sqlmap是安全測試工具,通常用於對已知的http介面進行sql注入測試,一旦注入成功,可以獲取到後台包括資料庫表、使用者資訊、資料內容等多種敏感資訊,對web漏洞防範有重要意義。
經常使用的語法是:
python sqlmap.py -u [url]
也就是-u後面跟**,get方法直接在**後面跟?,post方法用–data=『***=***&yyy=yyy』格式傳送。
用這個方式探測注入點右後,如果存在注入點,就可以進行獲取資料的sql注入了。
比如檢視有哪些資料庫:
檢視當前資料庫:
檢視當前使用者:
檢視資料庫中有哪些表:
檢視表中有哪些字段:
檢視字段內容:
這樣一步一步下來把使用者資訊全得到了。其他資料也是如此,就是常說的被拖庫了。
利用上面的繞過指令碼,可以有利於平常的測試。
sqlmap 基本使用
原文 遇到sql注入就sqlmap一把梭,有一說一,這個工具確實好用,不過還是要了解sql注入原理,不然只能做個指令碼小子,簡單了解一下 介紹之前,先簡單了解一下sqlmap的引數,可以利用 sqlmap h 查詢,這裡簡單介紹幾個常用的 u url r 檔案 dbs 獲取庫名 d 庫名 table...
SQLMAP基本使用
sqlmap u sqlmap u dbs sqlmap u current db sqlmap u d vhost48330 tables vhost48330 為指定資料庫名稱 sqlmap u d vhost48330 t admin columns admin 為指定表名稱 sqlmap u...
sqlmap基本使用說明
h v usage python sqlmap options options h,help 顯示基本的幫助資訊 hh 顯示高階幫助資訊 version 顯示sqlmap版本資訊 v verbose 輸出資訊的詳細級別 0 6 預設為1 target 至少要有乙個target引數來確定攻擊目標 u ...