SQL注入--sqlmap自动化注入工具
2016-10-09 20:34
148 查看
小编使用的是kali2.0的系统,自带sqlmap1.0版本
相对于手工注入,自动化工具更加快捷不用反复写入SQL语句,但是不如手工注入的灵活性好,二者各有千秋,在适合的时候使用适合的方法才能拥有最高的工作效率
简单的使用过程如下 后边我会把最新版的sqlmap下载地址放出
(XAMPP搭建的并非MYSQL数据库,所以能够在不添加SQL函数的情况下拿shell,在mssql和oracle中并没有这样的问题可直接拿shell)
在KALI中使用过程如下
先手工判断是否为注入点,将注入点加入到sqlmap中
看到子自动尝试大量的语句(多种注入方式)
既然"id"能够拿来攻击那么就不要尝试其他的了,以免浪费时间
知道了版本和脚本语言php --dbs列出所有的数据库
列出当前注入点所在的数据库
列出"phpzr"下的所有表
查看admin表下的字段
查看字段内容
用10线程去尝试连接shell
执行命令时选择如下
下面是在windows执行sqlmap 需要安装 python 2的版本 py -2 是为了选择2版本的
下面给出一个非常全的手册地址
http://www.cnblogs.com/hongfei/p/3872156.html
sqlmap下载
https://github.com/sqlmapproject/sqlmap/
相对于手工注入,自动化工具更加快捷不用反复写入SQL语句,但是不如手工注入的灵活性好,二者各有千秋,在适合的时候使用适合的方法才能拥有最高的工作效率
简单的使用过程如下 后边我会把最新版的sqlmap下载地址放出
(XAMPP搭建的并非MYSQL数据库,所以能够在不添加SQL函数的情况下拿shell,在mssql和oracle中并没有这样的问题可直接拿shell)
在KALI中使用过程如下
先手工判断是否为注入点,将注入点加入到sqlmap中
看到子自动尝试大量的语句(多种注入方式)
既然"id"能够拿来攻击那么就不要尝试其他的了,以免浪费时间
知道了版本和脚本语言php --dbs列出所有的数据库
列出当前注入点所在的数据库
列出"phpzr"下的所有表
查看admin表下的字段
查看字段内容
用10线程去尝试连接shell
执行命令时选择如下
下面是在windows执行sqlmap 需要安装 python 2的版本 py -2 是为了选择2版本的
下面给出一个非常全的手册地址
http://www.cnblogs.com/hongfei/p/3872156.html
sqlmap下载
https://github.com/sqlmapproject/sqlmap/
相关文章推荐
- sql注入检测好工具sqlmap
- 用SQLMAP工具进行SQL注入
- 41. 注入篇——注入工具SQLmap使用
- 使用sqlmap工具测试网站安全性(sql注入等)
- SQL注入工具sqlmap的安装教程
- 『安全工具』注入神器SQLMAP
- 【转】backtrack5工具之SQLMAP使用笔记(SQL注入用)
- DVWA下的盲注<SQLmap工具注入>
- QL注入检测工具-微软发布3款SQL注入(SQL Injection)攻击检测工具
- 『安全工具』注入神器SQLMAP
- sql注入工具sqlmap使用参数说明
- 详解强大的SQL注入工具——SQLMAP
- sql注入工具:sqlmap命令
- 阿D SQL注入工具常用的一些注入命令
- c++写的discuz<=7.2 SQL注入漏洞,批量注入工具
- 小迪教程第八天——注入工具sqlmap的使用
- SQL注入工具sqlmap使用手记
- 可怕的注入工具sqlmap
- 详解强大的SQL注入工具——SQLMAP
- 阿D SQL注入工具常用的一些注入命令