SQLMAP基础使用 -r (GET或POST)

已于 2022-02-19 09:20:38 修改
阅读量4.3k 收藏 19
点赞数 1
分类专栏: SQL注入 文章标签: web安全 SQL注入
于 2022-02-18 21:13:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Z_l123/article/details/123010874
版权
本文详细介绍了如何通过访问SQLi-Labs的Less-4练习,结合Burpsuite抓包工具和SQLMap自动化工具,发现并利用SQL注入漏洞。首先,通过Burpsuite设置代理并拦截HTTP请求,然后使用SQLMap进行注入点检测,接着获取数据库的库名、表名及字段信息,最后成功从users表中导出id、username和password的值。该教程展示了SQL注入攻击的基本步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.访问SQLi-Labs网站

访问Less-4

http://192.168.5.116/sqli-labs/Less-4/

2.利用Burpsuite工具抓包

1)启动Burpsuite并设置代理服务端口

2)设置Firefox代理

 注意:端口要一致

3)开启 Burpsuite的代理拦截功能

 4)利用Burpsuite工具拦截HTTP请求包

在Firefox地址栏中给定一个GET参数,并访问

http://192.168.5.116/sqli-labs/Less-4/?id=1

此时,Burpsuite会拦截到HTTP请求包,将请

最低0.47元/天 解锁文章
SQLmap
菜鸟-宇的个人博客
10-02 166
sqlmap是一款基于python编写的渗透测试工具,在sql检测和利用方面功能强大,支持多种数据库。
sqlmap基础注入
elliaaa的博客
10-09 703
sqlmap基础注入 判断有无注入 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” --batch 注入数据库 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” --dbs --batch 注入表 python sqlmap.py -u “http://192.168.1.1/list.php?id=1” -D KM --tables --batch 注入字段 python sqlmap
Sqlmap参数详解
gao646467783的博客
11-21 939
sqlmap全参数详解 sqlmap是在sql注入中非常常用的一款工具,由于其开源性,适合从个人到企业,从学习到实战,各领域各阶段的应用,我们还可以将它改造成我们自己独有的渗透利器。这款工具中,大大小小191个参数,在这篇文章中,我将一一介绍,其实很多参数我也没有使用过,所以有一些...
SQLmap使用笔记
老司机开代码的博客
09-03 583
文章目录1. 基础语法1.1 常用参数介绍1.2 实例1.2.1 -u 测试目标网站是否存在漏洞1.2.2 限定参数及部分查询参数的使用1.2.3 --cookie1.2.4 --data1.2.5 -r2. 进阶语法 1. 基础语法 1.1 常用参数介绍 为了便于使用和记忆,个人将自己经常使用的一些参数做了如下分类。 赋值参数: -u : 指定测试目标URL --cookie : 测试时提交cookie信息;可用于cookie注入(当--level设置为2才可用) --data : 构造POST
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
ewii12567的博客
03-03 2969
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…这里root的权限最多,很明显它就是数据库的管理员账号。
sqlmap使用详解
weixin_59246157的博客
04-21 1902
id=1" -D security -T users -C username --dump --start 1 --stop 100 #爆出数据库security中的users表中的username列中的前100条数据。
sqlmap的用法,sqlmap -r
litiammmm的博客
07-15 6750
sqlmap结合burpsuit进行sql注入漏洞查找; 配置好burpsuit和浏览器之间的代理,网上方法很多,创建一个记事本,准备写入参数使用; 1、在sqlmap根目录下创建list.txt,你也可以在其他地方创建,待会协商目录就行; 2、打开需要测试sql注入的网站,并用burpsuit进行抓包,主要关注有参数传递的链接,如下图这种: 3、符合图中Raw中的所有信息写入刚创建的txt中 4、执行sqlmap扫描命令 sqlmap -r list.txt --level..
sqlmap的基本命令使用
Leonardo DiCaprio‘s spring
03-24 5万+
本人小白,初次认识sqlmap,很多都是转载资料,只是学习研究一下! 练习的网站可以用谷歌搜一下; cookie注入sqlmap.py -u 注入--cookie "参数" --tables --level 2 POST登录框注入sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables                 sqlmap.py -u 登
sqlmap.py -r "d://a.txt" --dbs --batch
u012922879的博客
08-27 3178
sqlmapPOST注入的两种姿势(-r 和–data) 用sqlmap进行做post注入测试的时候,发现这么一种情况:、 对POST请求,之前一直用 “-r txt文件”的形式,进行注入测试; 发现还有另一种POST,用“-r txt文件”的形式进行却无效,原来可以通过“–data=”key=value””来进行测试注入。 故以上两种情况都是post的,却还是有区别的 故此记录如下:...
sqlmap -u -r参数的使用
qq_52072846的博客
03-15 1万+
SQLMAP基本使用实例 -u参数的用法: 1.爆当前数据库的库名 sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" 爆指定数据库中的表名 sqlmap.py -u "http://127.0.0.1/sql/Less-1/?id=1" -D security --tables
sqlmapproject-sqlmap-1.5.3-24-gbce3abc.zip
03-28
1. 自动化探测:SQLMap可以自动识别出各种类型的SQL注入点,包括GETPOST及其他HTTP方法的数据提交方式。 2. 深度扫描:除了基础注入测试,SQLMap还能进行深度扫描,如盲注、时间基注入、错误注入等。 3. 数据库...
sqlmapproject-sqlmap-1.1.6-8
06-15
使用SQLMap时,务必确保遵循所有适用的法律和道德规范,只用于授权的渗透测试自我教育,避免非法入侵他人系统。 6. 进阶技巧: SQLMap还支持自定义插件、API调用、批量扫描等功能,可以通过阅读官方文档和社区...
SQLmap常用命令/使用教程
wangyuxiang946的博客
08-08 1万+
SQLmap是一款自动化SQL注入神器,用于SQL注入漏洞的检测和利用,支持多种数据库 检测位置 -u -- 指定url(GET请求) -p -- 指定参数(url包含多个参数时,指定参数) --data= -- 指定POST请求参数 --cookie -- 指定cookie参数 -r -- 从文件中加载HTTP请求(在需要检测的Header后面加上*) 获取数据 --dbs -- 获取数据库名 --tables -- 获取表名 --columns -- 获取字段名 --du
【CTF】sqlmapPOST注入的两种方法(-r 和--data)
HAPPY
07-30 8400
sqlmap进行做post注入测试的时候,发现这么一种情况: 对POST请求,之前一直用 “-r txt文件”的形式,进行注入测试; 发现还有另一种POST,用“-r txt文件”的形式进行却无效,原来可以通过“--data="key=value"”来进行测试注入。   故以上两种情况都是post的,却还是有区别的   故此记录如下: 1:POST注入时,什么时候用“-r txt文...
sqlmap命令
whiteso的博客
09-18 1162
用的i春秋环境 首先得找到一个注入点 对注入点进行检测 python sqlmap.py -u http://www.test.com/Art_Show.php?id=2 获取所有数据库名称 python sqlmap.py -u "http://www.test.com/Art_Show.php?id=2" --dbs 获 取 当 前 所 在 数 据 库 python sqlmap....
SQLmap使用教程图文教程(超详细)
热门推荐
wangyuxiang946的博客
06-20 6万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
学习笔记(01):sql注入攻击之sqlmap-postsql注入sqlmap -r
qvb88的博客
05-02 408
手工进行sql注入对于初学者有一定的难度,本节课程针对于信息安全小白讲解怎么使用sqlmap来进行sql注入,结合前面章节将的内容可以的判断互联网上网站是否存在sql注入。...
sqlmap命令详解
Pitbull2014的博客
12-20 1365
cookie注入sqlmap.py -u 注入--cookie "参数" --tables --level 2 POST登录框注入sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sq...
SQLmap使用总结
Alexz__的博客
02-15 6369
1.简介 2.说明书翻译 3. 基础命令汇总 4.基础命令尝试 5.高级用法 壹 sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库有MySql、Oracle、Access、PostageSQLSQLServer、IBM DB2、SQLite、Firebird、Sybase和...
sqlmap -r
最新发布
03-19
### 关于 `sqlmap` 工具 `-r` 参数的使用 `sqlmap` 是一款开源渗透测试工具,用于自动化检测和利用 SQL 注入漏洞。其中 `-r` 参数允许用户通过读取请求文件来定义目标 URL 和其他 HTTP 请求细节。 当使用 `-r` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值