0x00 SQLMAP简介
我们拥有10多年网页设计和网站建设经验,从网站策划到网站制作,我们的网页设计师为您提供的解决方案。为企业提供做网站、成都网站设计、微信开发、微信小程序定制开发、手机网站开发、成都h5网站建设、等业务。无论您有什么样的网站设计或者设计方案要求,我们都将富于创造性的提供专业设计服务并满足您的需求。sqlmap是一种开源的***测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常大的检测引擎、具有多种特性的***实测器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。
支持的数据库:mysql,oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase and SAP MaxDB
SQL注入技术:错误注入,基于时间的错误注入,报错注入,union注入
枚举数据:users,password hasher,privileges,roles,databases,tables and columns
0x01 Sqlmap扫描等级(共有7个等级,默认为1)
0、只显示python错误以及严重的信息
1、同时显示基本信息和警告信息。(默认)
2、同时显示debug信息
3、同时显示注入的payload
4、同时显示HTTP请求
5、同时显示HTTP响应头
6、同时显示HTTP响应面
0x02 获取目标方式
参数:-u 或 --url
0x03 从文本中获取多个目标扫描
参数:-m
文件中保存url格式如下,sqlmap会一个一个检测
0x04 从文件中加载HTTP请求
参数: -r
sqlmap可以从一个文本中获取HTTP请求,这样就可以跳过设置一些其他参数(比如cookie,POST数据,等等)。
0x05 POST方式注入
参数: --data
此参数是吧数据以post方式提交,sqlmap会像检测GET参数一样检测POST的参数。
0x06 设定超时时间
参数: --timeout
可以设定一个HTTP(S)请求超过多久判定为超时,10.5表示10.5秒,默认是30秒。
0x07 设定重试超时
参数: --retries
当HTTP(S)超时时,可以设定重新尝试连接次数,默认是3次
0x08 测试参数
*
在伪静态注入测试时,sqlmap无法直接使用测试参数,可以在想测试参数的参数后面加*
0x09 列举数据库系统的数据库
参数:--dbs
当前用户有权限读取包含所有数据库列表信息的表中的时候,即可列出所有的数据库。
0x10 列举数据库表
参数: --tables -D
列举指定数据库 -D xxxx 的所有表。如果不指定-D 则列举所有数据库中的所有表。
0x11 列举书库表中的字段
参数:--columns -T -D
列举指定数库,指定表中的字段。
0x12 获取表中数据个数
参数: --count
列举指定数据库表中的数据个数。
0x13 获取整个表的数据或某几个字段的数据。
--dump -D -T -C
列举某个数据库某个表的所有字段
列举某个数据库的某个表的某个字段的数据。
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
名称栏目:SqlMap使用手册-创新互联
网页路径:http://lswzjz.com/article/dpdsji.html