注入工具

上一篇介绍了SQL注入漏洞以及一些手工注入方法,本篇介绍一下注入工具

1、sqlmap

sqlmap属于比较经典的一个注入工具,功能强大,还自带一些绕过参数

使用方法:

sqlmap.py -u “url”  对url连接进行注入检测

然后使用注入参数进行注入

-u  //添加url进行检测

-dbs  //进行数据库检测

-tables  //猜解数据库表

-colums  //猜解字段

--level 1~5  //设置注入等级最高5级

--risk  1~3  //设置危险等级

--data  “参数内容”   //post注入

-r 1.txt  //对1.txt内容进行注入

--delay  //延时

sqlmap自带绕过脚本temper

使用方法:

--temper 脚本名称

列出一些脚本:

apostrophemask.py 用UTF-8全角字符替换单引号字符

apostrophenullencode.py 用非法双字节unicode字符替换单引号字符

appendnullbyte.py 在payload末尾添加空字符编码

base64encode.py 对给定的payload全部字符使用Base64编码

between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=”

bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符,随后用“LIKE”替换等于号“=”

chardoubleencode.py 对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)

charencode.py 对给定的payload全部字符使用URL编码(不处理已经编码的字符)

charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码(不处理已经编码的字符)

concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例

equaltolike.py 用“LIKE”运算符替换全部等于号“=”

greatest.py 用“GREATEST”函数替换大于号“>”

halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释

ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例

lowercase.py 用小写值替换每个关键字字符

modsecurityversioned.py 用注释包围完整的查询

modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询

multiplespaces.py 在SQL关键字周围添加多个空格

2、啊D

啊D是一个图形化工具,直接在目标出输入url地址即可进行自动扫描

3、明小子

明小子也是一款图形化工具使用方法和啊D类似

mysql sql注入工具_基础篇——SQL注入(工具注入)相关推荐

  1. mysql的经典sql语句大全_经典SQL语句大全_基础篇_提升篇_技巧篇_开发经典篇

    一.基础 1.说明:创建数据库 CREATE DATABASE database-name 2.说明:删除数据库 drop database dbname 3.说明:备份sql server --- ...

  2. SpringBoot基础篇Bean之条件注入之注解使用

    bean的条件注入,除了前面一篇博文中介绍的通过@Conditional注解配合Condition接口的实现之外,还提供了更多简化的注解使用方式,省略了自己实现Condtion接口,本篇博文主要介绍下 ...

  3. Oracle、Mysql数据库编程开发基本操作命令语法脚本_基础篇(入门级)

    Oracle.Mysql数据库开发基本操作命令语法脚本_基础篇(入门级) 文章目录 Oracle.Mysql数据库开发基本操作命令语法脚本_基础篇(入门级) 一.数据库中常用的字段类型 二.操作数据库 ...

  4. SQL常用语句(基础篇)

    SQL常用语句(基础篇) 说明:创建数据库 CREATE DATABASE database-name 说明:删除数据库 drop database dbname 说明:备份sql server -创 ...

  5. Lunx运维监控_shark巨菜_基础篇

    Lunx运维监控_shark巨菜_基础篇 一.监控重要性 单单从"监控"两个字来谈,范围之广可以涵盖我们生活的方方面面,我们生活和工作中处处可见视频监控的摄像机:机房中的电压电流监 ...

  6. 数据包工具--Scapy基础篇

    数据包工具--Scapy基础篇 零.前言 一.Scapy是什么? 二.Scapy基础 1 利用pip安装库 2 基本使用 2.1 conf变量 2.2 lsc()方法 2.3 ls()方法 3 发送数 ...

  7. 视频教程-sql server 系列课程数据库维护篇-SQL Server

    sql server 系列课程数据库维护篇 全栈工程师,2010年从事软件开发以及软件教育培训工作,至今将近十余年,在项目的开发,设计,到管理上积累了丰富的实战经验,教学风格上通俗易懂,问题解答环节一 ...

  8. GPU技术支持-基础篇-包管理工具

    GPU技术支持-基础篇-包管理工具 目录 GPU技术支持-基础篇-包管理工具 前言 概述 包管理工具简介 dpkg「Debian Package」 rpm「RPM Package Manager」 依 ...

  9. 东华大学2020考研计算机复试准备上机题解析答案_基础篇 前言

    东华2020考研复试准备上机题解析答案_基础篇 前言 大家好,我是今年参加东华大学研究生入学考试的学生,前不久东华大学发布了关于复试上机的通知,还有题库供大家练习.我于是刷完了所有的题目,并且把题目和 ...

最新文章

  1. 【直播】耿远昊:Pandas入门讲解(安泰第四届数据科学训练营)
  2. 丰度决定了细菌在复杂群落中的功能作用
  3. 2.0 pomelo-treasure官方demo的使用
  4. 6-java代码片段
  5. json 的简单应用
  6. IDEA入门(一):简介、安装
  7. tum数据集_数值预报尚能战否?来自数据驱动的挑战
  8. java 蓝桥杯 Huffuman树
  9. 在Ubuntu下进行MongoDB安装步骤
  10. javadocx转换成html_使用Java将Word转为Html或txt[转]
  11. 尚硅谷设计模式笔记-装饰者模式
  12. Handsontable 自定义菜单 自定义命令存放位置
  13. 计算机专业专转本题目(新考纲)
  14. 信息矩阵、海森矩阵、权重矩阵、协方差阵
  15. python3 获取电脑上某个点的颜色RGB值
  16. java无响应_Java HttpClient请求无响应解决方案
  17. 魔百盒CM211-2系列(ZG/CH/YS)海思MV300H/310芯片-刷机固件及教程
  18. swagger UI 使用
  19. 什么是元宇宙,它对未来意味着什么?
  20. npm yarn 包管理机制

热门文章

  1. 2018-2019-2 网络对抗技术 20165328 Exp4 恶意代码分析
  2. [Ubuntu+opencv]Ubuntu18.04安装opencv3.4.3
  3. Effective C++ 笔记(1)让自己习惯c++
  4. 1269: [AHOI2006]文本编辑器editor
  5. 软件工程个人作业4(课堂练习课堂作业)
  6. 我读的第一本书《梦断代码》
  7. 虚拟机 ubuntu10.04 安装 Mercury MW150U 无线网卡(AR9271芯片组)
  8. C# 连接 Sqlserver2005 Analysis Service的总结
  9. Asp.Net中global.asax文件的描述
  10. jsp文件命名规范_代码规范整理