sqlmap使用

前提：用python2.7.9版本，3.0以上版本不支持，sqlmap可以检测所有数据库

get注入--语法python sqlmap.py -u 要检测的网址

提示是否检测其他数据库，检测等级是1，风险等级1，等级越高越慢。

执行测试的等级（1-5，默认为1）,使用–level 参数且数值>=2的时候也会检查cookie里面的参数，当>=3的时候将检查User-agent和Referer。

 执行测试的风险（0-3，默认为1）,默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试。

执行结果分析

白色的就是检测结果，id这个注入点有布尔盲注，时间盲注，联合查询

post注入--语法python sqlmap.py -r 1.txt -p id --level=3

搜狐插件hackbar使用，可以把get请求变为post

hackbar使用参考基于Chrome浏览器的HackBar_v2.2.6插件的安装与注册「建议收藏」-腾讯云开发者社区-腾讯云

使用burp右键-变更请求方法

把转换好的包粘贴到1.txt里面

 输入语句

如果想要看sqlmap的语句可以放到编码器界面看

 

智能判断python sqlmap.py -u 网址 -batch-smart

生产环境不用这个

 

 --mobile手机模仿访问

 

-m批量注入