点击上方蓝字“开源优测”一起玩耍

声明

本公众号所有内容,均属微信公众号: 开源优测  所有,任何媒体、网站或个人未经授权不得转载、链接、转贴或以其他方式复制发布/发表。已经本公众号协议授权的媒体、网站,在使用时必须注明"稿件来源微信公众号:开源优测",违者本公众号将依法追究责任。

SQL注入测试神器sqlmap

介绍

sqlmap 是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。

它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

官网

sqlmap官网

http://sqlmap.org/

前提

sqlmap是基于python2.x进行开发的,所以要使用sqlmap请先安装python2,建议安装python2.7.x系列。

安装

方法一:

从这里下载:

https://github.com/sqlmapproject/sqlmap/tarball/master

或是

https://github.com/sqlmapproject/sqlmap/zipball/master

下载后,解压到sqlmap目录中,目录结构如下图所示(笔者解压到C:\sqlmap下):

切换至C:\sqlmap目录,使用以下命令,查看sqlmap基本用法和命令行参数:

python sqlmap.py -h

结果如下图所示:

查看sqlmap所有的用法和命令行参数:

python sqlmap.py -hh

结果如下图所示:

示例

下面我们对一个目标mysql来一个简单的命令试试(注,请使用你自己搭建的测试mysql服务):

python sqlmap.py -d "mysql://admin:admin@localhost:3306/test" -f --banner --dbs --users

至于会有什么结果,请看下图:

对于如何入门使用,请看如下视频:

https://asciinema.org/a/46601

手册

对于更详细的使用手册,请参见:

https://github.com/sqlmapproject/sqlmap/wiki/Usage

开源优测

分享软件测试开源技术、经验、方案的首发平台

长按二维码/微信扫描 关注开源优测

QQ群:260407012

苦叶子私人微信:liyimin1912

有问题,可留言或加好友进微信群

苦叶子原创文章首发平台

SQL注入测试神器sqlmap相关推荐

  1. SqlMap自动化SQL注入测试工具简绍

    Sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器.它配备了强大的检测引擎,为终极渗透测试仪提供了许多小众功能,以及从数据库指纹识别,从数据库获取数据到访问底层文 ...

  2. 如何防范SQL注入 SQL注入测试

    从测试来进行测试SQL注入. 首先,看看SQL注入攻击能分为以下三种类型: Inband: 数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL注入获取的信息直接反映到应用程序的Web页 ...

  3. 安全测试中sql注入测试思路

    在找好需要测试的功能点之后,针对每种功能点(参数),sql注入测试一般遵循下面步骤: 1. 测试注入类型,数字型or字符型 如果参数中直接包含字母,那么直接可以判断是字符型参数,如id=4a. 若参数 ...

  4. 使用Sqlmap对dvwa进行sql注入测试(初级阶段)

    0.测试准备 1)打开Kali虚拟机终端; 2)打开靶机OWASP,并通过浏览器,输入IP地址进入dvwa的主页,然后选择SQL injection进入SQL注入的测试页面 1.获取DVWA的url和 ...

  5. jdbctemplate 执行多条sql_白帽推荐:可以自动检索、挖掘sql注入的神器,sqlmap入门实战

    学习web渗透的小白,必须有一份sqlmap的入门档案,收藏好,以备不时之需哈! Sqlmap介绍 sqlmap是一个自动化的SQL注入工具,其主要功能就是扫描.发现并利用给定的URL的SQL注入漏洞 ...

  6. 安全测试之sql注入测试

    这篇文章,主要是来总结一下,sql注入应该如何去测试. 测试端:数据库服务端 测试点:sql注入 使用工具:burpsuit或Appscan工具或手工或sqlmap 测试方案: 1.使用ibatis或 ...

  7. sql注入漏洞和sqlmap的使用

    目录 什么是sql漏洞: sql语言: 数据库和网页用户请求的原理: sql注入原理: sql注入检测: sql注入检测工具: 实例演示: 漏洞防御 什么是sql漏洞: 这边采用了皮卡丘的sql漏洞的 ...

  8. 怎么进行mysql注入测试_MySQL for Java的SQL注入测试

    只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 基本上参加工作了一段时间之后还是这么认为的, 没错, 这句是 ...

  9. MySQL for Java的SQL注入测试

    2019独角兽企业重金招聘Python工程师标准>>> 只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止 ...

最新文章

  1. 计算机视觉与深度学习 | ORB特征提取:基于OpenCV+Python(附代码)
  2. Element UI——日期时间选择器el-date-picker开始时间与结束时间约束解决方案
  3. G1 垃圾收集器原理详解
  4. linux之安装Clion和运行使用总结
  5. 三个不同线程顺序打印ABC十种写法,看到就是赚到!
  6. Android-LayoutInflater
  7. 导航守卫与keep-alive
  8. 删除下拉框只找23火星软件_用Rhino秀个火星榨汁机?
  9. js 获取father_layer弹出子iframe层父子页面传值
  10. 电脑打开应用程序提示配置系统未能初始化--解决方案
  11. 小程序apkg还原_狐妖小红娘手游背后,有这样一群“天真”的人
  12. 【测试工具】xenu检查网站死链接工具
  13. 固态硬盘数据丢失能恢复吗?含泪分享:固态硬盘数据恢复方法
  14. android amr 播放器,Android使用createInnerAudioContext无法播放amr?
  15. python针对Excel表格的操作
  16. 自定义Dialog去除白色背景 + Dialog其他用法
  17. Android 关机时的radio相关关闭流程
  18. html中的那些炫酷吊炸天的操作
  19. 基于单片机定时闹钟设计
  20. Vue2速成手册(原创不易,转载请注明出处)

热门文章

  1. VR虚拟现实心理脱敏训练系统整体解决方案
  2. 基于html的美食网站 奶茶网页设计与实现(HTML+CSS+JavaScript)
  3. 产品学习笔记(产品分析报告篇)
  4. Electron中的消息通知
  5. 亚马逊评价计算器 分析评价利器
  6. (附源码)小程序记账微信小程序 毕业设计180815
  7. 马来西亚房产是否值得投资?
  8. 揭秘经典案例炼成之道 微信开发者大会精华回顾
  9. element table表格表头显示斜杠/斜线
  10. 建设一个SaaS平台需要知道什么,做什么