java中运行sqlmap中等待输入的问题

最新推荐文章于 2024-08-16 11:10:05 发布
最新推荐文章于 2024-08-16 11:10:05 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java python 终端 sqlmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35900276/article/details/78398584
本文介绍如何使用Java调用Python程序,并针对sqlmap这类需要中途用户选择的工具,提供了一种改进的交互方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、如何运行python程序

java中运行python程序大致有两种思路,一种是利用jython的环境进行java和python交互,第二种是利用java内的Process类模拟系统终端的操作,我们这里利用Process类进行交互。
大体操作如下:
int exitValue;
try {
	Process pro = Runtime.getRuntime().exec("python", "python文件名", "其他参数");
	InputStream out = pro.getInputStream();
	BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(in));
	String line;
	while ((line = bufferedReader.readLine()) != null) {
		System.out.println(line);
	}
	pro.waitFor();
	exitValue = pro.exitValue();
	} catch (IOException | InterruptedException e) {
		exitValue = 2;
	}

System.out.println("exit: " + exitValue);
但是,如果遇到像sqlmap这样需要中途用户进行选择的话,就没有办法进行输入操作。虽然Process类中有getOutputStream的方法,但是如果没有到需要输入的地方输入无效,而且这个线程会在bufferedReader.readLine()中挂起(终端中等待输入没有"\n",意味着readLine没有结束),后续操作无法执行。

二、解决方法(仅对sqlmap有效)

根据已知问题,由sqlmap对用户选择的语法分析发现会出现类似“[Y/N] ”的字段,这个字段之后就是用户输入的地方,我们利用这一点对代码进行改造:
int exitValue;
try {

	Process pro = Runtime.getRuntime().exec("python", "python文件名", "其他参数");
InputStream in = pro.getInputStream();OutputStream out = pro.getOutputStream();BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(in)); 


	int charNum;
	StringBuilder sb = new StringBuilder();
	while ((charNum = bufferedReader.read()) != -1) {
		sb.append((char) charNum);
		System.out.print((char) charNum);
		if (charNum == '\n' || charNum == '\r') {
			sb = new StringBuilder();
		}
		if (sb.toString().endsWith("[Y/n] ") || sb.toString().endsWith("[Y/N] ") ||
		    sb.toString().endsWith("[y/n] ") || sb.toString().endsWith("[y/N] ")) {
			Scanner scanner = new Scanner(System.in);
			String input = scanner.next();
			out.write((input + "\n").getBytes(Charset.defaultCharset()));
			out.flush();
		}
	}
	pro.waitFor();
	exitValue = pro.exitValue();
} catch (IOException | InterruptedException e) {
	exitValue = 2;
}








这段代码则是逐字符读入readLine方法防止因没有换行符挂起的问题,其次,根据sqlmap的语法,在询问用户是会出现上述类似字段,则判断现有字段中是否已经存在上述字段,如果存在说明将会等待用户输入,这是利用OutputStream输出内容,其中“\n”将会指示“终端”输入完成并进行后续操作。


这样则可以基本解决sqlmap的输入问题。


第一篇博客留影纪念。







                

        

    

    
  



    

      

        

            

              
                
                  Ghostlead
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
Java基础学习总结(98)——阿里巴巴Java开发手册

				
			

			

				

					科技D人生
				

				

					02-16
					
					2340
					
				

			

		

		

			
				
Java开发手册


 




 


版本号



制定团队



更新日期



备  注



 




1.0.0



阿里巴巴集团技术部



2016.12.7



首次向Java业界公开





      一、编程规约
(一)
命名规约 

1.   【强制】所有编

			
		

	



                

            
              



	

		

			

				
					
(持续更新中)Web功能测试下的安全测试如何进行?

				
			

			

				

					qq_22643187的博客
				

				

					03-13
					
					1430
					
				

			

		

		

			
				
想到安全测试很多功能测试人员都很难入手,以为都是专业的安全测试人员去做。比如经常碰到的任务:某某某测试下系统有哪些安全问题,而对于经历过长达五六年的 web 功能、性能、接口测试人员来说,面对该任务就一头雾水。面对任何测试对象,我们需要有对应的范围,然后才讲到各个范围的技术方法。以下安全测试范围是本人实践过的,且用于过部分上市的基金公司安全测试执行过程的测试验证。请看完我的文章描述,我相信可以助力你成为一个初级安全测试工程师!Q:安全测试测试什么啊?Q:安全测试策略如何编写?Q:安全测试如何执行?

			
		

	



              


  
              

                


	

		

			

				
					
sqlmap能测试java么_Web应用手工渗透测试—用SQLMap进行SQL盲注测试

				
			

			

				

					weixin_30120049的博客
				

				

					02-26
					
					201
					
				

			

		

		

			
				
SQLmap –r ~root/Desktop/header.txt – -technique B – -p username – -current-user这里-p选项表示要注入的参数,“–current-user“选项表示强制SQLmap查询并显示登录MYSQL数据库系统的当前用户。命令得到输出如下图所示:同时也可以看到工具也识别出了操作系统名,DBMS服务器以及程序使用的编程语言。“”当前我...

			
		

	





	

		

			

				
					
java web sqlmapapi_Sqlmap API用法,SqlmapAPI,使用

				
			

			

				

					weixin_42511712的博客
				

				

					03-01
					
					473
					
				

			

		

		

			
				
Sqlmap API作用客户端调用服务端的Sqlmap API,可实现批量同时扫描疑似SQL注入点,具有一定的高效性linux下Sqlmap使用建立服务端使用kali进行学习1.进入到/usr/share/sqlmap目录2.运行sqlmapapi.py命令如下:cd /usr/share/sqlmappython sqlmapapi.py -ssqlmapapi.py后可加参数如下:客户端调用1...

			
		

	



		

			
		



	

		

			

				
					
sqlmap能测试java么_实验吧 这个看起来有点简单!&渗透测试工具sqlmap基础教程

				
			

			

				

					weixin_28951683的博客
				

				

					02-26
					
					301
					
				

			

		

		

			
				
下载sqlmap,拖到python安装文件夹下面,在桌面创建sqlmap的cmd快捷方式,都不赘述。教程开始:1.检测注入点是否可用命令:2.暴库:爆出该mysql里所有数据库的名称命令:结果:爆出有3个数据库3.web当前使用的数据库命令:sqlmap.py-u"http://ctf5.shiyanbar.com/8/index.php?id=1"--current-db结果:得到当前使用...

			
		

	





	

		

			

				
					
java sqlmap_IBATIS SQLMap详解

				
			

			

				

					weixin_36079903的博客
				

				

					02-16
					
					624
					
				

			

		

		

			
				
package test;import java.io.Reader;import com.ibatis.sqlmap.client.*;import com.ibatis.common.resources.*;import bo.*;public class AutoMag {private Reader reader;private SqlMapClient sqlMap;private St...

			
		

	





	

		

			

				
					
sqlmap使用

				
			

			

				

					java_java_cl的博客
				

				

					01-12
					
					557
					
				

			

		

		

			
				
sqlmap是由Python编写的渗透测试工具,主要用来检测sql注入漏洞,是一款功能强大的sql漏洞检测利用工具。

SQLMAP使用

基本参数


作者:fuubar2
链接:https://www.jianshu.com/p/ea1d8170e118
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
...

			
		

	





	

		

			

				
					
Web:SqlMap工具

					
最新发布

				
			

			

				

					qq_55038440的博客
				

				

					08-16
					
					1548
					
				

			

		

		

			
				
sqlmap 是一款开源的渗透测试工具,可以自动化进行SQL注入的检测、利用,并能接管数据库服务器。它具有功能强大的检测引擎,为渗透测试人员提供了许多专业的功能并且可以进行组合,其中包括数据库指纹识别、数据读取和访问底层文件系统,甚至可以通过带外数据连接的方式执行系统命令。sqlmap可以运行python2.6、2.7和3.x的任何平台上。

			
		

	





	

		

			

				
					
SQL注入攻击中的时间盲注与sqlmap的应用

				
			

			

				

					
				

			

		

		

			
				
SQL注入攻击是一种常见的网络安全威胁,攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码,从而绕过应用程序的输入验证机制,执行非法的数据库操作。当用户的输入未经有效过滤和验证时,攻击者可以利用这个...

			
		

	





	

		

			

				
					
Centos安装sqlmap、nmap、metasploit

				
			

			

				

					the3robit的博客
				

				

					12-08
					
					2635
					
				

			

		

		

			
				
首先安装用到的支持环境 
否则安装过程中可能会出现莫名其妙的错误,折腾好好久才弄好,以下先列出来用到的包 
     git 用于检出源码 
     autoconf:configure用的 
     GNU GCC C 编译器(gcc)  编译C的 
     GNU GCC C++ 编译器 (gcc-c++): 编译C++的 
     make/automake: make的主程序

			
		

	





	

		

			

				
					
sqlmappython环境win直接运行

				
			

			

				

					05-16
				

			

		

		

			
				
注入步骤:
检查注入点
sqlmap -u http://url

列数据库信息
sqlmap -u http://url --dbs

指定库名列出所有表
sqlmap -u http://url -D dbname --tables

指定库名表名列出所有字段
sqlmap -u http://url -D dbname -T tablename --columns

指定库名表名字段dump出指定字段
sqlmap -u http://url -D dbname -T tablename -C ac,id,password --dump

			
		

	





	

		

			

				
					
SQLMAP 语法

				
			

			

				

					LYSM
				

				

					05-08
					
					501
					
				

			

		

		

			
				
扫描指定URL
sqlmap -u "网站URL" --cookie="COOKIE值"




			
		

	





	

		

			

				
					
java sqlmap_sqlmap 学习指南

				
			

			

				

					weixin_36003021的博客
				

				

					02-16
					
					720
					
				

			

		

		

			
				
标签标签用于生成一个文本的输入区域。它必须包含和相关formbean中的相同属性对应的“property”属性。该标签只有在嵌入到一个标签中时才有效。例如:会被转换成:标签标签用于生成一个口令字(typepassword)的输入区域。它必须包含和相关formbean中的相同属性对应的“property”属性。该标签只有在嵌入到一个标签中时才有效。该标签中的一个很重要的属性是“redispla...

			
		

	





	

		

			

				
					
Java 之防止 SQL 注入

				
			

			

				

					Java
				

				

					09-12
					
					517
					
				

			

		

		

			
				
Java 防止 SQL 注入

			
		

	





	

		

			

				
					
DVWA—使用sqlmap工具get注入

				
			

			

				

					@一只躺平的猪@的博客
				

				

					07-08
					
					2140
					
				

			

		

		

			
				
使用phpstudy搭建的DVWA靶场SQL盲注
burpsuite
sqlmap下载安装sqlmap https://javaforall.cn/126449.html修改DVWA靶场的安全级别为Low
本章介绍了sqlmap关于get注入的使用步骤以及攻击的相关语句。

			
		

	





	

		

			

				
					
java 防止sql注入_Java中SQL注入以及如何轻松防止它

				
			

			

				

					从零开始的教程世界
				

				

					07-14
					
					2468
					
				

			

		

		

			
				
java 防止sql注入 什么是SQL注入? (What is SQL Injection?)
SQL Injection is one of the top 10 web application vulnerabilities. In simple words, SQL Injection means injecting/inserting SQL code in a query via use...

			
		

	





	

		

			

				
					
Java应用程序中的SQL注入

				
			

			

				

					最佳 Java 编程
				

				

					05-12
					
					725
					
				

			

		

		

			
				
在本文中,我们将讨论什么是SQL注入攻击。 以及它如何影响任何Web应用程序使用后端数据库。 在这里,我专注于Java Web应用程序。 开放Web应用程序安全项目(OWAP)列出了SQL注入是Web应用程序的主要漏洞攻击。 黑客将Web请求中的SQL代码注入Web应用程序并控制后端数据库,即使后端数据库未直接连接到Internet也是如此。 我们将看到如何解决和防止Java Web App...

			
		

	





	

		

			

				
					
SQLmap使用教程图文教程(超详细)

					
热门推荐

				
			

			

				

					wangyuxiang946的博客
				

				

					06-20
					
					6万+
					
				

			

		

		

			
				
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap
一、目标
1、指定url
2、指定文件(批量检测)
3、指定数据库/表/字段
4、post请求
5、cookie注入
二、脱库
1、获取数据库
2、获取表
3、获取字段
4、获取字段类型
5、获取值(数据)
6、获取用户
7、获取主机名
8、搜索库、表、字段。
9、正在执行的SQL语句
三、WAF绕过

			
		

	





	

		

			

				
					
SQLMap的详细使用教程

				
			

			

				

					Kali与编程
				

				

					03-26
					
					1135
					
				

			

		

		

			
				
SQLMap是一款功能强大的自动化SQL注入工具,可用于发现和利用Web应用程序中的SQL注入漏洞。除了基本的SQL注入攻击,SQLMap还提供了许多高级功能,如POST请求注入、Cookie注入、文件读取等。其中,“-T tablename”表示指定表名,“–columns”表示列出所有可用的列名。其中,“-D dbname”表示指定数据库名称,“–tables”表示列出所有可用的表名。其中,“-C columnname”表示指定列名,“–dump”表示将结果输出到文件中。

			
		

	





	

		

			

				
					
iBATIS SqlMap 中文开发完全指南

				
			

			

				

					
				

			

		

		

			
				
SQLMap 是一个数据访问组件,它的主要功能是将Java对象与数据库中的表进行映射,从而减少了手动编写SQL和处理结果集的代码。通过XML配置文件,开发者可以清晰地定义SQL语句、参数映射和结果映射。  2. SQLMap如何...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值