sqlmap使用

前提:用python2.7.9版本,3.0以上版本不支持,sqlmap可以检测所有数据库

get注入--语法python sqlmap.py -u 要检测的网址

提示是否检测其他数据库,检测等级是1,风险等级1,等级越高越慢。

sqlmap使用_第1张图片

执行测试的等级(1-5,默认为1),使用–level 参数且数值>=2的时候也会检查cookie里面的参数,当>=3的时候将检查User-agent和Referer。

 执行测试的风险(0-3,默认为1),默认是1会测试大部分的测试语句,2会增加基于事件的测试语句,3会增加OR语句的SQL注入测试。

执行结果分析

白色的就是检测结果,id这个注入点有布尔盲注,时间盲注,联合查询

sqlmap使用_第2张图片

post注入--语法python sqlmap.py -r 1.txt -p id --level=3

搜狐插件hackbar使用,可以把get请求变为post

sqlmap使用_第3张图片

hackbar使用参考基于Chrome浏览器的HackBar_v2.2.6插件的安装与注册「建议收藏」-腾讯云开发者社区-腾讯云

使用burp右键-变更请求方法

sqlmap使用_第4张图片sqlmap使用_第5张图片

把转换好的包粘贴到1.txt里面

sqlmap使用_第6张图片

 输入语句

sqlmap使用_第7张图片如果想要看sqlmap的语句可以放到编码器界面看

sqlmap使用_第8张图片

 

智能判断python sqlmap.py -u 网址 -batch-smart

生产环境不用这个

sqlmap使用_第9张图片

 sqlmap使用_第10张图片

 --mobile手机模仿访问

sqlmap使用_第11张图片

sqlmap使用_第12张图片

 

-m批量注入

sqlmap使用_第13张图片

 

你可能感兴趣的:(it,web安全,服务器)