menu Secto白帽博客-专注于技术研究
SqlMap(数据库注入工具)使用教程
395 浏览 | 2020-03-19 | 分类:基本工具 | 标签:基本工具

文章别名:《sqlmap从入门到入狱详细教程》
(´இ皿இ`)

SQLMap是什么

SQLMap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

同时它也支持五种注入模式:

1.基于布尔的盲注,即可以根据返回页面判断条件真假的注入;

2.基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中;

3.基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断;

4.联合查询注入,可以使用 union 的情况下的注入;

5.堆查询注入,可以同时执行多条语句的执行时的注入。

SQLMAP安装

1.Windows下安装:

SQLMAP官网地址:sqlmap.org
(因为SQLMap是一款跨平台的工具,基于Python,所以电脑里要先安装Python环境)
python环境我推荐python2.7.15
安装完python环境后,下载sqlmap包,然后,执行sqlmap.py -h查看是否安装成功.

2.linux环境下安装(包含termux):
kali里自带sqlmap,其他的linux系统(除了black arch和backtrack以外),都要自行安装git:

apt install git

安装好git后,直接用git克隆即可(这里的源是github的):

git clone  https://github.com/sqlmapproject/sqlmap.git

SQLMAP常用基础命令

1.-v参数
在SQLMAP中-v即输出等级:
0:只显示 Python 的 tracebacks 信息、错误信息 [ERROR] 和关键信息 [CRITICAL];
1:同时显示普通信息 [INFO] 和警告信息
[WARNING];
2:同时显示调试信息 [DEBUG];
3:同时显示注入使用的攻击荷载;
4:同时显示 HTTP 请求;
5:同时显示 HTTP 响应头;
6:同时显示 HTTP 响应体。
那么-v这个参数使用命令为:

sqlmap -v 等级

建议初学时选用3等级,生成payload方便学习。

2.-u/-url参数
使用参数-u或–url指定一个URL作为目标,该参数后跟一个表示URL的字符串,还可以指定端口,如:

sqlmap.py -u "www.baidu.com/user.php?id=7"

sqlmap.py -url "www.baidu.com:8080/user.php?id=7"

3.dbs列库
在检测存在sql注入漏洞时,即可用dbs列出数据库,命令问:

--dbs

4.tables列表
列出了库之后便要列出这个数据库里的表,命令为:

-D '库名' --tables

5.列出表中字段columns
得到了库和表之后,可以根据这个库表来列出表里的字段进行数据的读取,命令是:

-D '库名' -T '表名' --columns

结束

看到这,很多小白会说,你讲的那些都听不懂,怎么找注入点啊?!
确实,找到注入点是使用这个工具的一个前提,但是因为篇(wo)幅(t)有(m)限(lan),在这里不能给大家解释,请大家移步渗透测试板块,那里应该会有人讲.
@成浩:你们渗透测试板块mmp的给点力!爷快累死了……

本人QQ:1377495028
(有什么不懂的,或者觉得文章有错误,请联系我!)
欢迎打扰!

By:Redblade.
Time:2020/3/19

知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议

发表评论

email
web

全部评论 (暂无评论)

info 还没有任何评论,你来说两句呐!

Emoji

Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 46

Warning: file_get_contents(): Failed to enable crypto in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 46

Warning: file_get_contents(https://...@1.0.2/assets/json/owo.json): failed to open stream: operation failed in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 46

Warning: array_keys() expects parameter 1 to be array, null given in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 48

Warning: count(): Parameter must be an array or an object that implements Countable in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 49

Warning: file_get_contents(): SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 87

Warning: file_get_contents(): Failed to enable crypto in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 87

Warning: file_get_contents(https://...@1.0.2/assets/json/owo.json): failed to open stream: operation failed in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 87

Warning: array_keys() expects parameter 1 to be array, null given in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 89

Warning: count(): Parameter must be an array or an object that implements Countable in /www/wwwroot/www.sectoer.cn/usr/themes/Cuckoo/includes/owo.php on line 90