笔记

最新推荐文章于 2023-12-28 10:00:00 发布
最新推荐文章于 2023-12-28 10:00:00 发布
阅读量356 收藏
点赞数
文章标签: python php
原文链接:http://www.cnblogs.com/kaibindirver/p/11520844.html
版权

-v #详细的等级(0-6)

0:只显示Python的回溯,错误和关键消息。

1:显示信息和警告消息。

2:显示调试消息。

3:有效载荷注入。

4:显示HTTP请求。

5:显示HTTP响应头。

6:显示HTTP响应页面的内容

 

例子:    sqlmap.py -u http://www.evil0x.com/ test.php?p=2  -v4 -v6

 

带上请求头和请求参数进行测试的方法

例子:    sqlmap.py -r /Users/lucax/Desktop/123.txt -v4 -v6

123.txt 格式: #文件里面的内容可以把请求头需要的都放进里面去,如get请求要token的值

POST /system/login HTTP/1.1
Host: dev-ai-manage-api-edu.codemao.cn

{"username":"admin","password":"123456abc","captcha":""}

 

制定需要注入的字段(下面是制定了 name和 paward 字段)

请求的参数:  {"username":"admin","password":"123456abc","captcha":""}

例子: sqlmap.py -u http://www.evil0x.com/login  -p "name,paward"

 

命令行指定url的 请求头

sqlmap.py -u "https://dev-ai-manage-api-edu.codemao.cn/teacher?keyword=123" --headers "authorization: Bearer"

 

 

把要测的url都放到一个text文件里面,一个一个去测试

 

python sqlmap.py -m url.txt

 

命令行指定请求方式

--method=PUT

命令行指定data的请求参数

例子: sqlmap.py -u "http://192.168.56.102:8080/user.php" --data="id=0&name=werner"

sqlmap.py -u "https://dev-ai-manage-api-edu.codemao.cn/system/login" --data="{"username": "猫老祖不是我","password": "123"}" 

 

--batch 从不询问用户输入,使用所有默认配置 就是所有可输入值的字段都执行一遍,不加没跑完一个值就会询问一次

 

命令行加请求头的方法 --headers=HEADERS 换行分开,加入其他的HTTP头 \n 也是表示换行的意思

sqlmap.py -u "dev-ai-manage-api-edu.codemao.cn/teacher?keyword=123" --headers "authorization: 123 /n uuur:666" -v4 -v6

 

转载于:https://www.cnblogs.com/kaibindirver/p/11520844.html

【高效开发工具系列】sqlmap使用
优快云站内信: https://i.youkuaiyun.com/#/msg/chat/qyj19920704
02-08 3万+
sqlmap 是一个自动化的 sql 注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,sqlmap 还提供了很多脚本.但在实践测试的时候基本用不上.sqlmap 是使用 python 开发的.sqlmap 支持 MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase 和 SAP MaxDB 等数据库的各种安全漏洞检测。
sqlmap刷sqllibs_03-header注入-17-22
Xor0ne
07-28 1440
17、less17-Update Query- Error based - String 在这一关中,uname参数经过了check_in()函数过滤,因此如果我们直接按照之前的进行过滤的话就会发现sqlmap很有可能会跑很久,这是因为uname不可注入,因此sqlmap就尝试这一切方法对他进行注入,所以时间花费很长。但是另外一个参数passwd并没有进行过滤,我们进行注入时就要指定参数。 本关同于第11关,具体语句不一一赘述了。 下面为sqlmap给出的payload: C:\Python27\sqlma
我的手摸着你的手来搞懂什么是授权与认证
最新发布
xnxqwzy的博客
12-28 1670
凭证实现认证和授权的前提是需要一种**媒介(证书)**来标记访问者的身份,这个媒介(证书)就是凭证在互联网应用中,常见的就是在登录之后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌。​ token是在访问服务端资源时候需要携带的一种验证凭证​ 简单的token组成:userID(用于标识唯一的用户身份)+time(当前时间的时间戳)+sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)验证流程。
SQLMAP的使用
m0_58001548的博客
04-03 4094
SQLmap 是一款用来检测与利用 SQL 注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。官方网站下载 http://sqlmap.org/
SQLmap使用教程图文教程(超详细)
wangyuxiang946的博客
06-20 6万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
冰河的渗透实战笔记-冰河.pdf
05-18
冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
javaweb项目实(含笔记与详细实现步骤)
07-20
JavaWeb项目实(含笔记与详细实现步骤) JavaWeb是一种基于Java技术的Web应用程序开发框架,它涵盖了服务器端编程、数据库交互、用户界面设计等多个方面。对于初学者来说,掌握JavaWeb开发是步入Web开发领域的关键...
java超强笔记
12-03
"Java超强笔记"正是一份专为新手准备的学习资源,它全面涵盖了从Java环境的搭建到软件设计的各种概念,旨在提供一个易读且系统的学习路径。 首先,笔记可能会从Java的起源和发展开始介绍,让你了解这门语言的历史...
狂神笔记,b站狂神说课程笔记大全(最新)
09-19
b站狂神说课程笔记大全,每个部分都有 狂神说java系列笔记(java基础+javaweb+ssm+微服务)全套 狂神说上课笔记未删减 Java基础到技术升级 1、JavaSE:Java入门 2、JavaSE:基础语法 3、JavaSE:流程控制 4、JavaSE...
基于SSM框架+mysql搭建的云笔记系统(仿有道云笔记)源码.zip
08-30
基于SSM框架+mysql搭建的云笔记系统(仿有道云笔记)源码.zip基于SSM框架+mysql搭建的云笔记系统(仿有道云笔记)源码.zip基于SSM框架+mysql搭建的云笔记系统(仿有道云笔记)源码.zip基于SSM框架+mysql搭建的云笔记...
SQL防注入攻击之检测工具sqlmap的使用
mr_zhongjie的博客
10-21 1916
今天突然想到了SQL防注入,于是想测试一下,顺便也把教程发出来 这里使用到的是sqlmap工具,一款用python编写的 请注意:这个sqlmap需要python2才可以正常执行,python3不行 前言: 一、什么是SQL防注入? 攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。 举例:’ OR ‘1’='1 这是最常见的 SQL注入攻击,当我们输如用户名 admin ,然后密码输如’
SQL渗透与防御——(六)sqlmap语法
FisrtBqy的博客
03-10 722
sqlmap语法1 选项:2 目标:3 请求:4 优化:5 注入:6 检测:7 Techniques:8 指纹:9 枚举:10 暴力破解:11 用户定义函数注入:12 文件系统访问:13 操作系统访问:14 Windows注册表访问:15 通用:16 杂项: 1 选项: -h, --help #显示基本帮助信息并退出 -hh #显示高级帮助信息并退出 --version #显示程序的版本
【安鸾渗透实战平台】实战渗透/企业网站
qq_34485854的博客
11-17 1995
靶场WP
认证授权基础:搞清Authentication,Authorization以及Cookie、Session、Token、OAuth 2、SSO
Cybenko
07-08 1698
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁。 授权 (Authorization): 你有权限干什么。 稍微正式点(啰嗦点)的说法就是: Authentication(认证) 是验证您的身份的凭据(例如用户名/用户I
JavaScript基础
天涯海风的博客
09-15 8278
JavaScript基础 HTML和CSS 京东 课前娱乐 众人皆笑我疯癫,我笑尔等看不穿 课前说明 目标: 掌握编程的基本思想 掌握JavaScript的基础语法,使用常见API(备注)完成相应案例及练习和作业 培养独立解决问题能力 遇到问题先独立调试(牛X从规范和调试开始) 能够独立写出所有案例代码 注意: 1. 以大多数同学的接受能力为基准,稳准狠的前...
DAY2-DVWA搭建&SQLmap搭建及基本使用
503 Serivice Unavailable
07-17 918
DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是: 1.Brute Force(暴力(破解)) 2.Command Injection(命令行注入) ...
Github Emojis API
架构大师笔记
11-24 2万+
100: "https://assets-cdn.github.com/images/icons/emoji/unicode/1f4af.png?v8",1234: "https://assets-cdn.github.com/images/icons/emoji/unicode/1f522.png?v8",+1: "https://assets-cdn.github.com/images/ico...
Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'.
热门推荐
php菜鸟技术天地
10-05 6万+
HTTPS页面里动态的引入HTTP资源,比如引入一个js文件,会被直接block掉的.在HTTPS页面里通过AJAX的方式请求HTTP资源,也会被直接block掉的。 Mixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request ha...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值