2. 程式人生 > >sql注入工具:sqlmap命令

sql注入工具:sqlmap命令

阿新 發佈:2018-12-30

  sqlmap是一款專業的sql注入工具, 讓你告別人工注入, 程式高效自動注入

  前提是你有找到注入點 , 工具的官方網站:http://sqlmap.org/

  kali系統預設安裝sqlmap, 不需要額外安裝:

  sqlmap的命令列幫助:

        ___
       __H__
 ___ ___[.]_____ ___ ___  {1.1.11#stable}
|_ -| . [,]     | .'| . |
|___|_  [']_|_|_|__,|  _|
      |_|V          |_|   http://sqlmap.org

Usage: python sqlmap [options]

Options:
  
 
-h, --help            Show basic help message and exit
  -hh                   Show advanced help message and exit
  --version             Show program's version number and exit
  -v VERBOSE            Verbosity level: 0-6 (default 1)

  Target:
    At least one of these options has to be provided to define the
    target(s)

    
 
-u URL, --url=URL   Target URL (e.g. "http://www.site.com/vuln.php?id=1")
    -g GOOGLEDORK       Process Google dork results as target URLs

  Request:
    These options can be used to specify how to connect to the target URL

    --data=DATA         Data string to be sent through POST
    --cookie=COOKIE     HTTP Cookie header value
    
 
--random-agent      Use randomly selected HTTP User-Agent header value
    --proxy=PROXY       Use a proxy to connect to the target URL
    --tor               Use Tor anonymity network
    --check-tor         Check to see if Tor is used properly

  Injection:
    These options can be used to specify which parameters to test for,
    provide custom injection payloads and optional tampering scripts

    -p TESTPARAMETER    Testable parameter(s)
    --dbms=DBMS         Force back-end DBMS to this value

  Detection:
    These options can be used to customize the detection phase

    --level=LEVEL       Level of tests to perform (1-5, default 1)
    --risk=RISK         Risk of tests to perform (1-3, default 1)

  Techniques:
    These options can be used to tweak testing of specific SQL injection
    techniques

    --technique=TECH    SQL injection techniques to use (default "BEUSTQ")

  Enumeration:
    These options can be used to enumerate the back-end database
    management system information, structure and data contained in the
    tables. Moreover you can run your own SQL statements

    -a, --all           Retrieve everything
    -b, --banner        Retrieve DBMS banner
    --current-user      Retrieve DBMS current user
    --current-db        Retrieve DBMS current database
    --passwords         Enumerate DBMS users password hashes
    --tables            Enumerate DBMS database tables
    --columns           Enumerate DBMS database table columns
    --schema            Enumerate DBMS schema
    --dump              Dump DBMS database table entries
    --dump-all          Dump all DBMS databases tables entries
    -D DB               DBMS database to enumerate
    -T TBL              DBMS database table(s) to enumerate
    -C COL              DBMS database table column(s) to enumerate

  Operating system access:
    These options can be used to access the back-end database management
    system underlying operating system

    --os-shell          Prompt for an interactive operating system shell
    --os-pwn            Prompt for an OOB shell, Meterpreter or VNC

  General:
    These options can be used to set some general working parameters

    --batch             Never ask for user input, use the default behaviour
    --flush-session     Flush session files for current target

  Miscellaneous:
    --sqlmap-shell      Prompt for an interactive sqlmap shell
    --wizard            Simple wizard interface for beginner users

  列舉資料庫列表:

sqlmap -u http://URL地址/index.php?id=1 --dbs

  根據資料庫, 列舉資料庫表:

sqlmap -u http://URL地址/index.php?id=1 -D 資料庫 --tables

  根據資料庫和,資料庫表, 列舉資料表結構:

sqlmap -u http://URL地址/index.php?id=1 -D 資料庫 -T 資料庫表 --columns

  根據資料庫表結構, 列舉表資料:

sqlmap -u http://URL地址/index.php?id=1 -D 資料庫 -T 資料庫表 -C 資料庫表名1,資料庫表名2 --dump

相關推薦

sql注入工具sqlmap命令

  sqlmap是一款專業的sql注入工具, 讓你告別人工注入, 程式高效自動注入   前提是你有找到注入點 , 工具的官方網站:http://sqlmap.org/   kali系統預設安裝sqlmap, 不需要額外安裝:   sqlmap的命令列幫助: ___

java9新特性-5-Java的REPL工具 jShell命令

使用外部 基本使用 except 包含 gem 方式 輸入 列表 cimage 1.官方Feature 222: jshell: The Java Shell (Read-Eval-Print Loop) 2.產生背景 像Python 和 Scala 之類的語言

第十一章 命令傳參過濾器、命令組合工具xargs命令

shell命令傳參過濾器 shell命令組合工具 shell xargs命令 第十一章 命令傳參過濾器、命令組合工具:xargs命令 名詞解釋 xargs命令 是給其他命令傳遞參數的一個過濾器,也是組合多個命令的一個工具。它擅長將標準輸入數據轉換成命令行參數,xargs能夠處理管道或者stdin並

第十二章 字符轉換、刪除及壓縮工具tr命令

字符轉換、刪除及壓縮工具:tr tr命令 第十二章 字符轉換、刪除及壓縮工具:tr命令 名字解釋 tr命令 可以對來自標準輸入的字符進行替換、壓縮和刪除。它可以將一組字符變成另一組字符,經常用來編寫優美的單行命令,作用很強大。 語法 tr (選項) (參數) 選項 -c或--complerment:

推薦一款編輯SQL工具jsqlparser

for git 更強 追加 In 操作性 IT 很多 而是 這個工具真的挺好用的,采用的是觀察者模式,Visitor。 雖然我學過這個模式,但是乍一用還是有點懵逼的。 給好一個SQL語句之後,jsqlparser可以把這個sql語句給分解成all kind of par

第十六章 在文件中搜索文本工具grep命令 和egrep命令

oot his a-z 多個 查找 sea 內容 args lar 第十六章 在文件中搜索文本工具:grep命令 和egrep命令 名詞解釋 grep(global search regular expression(RE)and print out the line,全面

第十七章 按列切分文件字段工具cut命令

con 默認 ont del int ESS cat 一是 合並 第十七章 按列切分文件字段工具:cut命令 名詞解釋 cut 命令 用來顯示行中的指定部分內容,刪除文件中指定字段。cut經常用來顯示文件的內容,類似於type命令。 說明:該命令有兩項功能,其一是用來顯示文

SQL注入攻擊之SQLMap滲透測試

準備工具:Python2.7.9、SQLMap、FireFox外掛Tamper Data SQLMap進行滲透測試 FireFox外掛Tamper Data用於獲取Post引數資料和Cookie值 示例: SQLMap POST方法:sqlmap.py -u "http:/

安全攻防之SQL注入(通過sqlmap搞定所有問題)

第一步: sqlmap基於Python,所以首先下載: http://yunpan.cn/QiCBLZtGGTa7U  訪問密碼 c26e 第二步: 安裝Python,將sqlmap解壓到Python根目錄下; 第三步: 小試牛刀,檢視sqlmap版本: python sqlmap/sqlmap.py -

SQL注入例項避免後端SQL語句拼接操作

1 例項-後端邏輯 以下是基於pymysql的一個例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db

SqlMap自動化SQL注入測試工具簡紹

Sqlmap是一個開源的滲透測試工具,可以自動檢測和利用SQL注入漏洞並接管資料庫伺服器。它配備了強大的檢測引擎,為終極滲透測試儀提供了許多小眾功能,以及從資料庫指紋識別,從資料庫獲取資料到訪問底層檔案系統以及在作業系統上執行各種命令。 演示: # 使用SqlMap在特定目標URL上進行SQ

2018-10 第一次DVWA靶機爆破SQL注入漏洞記錄(GET方法,使用SQLMAP、任意抓包工具

首先進入DVWA,調整安全級別為low。 開啟SQL Injection頁面,ID欄輸入1 因為DVWA需要登入,所以使用Burp Suite抓包,包裡包含了cookie。 將抓包內容儲存至本地(/root/test) 開啟終端,輸入: sqlmap

暑期練習web18簡單的sql注入1,2(實驗吧)手工注入sqlmap

目前只會做1和2。。3的話網上查了wp不知道他們sqlmap沒防任何過濾咱們跑出來的。。。等來年長了本事了,一定要自己手工做出來 注入1的話呢,在輸入1’ or ‘1’=’1的時候就發現存在過濾,後來發現是空格被過濾了,所以我們用註釋符/*來替換空格,注入1的

使用sqlmap工具測試網站安全性(sql注入等)

sqlmap工具的正常使用依賴python,所以要先安裝python。 python下載地址:https://www.python.org/(下載2.7版本的) sqlmap下載地址:http://sqlmap.org/ 這兩個安裝好之後,把路徑寫入環境變數,便於使用。 1

SQL注入--sqlmap自動化注入工具

小編使用的是kali2.0的系統,自帶sqlmap1.0版本 相對於手工注入,自動化工具更加快捷不用反覆寫入SQL語句,但是不如手工注入的靈活性好,二者各有千秋,在適合的時候使用適合的方法才能擁有最高的工作效率 簡單的使用過程如下 後邊我會把最新版的sqlmap下載地址放出

詳解Shell腳本sed命令工具 ,awk命令工具

概念 roc 自動 剪切 一位數 工作 shadow 粘貼 amp -----------------------------概述----------------------------------- Linux文本處理工具(以下都是命令和工具,而且只是作為展示,不能作為

推薦一個高大上的網易雲音樂命令行播放工具musicbox

setup.py 根據 load 開發 .py 排行 ogr class 圖片 網易雲音樂上有很多適合程序猿的歌單,但是今天文章介紹的不是這些適合程序員工作時聽的歌,而是一個用Python開發的開源播放器,專門適用於網易雲音樂的播放。這個播放器的名稱為MusicBox, 特

SQL注入命令

sqlmap -u “http://url/news?id=1″ –current-user #獲取當前使用者名稱稱 sqlmap -u “http://www.xxoo.com/news?id=1″ –current-db #獲取當前數 據庫名稱 sqlmap -u “http://www

滲透測試SQL注入攻擊(ASP)

分類: 滲透測試 SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。

[實戰]使用SQLmap進行SQL注入

一、什麼是SQLmap? SQLmap是一款用來檢測與利用SQL注入漏洞的免費開源工具,有一個非常棒的特性,即對檢測與利用的自動化處理(資料庫指紋、訪問底層檔案系統、執行命令)。 備註:SQLmap是python程式碼 二、SQL注入