SQL注入工具之SQLmap入门操作

原创 于 2024-02-19 15:28:19 发布 · 1.4k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#自动化 #sql #python #软件测试 #经验分享 #fiddler #开发语言

本文介绍了SQLmap的入门操作,包括下载、安装和基础使用。SQLmap是一个自动化的SQL注入工具,能检测和利用SQL注入漏洞,支持多种数据库,具备扫描、枚举、数据提取等功能,并提供了命令行参数如`-level`和`-risk`来调整扫描强度。文章还详细阐述了GET注入原理和初级扫描方案,包括如何针对不同场景进行注入测试。

了解SQLmap

基础操作

SQLmap是一款自动化的SQL注入工具,可以用于检测和利用SQL注入漏洞。

以下是SQLmap的入门操作步骤:

  • 1.下载SQLmap:可以从官方网站(https://sqlmap.org/)下载最新版本的SQLmap。

  • 2.打开终端:在终端中进入SQLmap所在的目录。

  • 3.输入命令:使用以下命令运行SQLmap

python sqlmap.py -u <目标URL>

其中,<;目标URL>;是指要测试的网站的URL地址。

  • 1.运行测试SQLmap会自动检测目标网站是否存在SQL注入漏洞,并给出测试结果。

  • 2.利用漏洞:如果SQLmap检测到目标网站存在SQL注入漏洞,可以使用以下命令利用漏洞:

python sqlmap.py -u <目标URL> --dbs

这个命令将会列出目标网站的所有数据库。

  • 1.获取数据:可以使用以下命令获取数据库中的数据:

python sqlmap.py -u <目标URL> -D <数据库名> -T <表名> --dump

其中,<;数据库名>;和<;表名>;是指要获取数据的数据库和表的名称。

功能

虽然没有官方的图形化界面,但是市面上有很多个人做的图形化插件,如果实在不熟悉命令行可以考虑换成图形化插件进行使用。

SQLMap是一个自动化的SQL注入工具,其主要功能包括

  1. 扫描、发现并利用给定URLSQL注入漏洞。

  2. 内置了很多绕过插件,支持的数据库是MySQLOraclePostgreSQLMicrosoft SQL ServerMicrosoft AccessIBM DB2SQLiteFirebirdSybaseSAP MaxDB

  3. 数据库指纹识别、数据库枚举、数据提取、访问目标文件系统,并在获取完全的操作权限时实行任意命令。

  4. 支持HTTP代理,可以在使用代理时进行注入测试。

  5. 支持多线程,可以同时测

最低0.47元/天 解锁文章
测试小鬼
关注
博客
一文带你彻底搞懂 Python 编程进阶之闭包
02-25 1237
在Python中,函数名存放的其实就是函数所在的内存地址,通过函数名()的方式本质上就是执行函数所在内存地址中的代码。的功能,装饰器的本质其实就是闭包,所以在理解了闭包的基础上才能理解装饰器的原理,关于装饰器的使用可以关注后续的文章。在函数嵌套的情况下,内部的函数使用外部函数中的变量,并且外部函数返回了内部函数,我们将这个内部函数称之为闭包。的情况下,内部的函数使用外部函数中的变量,并且外部函数返回了内部函数,我们将这个内部函数称之为闭包。:通过闭包可以创建一系列相似的函数,每个函数有不同的初始状态。
博客
腾讯大佬, 职场经验分享!
02-23 1080
我当时经过测算,很不幸,网盘类产品现在在中国天花板很低,而我们的品牌定位在跟竞争对手的定位没法做出足够的差异化,因此只能身陷价格竞争的泥沼和产品创新的陷阱(很多创新都不是用户需求)。所以我想找到一个天花板足够高的市场,找出没有被挖掘出来的用户价值,制定足够清晰的定位和策略,加入或打造一个还可以的团队,制造出一个或多个MPF(Market Product Fit,市场-产品匹配)的产品,做出足够快速而可用的执行,来增加这个市场的价值。事实上我们连在自己战场的发生的突袭都看不到,看不到拼多多,看不到抖音快手。
博客
APP 有漏洞被测要下架,怎么处理?
02-21 775
收集个人信息类型:收集个人信息类型:设备所在位置相关信息(GPS 位置、WLAN 接入点、蓝牙、WI-FI 信息、GNSS、基站以及其他传感器信息),设备信息(IMEI、IDFA、Android ID、MEID、MAC 地址、OAID、使用目的:收集您的位置信息,访问网络用于获取地图服务,使用存储权限用于保存地图缓存,应用于与位置相关的业务场景,如:向您展示所在位置周边的库存商品信息,便于您选择收货地址,向您展示配送信息。、MAC 地址、OAID、IMSI、硬件序列号、操作系统版本信息),IP 地址。
博客
全网超全的测试类型详解,再也不怕面试答不出来了!
02-18 807
对应用软件的安全性进行测试,比如登录账号的防护,连接的安全性,扫描系统存在的一些漏洞和安全隐患,这个就需要测试人员对产品有充分的了解,也需要具备丰富的基础知识体系和各种工具、代码的使用能力。这个测试概念来自于硬件测试,电路板的测试人员为了验证一个电路板是否好用,就先给电路板通电,如果一通电就电路板就冒烟了,说明电路板被烧坏了,那么后续详细的测试就不需要就不需要再做了,直接打回给开发重新做一个新的就好了。如果说刚刚第一阶段做的单元测试是针对单个单元进行的测试,那么集成测试就是进行了简单的拼接之后的测试。
博客
单元测试之Stub和Mock
01-16 1551
然后判断MockEmailService中的SendEmail方法有没有被调用. 被调用了说明发送了Email(我们不需要真的收到一封邮件,因为SendEmail功能是IEmailService实现的,)我们在测试的代码中新建StubWebService和MockEmailService.这两个class分别实现了IWebService和IEmailService.第二: 我们无法判断,Email对象是否发送了Email, (我们不能去Outlook查看收到邮件没有,这样就不是自动化了)
博客
Postman接口测试之断言,全网最细教程没有之一!
01-14 1431
在中我们是在Tests标签中编写断言,同时右侧封装了常用的断言,当然 Tests 除了可以作为断言,还可以当做后置处理器来编写一些后置处理代码,经常应用于:【1】获取当前接口的响应,传递给下一个接口【2】控制多个接口间的执行顺序。
博客
摊牌了,这才是真实的字节跳动程序员工作!
01-12 534
博客
2024最详细的接口测试用例设计教程
01-11 1104
1、需求讨论2、需求评审3、场景设计4、数据准备5、测试执行。
博客
用Python发送通知到企业微信,实现消息推送
01-10 1889
Hi,大家好,今天就介绍如何实现自动推送消息到,适合告警类型通知,非常方便。
博客
轻松掌握 Java Faker ,学点真本事,做点“假”数据~
01-07 625
【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)_哔哩哔哩_bilibili。今天罗杰老师教你一招,让你做出逼真的“假”数据。工作中难免遇到需要造点“假”数据的情况,而且数据必须是“真”的,演示效果要好看一些。
博客
离职报告提交前一秒,再检查下这些测试思维面试题你都会了么?
01-04 1066
先进行冒烟测试,正常创建坐席(坐席组编号自动生成且确认 6 位数字唯一,名称输入 10 个汉字,类型选 A,抵押坐席组复选框全选,选择第一个现场经理-名下第一个团队长-第一个坐席),点击确认。聊天的其他功能:@符号,撤回功能,加好友功能,消息重发,发红包,转账,发送位置信息、发送名片、群聊等功能。正常网络下,发送纯文字,图片,文件,表情,语音、视频,文字 + 表情消息,发送及接收功能是否正常。正常网络下,语音聊天、视频聊天相互转换功能是否正常,发送语音聊天、视频聊天时,是否有声音提示。
博客
靠着这份年终总结,我涨薪8K,成为领导眼中最闪亮的星~
01-03 1141
【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。如果你目前是一个中级或者高级以上的自动化测试、测试开发工程师,你的年终报告将跟初中的测试工程师还是有所区别的。:在保证项目测试质量的基础上,保证了测试人员的技术的持续提升,提高了整个团队的测试能力,更持续化的提高了测试效率和保证项目的测试质量。:项目测试效率需加强。
博客
日常测试工作中哪些是必须知道的 SQL 语句?
01-02 1271
字段的常用约束有:PRIMARY KEY、FOREIGN KEY、NOT NULL、UNIQUE、AUTO_INCREMENT、DEFAULT。常用的语句有:SELECT,查询操作在 SQL 中使用非常多,还有一些复杂的如排序、多表查询、分组等处理。常用的语句有:SET AUTOCOMMIT、ROLLBACK、COMMIT、SAVEPOINT 等。在日常的测试工作中,并不会都使用,掌握常用的基础语句即可,慢慢再扩展一些组合查询等复杂查询语句。标准的 SQL 将针对数据进行操作的语句进行了分类,包括。
博客
python 异步任务框架 Celery 入门,速看!
12-28 1204
celery 会把执行命令发送到 broker,broker 再将消息发送给 worker 服务来执行,如果一切正常你将会在 worker 服务的日志中看到接收任务和执行任务的日志。我们编写的任务可能会存在于可重用的应用程序中,而可重用的应用程序不能依赖与项目本身,因此无法直接导入 celery 应用实例。请注意,此示例项目布局适用于较大的项目,对于简单的项目,可以使用包含定义应用程序和任务的单个模块。要在你的 django 项目中使用 celery,首先需要定义一个 Celery 的实例。
博客
在小公司 “混” 了2年,我只认真做了5件事,如今顺利拿到字节 Offer
12-26 1096
外行对于程序员的认知很单一,也有很多刻板印象,但不管如何,作为测试人员的我们,自己一定要正视自己。如果我们连自嘲和自卑都分不清楚了,那发展也就仅限如此了。所以,尽早规划自己,朝目标发展,才是上策之道,而不是怨天尤人,等到 30 岁后再去焦虑。在企业你如果不想成为“工具人”,就不要停下成长的步伐,打造属于自己的独特价值,具备不可替代的稀缺属性,这样才能不被淘汰,也能够在遭遇变化时,随自己所愿进行选择。t=N7T8。
博客
年底找工作的宝子们,千万不要错过这些数据库笔试题!
12-25 1136
很多同学会趁着年底尝试找找工作,因为年底的岗位招聘一般来说都是急招,应聘的竞争者少,且薪资不低。特别是工作年限4年以下的宝子,面试前一般会先笔试,如果不想自己笔试受挫,那么以下给大家分享的这一波面试碰到的数据库笔试题,一定要牢牢码住!并多多练习!
博客
数据迁移测试经验分享
12-24 1362
除了考虑新系统的规则变化,还要考虑旧数据迁移后需要进行规则适配,例如旧系统没有,新系统有的字段,验证是否给到正确的默认值。保证旧系统数据迁移后业务的可用性与连续性,避免迁移后需重新回滚测试。接下来,我们将详细介绍数据迁移的测试策略及测试实施,话不多说,上干货~
博客
Fiddler抓包,怎么抓抓得好抓得快?
12-22 1070
Fiddler 很智能,当用户打开 Fiddler 就已经设置好浏览器的代理了,代理地址 127.0.0.1 端口 8888。Fiddler大揭秘:从入门到精通的HTTP抓包实战(学完别乱搞,小心牢狱之灾)共计8条视频,包括:1、fiddler和F12抓包对比、2、Fiddler工作原理、3、配置证书抓取https包等,UP主更多精彩视频,请关注UP账号。Fiddler 有一个抓包开关,File –> Capture Traffic,开启后左下角显示,也可以直接点击左下角图标来关闭/开启抓包功能。
博客
互联网公司为什么不开除测试,让大众来找bug,一个100块钱?
12-21 1157
当天腾讯视频推出了“9 折开通腾讯视频 VIP”的活动,也就是原本 20 元的会员便宜了 2 块钱,不少用户惊喜地发现,支付的时候变成了 0.2 元。但还是有手速快的用户,最多的据说充了一千年,估计是要当传家宝了,那半个多小时,腾讯预估综合损失了5700万。如果黑客发现了有价值的bug,他不上报给你,等你产品上线了,再利用bug谋取巨大的利益,那么企业和软件平台、平台用户谁能承受这样的巨大损失?要知道你所谓的大众中,可是会包含“黑客”这样的顶级高手的,系统价值越高,越能吸引这种人来。
博客
你想成为Linux高手吗?这些技巧你必须知道
12-20 1009
做一个将MBR(Master Boot Record) 内容复制到软盘的动作大的i=/dev/fd0 of=/dev/hda bs=512 count=1 从已经保存到软盘的备份中恢复 MBR内容。设置目录的所有人( u)、群组(g)以及其他人(o)以读(r)、写(w)和执行(x)的权限。在文件‘/var/log/messages ’中查找以“Aug”开始的词汇。在目录‘/homi/user1 ’中搜索带有‘ bin’结尾的文件。选择‘/var/log/messages ’文件中所包含数字的行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值