一、简介

sqlmap,一款开源的sql自动注入工具,可以用来检测和利用sql注入漏洞。

渗透平台:sqli-labs

二、常见命令

参数 作用 举例
-u 指定目标URL python sqlmap.py -u "http://localhost/sqli-labs-master/Less-1/?id=1"
-p 指定测试参数  -u ''../?username=1&passwd=2" -p "username,passwd"
--dbs       列出所有数据库
--tables -D 列出指定数据库的表名 --tables -D "security"
--columns -T 列出指定表格的列名 --columns -T "emails"
--dump         例举表中所有数据
-tables | -T 列出所有表名|show指定表名  --columns -T "emails"
--common-tables 暴力破解table

--common-tables -D security
--common-columns 暴力破解column
-v 设置输出信息的详细程度

0:仅显示 Python 回溯,错误和严重消息。
1:还显示信息和警告消息。
2:还显示调试消息。
3:还显示注入的有效载荷。
4:还显示 HTTP 请求。
5:还显示 HTTP 响应的标头。
6:还显示 HTTP 响应的页面内容。
-lever 检测级别,默认为1

默认GET/POST参数的注入测试

lever>=2从HTTP cookie 头值注入测试

lever>=3,进行User-Agent和Referer的注入测试

总而言之,检测 SQL 注入越难,则 --level 最好越高
--rike 风险等级,默认为1

risk=1,默认对sql注入点无害

risk=2,基于查询时间的 SQL 注入

risk=3,添加 or 基于 SQL 注入的测试
-m 批量扫描url文件 python sqlmap.py -m url.txt
-r               从文本加载http请求
--data post请求载体数据 -u url --data "uname=1&passwd=2"
--param_del 参数分割 例如:--data"uname=1;passwd=2"中将默认分割符“&”改为“;”  --param_del=";

Sqlmap教程:从入门到入狱指南相关推荐

  1. 史上最全的CTF保姆教程 从入门到入狱【带工具】

    下面分享的资源包含国内9套教程 教程1-CTF从入门到提升四周学习视频教程 教程2-信息安全 CTF比赛培训教程 教程3-CTF从入门到提升 教程4-CTF培训web网络安全基础入门渗透测试教程 教程 ...

  2. mxGraph进阶(一)mxGraph教程-开发入门指南

    mxGraph教程-开发入门指南 概述 mxGraph是一个JS绘图组件适用于需要在网页中设计/编辑Workflow/BPM流程图.图表.网络图和普通图形的Web应用程序.mxgraph下载包中包括用 ...

  3. java akka 教程_快速入门 Akka Java 指南

    快速入门 Akka Java 指南 Akka 是一个用于在 JVM 上构建高并发.分布式和容错的事件驱动应用程序的运行时工具包.Akka 既可以用于 Java,也可以用于 Scala.本指南通过描述 ...

  4. eBPF 入门开发实践指南三:在 eBPF 中使用 fentry 监测捕获 unlink 系统调用

    eBPF (Extended Berkeley Packet Filter) 是 Linux 内核上的一个强大的网络和性能分析工具.它允许开发者在内核运行时动态加载.更新和运行用户定义的代码. 本文是 ...

  5. ChatGPT 教程 - 从入门到精通-part2-完整版

    文章目录 简介: 1.引言 2.ChatGPT 简介 2.1 什么是 ChatGPT? 2.2 ChatGPT 的应用领域 2.3 ChatGPT 的优势和限制 3.准备工作 3.1 安装 ChatG ...

  6. python语言入门详解-python初级教程:入门详解

    python初级教程:入门详解 Crifan Li 目录 前言 .................................................................... ...

  7. Android Studio2.0 教程从入门到精通Windows版

    系列教程 Android Studio2.0 教程从入门到精通Windows版 - 安装篇 Android Studio2.0 教程从入门到精通Windows版 - 入门篇 Android Studi ...

  8. grub4dos初级教程-入门篇

    grub4dos初级教程-入门篇 2008年04月21日 星期一 15:37 0 为何写此初级教程? 假如你是第一次听说grub,你可能说我不需要grub.那么,你是否用过"一键ghost& ...

  9. 单片机独立式按键c语言程序,(原创)51单片机C语言程序设计--速学教程实例(入门篇)之独立按键(查询)...

    (原创)51单片机C语言程序设计--速学教程实例(入门篇)之独立按键(查询) /************************************************************ ...

最新文章

  1. 【转】Visual Studio 2010 架构图之用例图(UML Use Case Diagram)
  2. 对网页是否为当前展示标签页、是否最小化、以及是否后台运行进行监听
  3. OpenCV场景文本识别的实例(附完整代码)
  4. 支持python开发的环境有哪些变化_Python开发实践:打造完美的项目工程环境
  5. 输出cglib以及jdk动态代理产生的class文件
  6. Java 范例 - 线程
  7. java中阻止类的继承
  8. 机器学习的几种主要学习方法
  9. 地区picker 各选择器,优劣分析
  10. spark中local模式与cluster模式使用场景_详细总结spark基于standalone、yarn集群提交作业流程...
  11. 社会工程学之《反欺骗的艺术》小结(三)
  12. MySQL数据库创建表格,及增删改查的综合使用
  13. 【原创】St2-057检测工具(Apache Struts2远程代码执行高危漏洞)
  14. 洛谷p3764签到题3
  15. excel锁定某一列,不给修改
  16. 卫星系统算法课程设计 - 第一部分:城市时间窗口、间隙等
  17. 计算机网络有客户 服务器和对等模式,四种网络工作模式有:对等模式、客户/服务器模式以及( )、( ),...
  18. echarts从全国地图切换成省级地图地图不居中的问题
  19. resulful规范_resultful风格接口
  20. notify()和notifyAll()有什么区别

热门文章

  1. 51单片机演奏音乐--源代码
  2. 【python】给你女神制作一个520图片墙吧~
  3. Sangfor PDLAN 实验
  4. iOS中,系统相册的那些事
  5. 程序员揭露弹性工作时间制背后的隐情
  6. 从1G免费邮箱看互联网新一轮“圈地运动”
  7. java毕设项目酒店管理系统(附源码)
  8. matlab 异或运算符号,MATLAB运算符
  9. 搭建管理驾驶舱--以结果倒逼过程管理
  10. pusher 创建新应用_3.5 使用Pusher发送事件