mysql sql注入工具_基础篇——SQL注入(工具注入)
注入工具
上一篇介绍了SQL注入漏洞以及一些手工注入方法,本篇介绍一下注入工具
1、sqlmap
sqlmap属于比较经典的一个注入工具,功能强大,还自带一些绕过参数
使用方法:
sqlmap.py -u “url” 对url连接进行注入检测
然后使用注入参数进行注入
-u //添加url进行检测
-dbs //进行数据库检测
-tables //猜解数据库表
-colums //猜解字段
--level 1~5 //设置注入等级最高5级
--risk 1~3 //设置危险等级
--data “参数内容” //post注入
-r 1.txt //对1.txt内容进行注入
--delay //延时
sqlmap自带绕过脚本temper
使用方法:
--temper 脚本名称
列出一些脚本:
apostrophemask.py 用UTF-8全角字符替换单引号字符
apostrophenullencode.py 用非法双字节unicode字符替换单引号字符
appendnullbyte.py 在payload末尾添加空字符编码
base64encode.py 对给定的payload全部字符使用Base64编码
between.py 分别用“NOT BETWEEN 0 AND #”替换大于号“>”,“BETWEEN # AND #”替换等于号“=”
bluecoat.py 在SQL语句之后用有效的随机空白符替换空格符,随后用“LIKE”替换等于号“=”
chardoubleencode.py 对给定的payload全部字符使用双重URL编码(不处理已经编码的字符)
charencode.py 对给定的payload全部字符使用URL编码(不处理已经编码的字符)
charunicodeencode.py 对给定的payload的非编码字符使用Unicode URL编码(不处理已经编码的字符)
concat2concatws.py 用“CONCAT_WS(MID(CHAR(0), 0, 0), A, B)”替换像“CONCAT(A, B)”的实例
equaltolike.py 用“LIKE”运算符替换全部等于号“=”
greatest.py 用“GREATEST”函数替换大于号“>”
halfversionedmorekeywords.py 在每个关键字之前添加MySQL注释
ifnull2ifisnull.py 用“IF(ISNULL(A), B, A)”替换像“IFNULL(A, B)”的实例
lowercase.py 用小写值替换每个关键字字符
modsecurityversioned.py 用注释包围完整的查询
modsecurityzeroversioned.py 用当中带有数字零的注释包围完整的查询
multiplespaces.py 在SQL关键字周围添加多个空格
2、啊D
啊D是一个图形化工具,直接在目标出输入url地址即可进行自动扫描
3、明小子
明小子也是一款图形化工具使用方法和啊D类似
mysql sql注入工具_基础篇——SQL注入(工具注入)相关推荐
- mysql的经典sql语句大全_经典SQL语句大全_基础篇_提升篇_技巧篇_开发经典篇
一.基础 1.说明:创建数据库 CREATE DATABASE database-name 2.说明:删除数据库 drop database dbname 3.说明:备份sql server --- ...
- SpringBoot基础篇Bean之条件注入之注解使用
bean的条件注入,除了前面一篇博文中介绍的通过@Conditional注解配合Condition接口的实现之外,还提供了更多简化的注解使用方式,省略了自己实现Condtion接口,本篇博文主要介绍下 ...
- Oracle、Mysql数据库编程开发基本操作命令语法脚本_基础篇(入门级)
Oracle.Mysql数据库开发基本操作命令语法脚本_基础篇(入门级) 文章目录 Oracle.Mysql数据库开发基本操作命令语法脚本_基础篇(入门级) 一.数据库中常用的字段类型 二.操作数据库 ...
- SQL常用语句(基础篇)
SQL常用语句(基础篇) 说明:创建数据库 CREATE DATABASE database-name 说明:删除数据库 drop database dbname 说明:备份sql server -创 ...
- Lunx运维监控_shark巨菜_基础篇
Lunx运维监控_shark巨菜_基础篇 一.监控重要性 单单从"监控"两个字来谈,范围之广可以涵盖我们生活的方方面面,我们生活和工作中处处可见视频监控的摄像机:机房中的电压电流监 ...
- 数据包工具--Scapy基础篇
数据包工具--Scapy基础篇 零.前言 一.Scapy是什么? 二.Scapy基础 1 利用pip安装库 2 基本使用 2.1 conf变量 2.2 lsc()方法 2.3 ls()方法 3 发送数 ...
- 视频教程-sql server 系列课程数据库维护篇-SQL Server
sql server 系列课程数据库维护篇 全栈工程师,2010年从事软件开发以及软件教育培训工作,至今将近十余年,在项目的开发,设计,到管理上积累了丰富的实战经验,教学风格上通俗易懂,问题解答环节一 ...
- GPU技术支持-基础篇-包管理工具
GPU技术支持-基础篇-包管理工具 目录 GPU技术支持-基础篇-包管理工具 前言 概述 包管理工具简介 dpkg「Debian Package」 rpm「RPM Package Manager」 依 ...
- 东华大学2020考研计算机复试准备上机题解析答案_基础篇 前言
东华2020考研复试准备上机题解析答案_基础篇 前言 大家好,我是今年参加东华大学研究生入学考试的学生,前不久东华大学发布了关于复试上机的通知,还有题库供大家练习.我于是刷完了所有的题目,并且把题目和 ...
最新文章
- 【直播】耿远昊:Pandas入门讲解(安泰第四届数据科学训练营)
- 丰度决定了细菌在复杂群落中的功能作用
- 2.0 pomelo-treasure官方demo的使用
- 6-java代码片段
- json 的简单应用
- IDEA入门(一):简介、安装
- tum数据集_数值预报尚能战否?来自数据驱动的挑战
- java 蓝桥杯 Huffuman树
- 在Ubuntu下进行MongoDB安装步骤
- javadocx转换成html_使用Java将Word转为Html或txt[转]
- 尚硅谷设计模式笔记-装饰者模式
- Handsontable 自定义菜单 自定义命令存放位置
- 计算机专业专转本题目(新考纲)
- 信息矩阵、海森矩阵、权重矩阵、协方差阵
- python3 获取电脑上某个点的颜色RGB值
- java无响应_Java HttpClient请求无响应解决方案
- 魔百盒CM211-2系列(ZG/CH/YS)海思MV300H/310芯片-刷机固件及教程
- swagger UI 使用
- 什么是元宇宙,它对未来意味着什么?
- npm yarn 包管理机制
热门文章
- 2018-2019-2 网络对抗技术 20165328 Exp4 恶意代码分析
- [Ubuntu+opencv]Ubuntu18.04安装opencv3.4.3
- Effective C++ 笔记(1)让自己习惯c++
- 1269: [AHOI2006]文本编辑器editor
- 软件工程个人作业4(课堂练习课堂作业)
- 我读的第一本书《梦断代码》
- 虚拟机 ubuntu10.04 安装 Mercury MW150U 无线网卡(AR9271芯片组)
- C# 连接 Sqlserver2005 Analysis Service的总结
- Asp.Net中global.asax文件的描述
- jsp文件命名规范_代码规范整理