SqlmapAPI调用实现自动化SQL注入安全检测

原创 已于 2023-12-14 12:55:05 修改 · 1.9k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #自动化 #sql

于 2023-11-29 17:23:29 首次发布
文章介绍了如何利用Python的sqlmapAPI进行SQL注入检测,包括创建新任务、设置扫描信息、启动扫描、获取扫描状态和结果查看的详细步骤,以及如何进行代码优化以处理多个URL。

文章目录


应用案例:前期通过信息收集拿到大量的URL地址,这个时候可以配置sqlmapAP接口进行批量的SQL注入检测 (SRC挖掘)

查看sqlmapapi使用方法

python sqlmapapi.py -h

启动sqlmapapi 的web服务:

在这里插入图片描述

任务流程:

1.创建新任务记录任务ID          @get("/task/new"))
2.设置任务ID扫描信息           @post("/option/<taskid>/set")
3.开始扫描对应ID任务           @post ("/scan/<taskid>/start")
4.读取扫描状态判断结果          @get("/scan/<taskid>/status")
5.如果结束删除ID并获取结果      @get ("/task/<taskid>/delete")
6.扫描结果查看				@get("/scan/<taskid>/data")

简单使用

  • 1.创建新任务记录任务ID
import requests

# 1.创建新任务记录任务ID
task_new_url='http://127.0.0.1:8775/task/new'
response=requests.get(url=task_new_url)
print(response.json())

在这里插入图片描述

  • 2.设置任务ID扫描信息
import requests
import json
# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data={
   
   
    'url':'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers={
   
   
    'Content-Type':'application/json'
}
task_set_url='http://127.0.0.1:8775/option/'+taskid+'/set'
task_set_response=requests.post(url=task_set_url,data=json.dumps(data),headers=headers)
print(task_set_response.content.decode('utf-8')
最低0.47元/天 解锁文章
SQL注入详解
渗透之路,攻防之间皆学问
05-05 26万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
sql注入在线检测(sqlmapapi)
热门推荐
Skycrab
07-22 4万+
之前一搞渗透的同事问我,sqlmapapi.py是干啥的,我猜很多人都玩过sqlmap,但玩过sqlmapapi的应该比较少,今天就和大家一起看看如何使用以及一些美的地方。说白了,sqlmapapi.py就是提供了一个检查sql注入的接口,我们可以直接通过发送http请求扫描sql注入,获取扫描结果等一系列操作。    下面通过实例演示如何使用:一.启动服务器端服务器后端使用的是bottle,一个
python开发-sqlmapapi接口批量扫描注入
告白的博客
10-22 1857
0x00 sqlmapapi介绍 在sqlmap目录下面还存在一个sqlmapapi.py的程序,sqlmap.py本身具有批量扫描的能力,常见批量扫描有使用-l参数扫描bur代理的日志目标但是扫描多个对象时候,推荐使用sqlmap的api接口,效率更高,sqlmapapi接口有两种使用方式,本地直接使用或者是当与本地不在一起时候,使用客户端与服务端连接使用,今天介绍使用pytohn开发配合sqlmapapi接口批量扫描。 0x01 python开发-sqlmapapi接口 使用接口前先启用sqlmapap
SQL注入扫描利器:sqlmap-1.1.3实战详解
最新发布
weixin_35756637的博客
10-09 698
sqlmap 是一款高度模块化、可扩展的自动化 SQL 注入检测与利用工具,其主程序入口位于sqlmap.py文件中。该文件作为整个工具的调度中枢,负责初始化环境、解析用户输入、协调各功能模块运行,并最终输出扫描结果。理解其启动流程和参数处理机制是掌握 sqlmap 高级用法的前提。当执行id=1"时,Python 解释器首先加载sqlmap.py脚本并执行其中的顶层逻辑。程序通过标准库argparse模块构建了一个完整的命令行参数解析系统。
SQL注入Sql注入sqlmapapi介绍
caoxinjian423的博客
03-07 2005
sqlmap可谓是sql注入探测的神器,但是利用sqlmap测试SQL注入的效率很低,每一个url都需要手动测试。sqlmap的开发者新加了sqlmapapi.py,可以直接通过接口调用来操作,简化了sqlmap命令执行方式。 sqlmap api分为服务端和客户端,sqlmap api有两种模式,一种是基于HTTP协议的接口模式,一种是基于命令行的接口模式。 sqlmap源码下载地址:htt...
sqlmapapi的基本使用和源码阅读
叶子常常随风而落,分享博主日常学习和使用的一些技术
12-04 2167
很多工程师都使用过sqlmap这个工具,那么你知道sqlmapapi是什么吗?
SQLMap API编程
03-06
ibatis相关的几个包 博文链接:https://imticg.iteye.com/blog/216840
pythonsqlmapAPI-完成批量扫描
weixin_36591264的博客
12-15 1447
# Sqlmap API调用实现自动化SQL注入安全检测 # 调用API接口实现批量扫描 # 1.创建新任务记录任务ID @get("/task/new") # 2.设置任务ID扫描信息 @post("/option/<taskid>/set") # 3.开始扫描对应ID任务 @post("/scan/<taskid>/start") # 4.读取扫描状态判断结果 @get("/scan/<taskid>/status") # 5.扫描结果查看
sqlmap之sqlmapapi
十五年游戏主程转渗透之路
04-12 6085
sqlmapapi,,sqlmapapi二次封装原理和实操
自动化SQL注入Python结合Charles与sqlmapapi
### 使用Charles进行自动化SQL注入检测 **Charles介绍**:Charles是一个代理服务器工具,可以拦截并记录HTTP和HTTPS流量,广泛应用于Web调试和性能优化。Charles支持SSL代理功能,可以记录和分析加密的网络流量。它...
sqlmap自动化脚本
03-27
自己用批处理写的一个sqlmap脚本,不用看手册输命令行了 大部分参数均可设置,也可以自己输入其他参数
批量SQL注入检测工具sqlmapapi使用指南
它展示了如何结合百度爬虫获取特定的URL链接,然后通过Sqlmapapi对这些链接进行SQL注入检测。脚本中的option设置参考了set_option.txt文件,这意味着用户可以通过修改配置文件来自定义检测的行为和参数。 ### 知识...
sqlmapapi的使用(一)
qq_38947035的博客
04-02 2994
为什么使用sqlapi 由于SQLMAP每检测一个站点都需要开启一个新的命令行窗口或者结束掉上一个检测任务。虽然 -m 参数可以批量扫描URL,但是模式也是一个结束扫描后才开始另一个扫描任务。通过api接口,下发扫描任务就简单了,无需开启一个新的命令行窗口。 sqlmapapisqlmap安装目录下的sqlmapapi.py文件,这个就是sqlmap api,sqlmapapi分为服务端以及客...
Python 渗透测试:利用SQLmap API接口进行批量的SQL注入检测.(SRC挖掘)
网络安全领域___专研者.
05-24 7900
Python 开发学习的意义: (1)学习相关安全工具原理. (2)掌握自定义工具及拓展开发解决实战中无工具或手工麻烦批量化等情况. (3)在二次开发 Bypass,日常任务,批量测试利用等方面均有帮助.
三、SqlMap API
11-07 682
1、查询一个对象            Object queryForObject(string sql, Object parameter)      注意:需要返回对象有默认构造方法, 如果没有默认构造方法, 或者构造方法受保护, 使用下面这个API      Object queryForObje(String sql, Object parameter, Object re
java web sqlmapapi_Sqlmap API用法,SqlmapAPI,使用
weixin_42511712的博客
03-01 498
Sqlmap API作用客户端调用服务端的Sqlmap API,可实现批量同时扫描疑似SQL注入点,具有一定的高效性linux下Sqlmap使用建立服务端使用kali进行学习1.进入到/usr/share/sqlmap目录2.运行sqlmapapi.py命令如下:cd /usr/share/sqlmappython sqlmapapi.py -ssqlmapapi.py后可加参数如下:客户端调用1...
7.12、SQLmap—自动化渗透测试工具(kali linux)
qq_33782021的博客
01-16 2148
sglmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。
python使用sqlmap API检测SQL注入
weixin_30608503的博客
05-26 338
0x00前言: 大家都知道sqlmap是非常强大的sql注入工具,最近发现他有个sqlmap API,上网查了一下。发现这是 sqlmap的微端。(可以叫做sqlmap在线检测sql注入= =) 0x001准备: 环境: Ubuntu 16.04 Python3 Python2 用到的库:requests,parform,os 0x002正文: 首先我们来启动sqlmap...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值