SQLMAP-POST注入
BUGKU-ctf作为国内著名的ctf联系靶场,拥有丰富的题型加强我们的ctf水平。下面就是一次我认为比较典型的sql post注入题型。
抓包,复制出来打成一个txt文件
sqlmap -r test.txt -p admin_name –dbs
因为博主懒的没有在win环境下下载sqlmap,使用kali中自带sqlmap工具。下面简单解释一下工具命令。
![] https://ssb6666.github.io/2018/08/17/SQLMAP-POST注入/2.png)
* -r 指定一个文件。
-p 指定参数,如图我指定提交表单中的admin_name作为参数进行注入。
–dbs 爆出所有的数据库。
点击回车运行,竟然发现无法进行sql注入!
上图是我进行注入失败,后面继续追加了下面的参数
-v 这个是展现攻击测试的详细过程的程度,一般设为3就足够。
–threads 这个见词知意,为线程数,博主一般将此设为10,这个根据每个人的电脑配置,酌情增加。
sqlmap -r test.txt -p admin_name –dbs –threads 10 -v 3 –level 3
如图,发现这个SQL注入并不是平常的单引号闭合,而是双引号闭合,而sqlmap只有在level=3时才会测试双引号。
解释参数:
- –level 这个参数表示sqlmap进行测试的程度,数值为1~5,一般将其设为3,因为如果你给的数值越大,代表工具会变慢,很容易影响进度。
sqlmap -r test.txt -p admin_name -D bugkusql1 –threads 10 -v 3 –level 3 –table
sqlmap -r test.txt -p admin_name -D bugkusql1 –threads 10 -v 3 –level 3 -T flag1 -C flag1 –dump
这些就是爆表,爆字段,跟平常的sqlmap使用并无区别,因此不再做详细解释。
解释参数:
-D 指定数据库。
-T 指定表。
–table 数据库爆表名。
* –dump 显示所有字段。
题目地址
SQLMAP-POST注入相关推荐
- 【安全牛学习笔记】SQLMAP自动注入-REQUEST
SQLMAP自动注入-----REQUEST 数据段: --data get/post都适用 sqlmap -u "http://1.1.1.1/a.php" --data=& ...
- SQL注入攻击及防御 手动注入+sqlmap自动化注入实战(网络安全学习12)
CONTENTS 1 项目实验环境 2 SQL注入概述 2.1 SQL注入简介 2.2 SQL注入的危害 3 SQL基础回顾 3.1 联合查询union 3.2 information_schema数 ...
- sqlmap中转注入
当使用 sqlmap 测试注入点时出现下列信息时,就需要在请求网址时忽略SSL证书 python3 sqlmap.py -u "http://xxxx?&daxxtae=null&a ...
- 【安全牛学习笔记】SQLMAP自动注入-INHECTION、DETECTION、TECHNIQUES
SQLMAP自动注入04-----INJECTION -p 指定扫描的参数,使--level失效 -p "user-agent,referer" --skip 排除指定的扫描参数 ...
- 【安全牛学习笔记】课时94 SQLMAP自动注入-REQUEST和SQLMAP自动注入-OPTIMIZATION
SQLMAP自动注入02-----REQUEST --delay 每次http(s)请求之间延迟时间,浮点数,单位为秒,默认无延迟 --timeout 请求超时时间,浮点数,默认为30秒 --retr ...
- sqlmap自动扫描注入点_同天上降魔主,真是人间太岁神——SQLMAP 高级教程
昨天对一个网站做渗透测试,本来想自己写脚本来sql注入的,但是觉得麻烦还是用了sqlmap 这一用发现sqlmap好多好玩的地方,以前用sqlmap 也就 -r -u ,觉得这样就够用了,直到昨天才发 ...
- Sqlmap -- POST注入
想归想,难过归难过,若你岁岁平安,我可生生不见... ---- 网易云热评 一.检测是否存在注入 1.通过BurpSuite抓包获取提交的数据 2.sqlmap -u "http://19 ...
- Sqlmap 渗透注入总是显示无法连接目标网络问题分析与解决
问题如下: [CRITICAL] connection reset to the target URL. sqlmap is going to retry the request(s) 分析与解决: ...
- SQLMAP数据库注入工具下载安装
介绍 Sqlmap 是一个自动化的 SQL 注入工具,其主要功能是扫描.发现并利用给定的 Url 的 Sql 注入漏洞,目前支持 MySQL. Oracle. PostgreSQL. Microsof ...
- Sqlmap(SQL注入自动化工具)
简介 开源的SQL注入漏洞检测的工具,能够检测动态页面中的get/post参数,cookie,http头,还能够查看数据,文件系统访问,甚至能够操作系统命令执行. 检测方式:布尔盲注.时间盲注.报错注 ...
最新文章
- with as python_python - with as的用法
- 如何使用Hadoop的JobControl
- Matlab符号运算 - 解微分方程
- 1.1.10 从二分查找BinarySearch开启算法学习之路---《java算法第四版》
- 看完这些,孩子的学习效率提高10倍
- phpcms文章的发布时间改为可输入的文本框
- Object类解析(简)
- 让大家信任自己,做个行为和语言上都没黑盒子的技术人员(转)
- python编程例子-python网络编程实例简析
- win10如何安装IIS
- 简单的安卓网络音乐视频播放器app
- 重新认识融云,「不止即时通讯」
- dw在html中删除css样式表,DW里CSS的详细介绍
- 以太网以及车载以太网概述
- FFMPEG保存H264流到AVI文件中形成录像
- mLife | DANMEL:面向细菌耐药移动元件分析的手工精细注释参考数据库
- 基于JSP的超市会员管理系统毕业设计
- 重回童年4399| 【黄金矿工】游戏制作+解析
- 三分屏课件制作_剪映如何制作三宫格视频(分屏功能)详细制作步骤
- 基于均一化方法的Trip钢本构模型在Abaqus中umat子程序的实现