初级SQLmap注入实例
发布日期:2022-02-28 07:22:51
浏览次数:23
分类:技术文章
本文共 954 字,大约阅读时间需要 3 分钟。
初级SQLmap注入实例
前言
SQLmap是SQL注入的经典工具 尤其作为Kali Linux预装的注入工具,非常适合新手学习和使用 下面就通过一个简单的例子来了解SQLmap的基本用法
一、找到可能的注入参数
使用SQLmap进行注入时,url或本地文件中的url应当含有查询参数 否则SQLmap将无法定位可能的注入点,也就无法完成后续的工作
!
二、进行SQL注入
1.猜解可用数据库
输入以下命令
sqlmap -u <目标url> --dbs 目标url>执行时会出现三次提示 第一次是sqlmap已经匹配了数据库类型,是否要跳过对其他类型的测试(选择y) 第二次是是否只进行level(1)的扫描(选择n) 第三次是说sqlmap发现给出的参数是易受攻击的,是否对其他可能的项进行测试(选择y) 此时可以看到,我们成功获取了四个可用数据库
2.猜解可用数据库中的表
输入以下命令
sqlmap -u <目标url> --dbs -p <目标参数> -D <目标数据库> --tables 目标数据库> 目标参数> 目标url>
3.猜解表中的列
输入以下命令
sqlmap -u <目标url> --dbs -p <目标参数> -D <目标数据库> -T <目标表> --columns 目标表> 目标数据库> 目标参数> 目标url>
4.Dump列中的所有数据项
输入以下命令,此处列可以多选,用双引号括起来,不同的列中间用逗号隔开
sqlmap -u <目标url> --dbs -p <目标参数> -D <目标数据库> -T <目标表> -C <目标列> --dump 目标列> 目标表> 目标数据库> 目标参数> 目标url>
写在结尾
这次的实验是SQLmap最简单的用法 根据不同的请求方式(GET/POST),SQLmap的使用方式也不相同 更为复杂的情况还需要多进行手注才能更好的理解SQL注入的原理和变式 SQLmap中参数的记忆也比较容易: [1] u ----> url [2] p ----> param [3] D ----> DataBase [4] T ----> Table [5] C ----> Column
转载地址:https://blog.csdn.net/weixin_45854655/article/details/117393836 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
留言是一种美德,欢迎回访!
[***.207.175.100]2024年04月22日 21时12分39秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
#LeetCode215. 数组中的第K个最大元素 @FDDLC
2019-04-27
#Java集合:ArrayList @FDDLC
2019-04-27
#DeepClone、Clone #深复制、浅复制 #深拷贝、浅拷贝 @FDDLC
2019-04-27
#Java队列:Queue @FDDLC
2019-04-27
#Java教程:Vector
2019-04-27
#Java教程:双端队列-Deque @FDDLC
2019-04-27
#Java教程:LinkedList @FDDLC
2019-04-27
#Java中的栈:Stack @FDDLC
2019-04-27
#LeetCode108. 将有序数组转换为二叉搜索树 @FDDLC
2019-04-27
#LeetCode94. 二叉树的中序遍历 @FDDLC
2019-04-27
#LeetCode326. 3的幂 @FDDLC
2019-04-27
#Elasticsearch入门:环境搭建 @FDDLC
2019-04-27
#Elasticsearch的基本使用 @FDDLC
2019-04-27
#Elasticsearch中的查询 #标准分词器 @FDDLC
2019-04-27
#Windows创建快捷方式时去除后缀 #去除“快捷方式“后缀 @FDDLC
2019-04-27
#Elasticsearch中文分词器 #IK分词器 @FDDLC
2019-04-27