocsuite 分析,框架代码二次修改等

目的

掌握安全工具的 API 接口开发利用,掌握优秀框架的二次开发插件引用等

演示案例:

Sqlmap_Tamper 模块脚本编写绕过滤

SqlmapAPI 调用实现自动化 SQL 注入安全检测

参考文章

https://www.freebuf.com/articles/web/204875.html

应用案例:前期通过信息收集拿到大量的URL地址,这个时候可以配合SqlmapAPI接口进行批量的SQL注入检测(SRC 挖掘)

开发当前项目过程:(利用 sqlmapapi 接口实现批量 URL 注入安全检测)
1.创建新任务记录任务 ID @get("/task/new")
2.设置任务 ID 扫描信息 @post("/option/<taskid>/set ")
3.开始扫描对应 ID 任务 @post("/scan/<taskid>/start")
4.读取扫描状态判断结果 @get("/scan/<taskid>/status")
5.如果结束删除 ID 并获取结果 @get("/task/<taskid>/delete")
6.扫描结果查看@get("/scan/<taskid>/data")
基础demo
import requests
import json

# 创建任务id
task_new_url='http://127.0.0.1:8775/task/new'
resp= requests.get(task_new_url)
task_id=resp.json()['taskid']
print(task_id)

# 设置任务id的配置信息(扫描信息)
data ={
   
   
    'url':'http://127.0.0.1/sqli-labs-master/Less-2/?id=1'
}
headers={
   
   
    'Content-Type':'application/json'
}
task_set_url='http://127.0.0.1:8775/option/'+task_id+'/set'
print(task_set_url)
task_set_resp=requests.post(task_set_url,data=json.dumps(data),headers=headers)
print(task_set_resp.json())

# 开始扫描对应 ID 任务
task_scan_url='http://127.0.0.1:8775/scan/'+task_id+'/start'
print(task_scan_url)
task_scan_resp=requests.post(task_scan_url,data=json.dumps(data),headers=headers)
print(task_scan_resp.json())

# 读取扫描状态判断结果
task_scan_status_url='http://127.0.0.1:8775/scan/'+task_id+'/status'
print(task_scan_status_url)
task_scan_status_resp=requests.get(task_scan_status_url)
print(task_scan_status_resp.json())

# 如果结束删除 ID 并获取结果
# 扫描结果查看

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-caN2Ri80-1651147770780)(image79/79-2.png)]

自动化SQL注入检测脚本
import time
import requests
import json

def sqlmapapi(url):
    data = {
   
   
        'url'
最低0.47元/天 解锁文章

200万优质内容无限畅学
Python入门:函数封装之python调用sqlmap
foryouslgme的博客
06-21 3691
该案例是想通过python来简化sqlmap的使用,故会使用到查找sqlmap路径,以及在当前路径下找到sqlmap.py文件,这里肯定会有人要问了,为什么不使用list加下标的方式提取sqlmap.py文件呢?首先我们需要考虑的是,以下标的方式提取文件是可变的,如:在sqlmap文件夹中多了一个文件,这时候,你想取到目标文件的下标可能会变化,所以不能使用下标来提取目标文件,所以最简单的办法就是使用
python写一个自己的sqlmap(重学sql注入版)
weixin_50847719的博客
05-31 636
找到一个无回显的站不想手工(只要还是菜和懒),就突发奇想写个这东西,一边打cs一边写,队友太坑了,按照自己思路很就把代码一股脑写好了,但是本人代码习惯不好,不是写一个函数测一个函数,测试的时候搞了一个通宵一直找不到错误,哈哈哈,判断函数就写错了,然后恍然大悟,url我直接写的%20 %27这种,因为之前都是浏览器测的,而脚本不是像浏览器一样先进行一次url解码所以错了 用到的库 import requests,base64,time,threading,logging,datetime,math,re
Python安全开发----sqlmap api&Tamper&Pocsuite框架
qi_SJQ_的博客
02-25 926
1.知识: 知识点: Request 爬虫技术,Sqlmap api 深入分析,Pocsuite 分析,框架代码二次修改等。 目的: 掌握安全工具的 API 接口开发利用,掌握优秀框架的二次开发插件引用等。 2.Sqlmap API 调用实现自动化 SQL 注入安全检测: 参考自:https://www.freebuf.com/articles/web/204875.html 流程: 1.创建新任务记录任务 ID :@get("/task/new") 2.设置任务 ID 扫描信息: @post(".
python使用sqlmap API检测SQL注入
weixin_30608503的博客
05-26 320
0x00前言: 大家都知道sqlmap是非常强大的sql注入工具,最近发现他有个sqlmap API,上网查了一下。发现这是 sqlmap的微端。(可以叫做sqlmap在线检测sql注入= =) 0x001准备: 环境: Ubuntu 16.04 Python3 Python2 用到的库:requests,parform,os 0x002正文: 首先我们来启动sqlmap...
Python-使用Charles和sqlmapapi进行自动化SQL注入
08-10
使用Charles和sqlmapapi进行自动化SQL注入
p79 Python 开发-sqlmapapi&Tamper&Pocsuite(含安全狗的安装与开启网站防护)
weixin_43263566的博客
03-10 1784
Python 开发-sqlmapapi&Tamper&Pocsuite
79Python开发-sqlmapapi&Tamper&Pocsuite1
08-03
在本课程中,我们将深入探讨Python开发中的几个关键工具,包括sqlmapapi、Tamper模块以及Pocsuite,这些都是在网络安全领域中用于自动化安全检测的重要工具。以下是对这些知识点的详细说明: ### 1. Python的...
python+sqlmap
最新发布
weixin_45139674的博客
10-24 291
python+sqlmap
python调用sqlmapapi实现批量扫描网站
weixin_43996007的博客
02-22 4626
python调用sqlmapapi实现批量扫描网站 1、介绍 众所周知,sqlmap是一个非常强大的注入扫描工具。利用它可以自动化检测和利用SQL注入缺陷以达到接管控制网站后台数据库的目的。 但是再强大的工具总会存在一些缺陷的地方——比如每进行一个扫描任务,都需要再次开启一个命令行;使用相同的参数扫描网站时需要多次输入,浪费时间,效率低下。不过好在sqlmap提供了一个强大的api可以弥补这些缺陷。 sqlmapapi分为服务端和客户端,默认端口为8775。使用方法如下: 其中,-p参数可以指定端口号,-
Python2.7+SqlMap
04-23
使用sqlmap首先必须的安装python2.7的环境,高于这个版本则不能安装,博主已经曾经浪费了一晚上验证了这个事实,还有一个sqlmap使用非常方便,如果想咨询web渗透的可以进我的网站www.imkebi.net
sqlmap+python
10-23
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 资源包括sqlmap和运行所需的python安装包
SQLMap API编程
03-01
ibatis相关的几个包 博文链接:https://imticg.iteye.com/blog/216840
sqlmap自动化脚本
03-27
自己用批处理写的一个sqlmap脚本,不用看手册输命令行了 大部分参数均可设置,也可以自己输入其他参数
python实现sqlmapapi调用实现批量
qq_46540840的博客
08-25 1130
环境 sqlmap是可以被python调用的 首先在cmd中输入 python sqlmapapi.py -s 创建用python 对其连接 import requests url='http://127.0.0.1:8775/task/new' res1= requests.get(url) print(res1.content.decode('utf-8')) 设置任务Id扫描信息 set_url= 'http://127.0.0.1:8775/option/'+taskId+'/set' re
pythonsqlmapAPI-完成批量扫描
weixin_36591264的博客
12-15 1391
# Sqlmap API调用实现自动化SQL注入安全检测 # 调用API接口实现批量扫描 # 1.创建新任务记录任务ID @get("/task/new") # 2.设置任务ID扫描信息 @post("/option/<taskid>/set") # 3.开始扫描对应ID任务 @post("/scan/<taskid>/start") # 4.读取扫描状态判断结果 @get("/scan/<taskid>/status") # 5.扫描结果查看
Python知识点:如何使用Sqlmap进行SQL注入测试
码农超哥的博客
08-09 703
Sqlmap 是一个功能非常强大的工具,适合用于自动化 SQL 注入测试。通过学习和使用各种命令和参数,你可以发现、利用并修复 SQL 注入漏洞,提升 Web 应用的安全性。
sqlmap等python脚本的快速调用配置
Fred_Bohr_Locke的博客
08-22 560
sqlmap等python脚本的快速调用配置(windows)  在命令行使用“sqlmap”召唤脚本,而不用“python3 <path>/sqlmap.py”一长串命令。  因为sqlmap已经配置好了,我用dirsearch进行演示,步骤是一样的。 把dirsearch.py所在的文件夹设为环境变量  此时在命令行输入“dirsearch”,发现dirsearch.py已经被找到了,但是没有找到python来运行。 编辑dirsearch.py  打开py文件,发现第一行是注释,写着
sqlmapapi.py漏洞检测脚本
liangjiao_shou的博客
05-31 153
sqlmapapi.py漏洞检测脚本,可修改为批量漏洞检测脚本。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值