前言

昨天收到一封来自客户网络中心发来的邮件,说是之前的一个项目存在sql注入漏洞,并附上了一张sqlmap检测结果的图片。记得第一次接触sql注入这些关于系统安全的问题还是从老师口中得知,当时也了解了一些解决办法。好吧,这次的主题是sqlmap。

Sqlmap介绍

Sqlmap是开源的自动化SQL注入工具,由Python编写的,可以用来做sql注入安全测试、或者当做网站入侵工具。

sqlmap安装

因为是py写的所以需要有py的运行环境, 首先咱前往py官网https://www.python.org/ 点击download栏目之后再选择Windows(因为我用的是Windows系统,这个根据个人实际情况选择)进入下载列表

之后选择最新的py2(为什么要选py2?没记错的话是因为这个sqlmap是基于py2版本写的,不支持py3的api)的版本进入下载详情

选择根据系统是64还是32位,选择一个下载方式,这里我选的是红圈处的链接点击下载,安装没什么需要注意的直接下一步下一步 但是

Install for all users、add python to environment variables 这两项勾上 

debugging symbols、debug binaries这两个不用勾选

之后点击install进行安装。之后进入sqlmap官网 http://sqlmap.org/ 选择最近版本安装即可。亦可访问github上面直接下载 https://github.com/sqlmapproject/sqlmap,下载的安装包解压出来就可以了。

怎么运行呢?win+r输入cmd打开 ,在黑窗体里进入到你刚刚解压的文件的根目录下 就可以输入sqlmap的命令行了。当然如果配置了sqlmap到系统环境变量就不需要这么麻烦,这个我有空再补充如何配置。

Sqlmap 常用命令

1. sqlmap.py -u "http://www.x.com/index?id=1"

判断参数是否存在注入可能,如果结果中有 “id” is Vulnerable  的信息描述表示存在注入   ,这时候可以把下方的命令语句附加上去了。

2.--dbs

列出所有的数据库

3.-D "Name" --tables

取得Name库中的所有表

4. -D "Name" -T "user" --columns

取得Name库中的user表

5.-D "Name" -T "user" -C "username,password" --dump

下载字段username,password的值,若询问是否破解md5加密,选择no即可

好吧就列这么多吧,差不多够用了,这个主要还是用来做sql注入安全测试用吧。

SQLMap-----初识的更多相关文章

  1. 初识sql注入及sqlmap

    对于sql注入小白的我,上午在红黑联盟的网站上恶补了一下sql注入的基础知识,(走马观花)似乎明白sql注入是怎么一回事,也看了一些关于sqlmap的资料,再次记录一下吧 下面是关于sqlmap这个工 ...

  2. mybatis入门--初识mybatis

    初识mybatis 今天,一起来说说mybits这个框架吧.这是一个持久层的框架.之前叫做ibatis.所以,在它的代码中出现ibatis这个词的时候,不要感到惊讶.不是写错了,它确实就是这个样子的. ...

  3. MyBatis For .NET学习- 初识MyBatis

    MyBatis的框架. Introduction MyBatis本是apache的一个开源项目iBatis,2010年这个项目由 apache software foundation迁移到了googl ...

  4. 关于sqlmap的使用

    好记性不如烂笔头,记录一下. 带cookie的注入 python sqlmap.py -u "http://www.xxx.com?id=1" --cookie="coo ...

  5. Android动画效果之初识Property Animation(属性动画)

    前言: 前面两篇介绍了Android的Tween Animation(补间动画) Android动画效果之Tween Animation(补间动画).Frame Animation(逐帧动画)Andr ...

  6. 初识Hadoop

    第一部分:              初识Hadoop 一.             谁说大象不能跳舞 业务数据越来越多,用关系型数据库来存储和处理数据越来越感觉吃力,一个查询或者一个导出,要执行很长 ...

  7. python学习笔记(基础四:模块初识、pyc和PyCodeObject是什么)

    一.模块初识(一) 模块,也叫库.库有标准库第三方库. 注意事项:文件名不能和导入的模块名相同 1. sys模块 import sys print(sys.path) #打印环境变量 print(sy ...

  8. 初识IOS,Label控件的应用。

    初识IOS,Label控件的应用. // // ViewController.m // Gua.test // // Created by 郭美男 on 16/5/31. // Copyright © ...

  9. UI篇(初识君面)

    我们的APP要想吸引用户,就要把UI(脸蛋)搞漂亮一点.毕竟好的外貌是增进人际关系的第一步,我们程序员看到一个APP时,第一眼就是看这个软件的功能,不去关心界面是否漂亮,看到好的程序会说"我 ...

  10. Python导出Excel为Lua/Json/Xml实例教程(一):初识Python

    Python导出Excel为Lua/Json/Xml实例教程(一):初识Python 相关链接: Python导出Excel为Lua/Json/Xml实例教程(一):初识Python Python导出 ...

随机推荐

  1. Mysql备份工具xtraback全量和增量测试

    Mysql备份工具xtraback全量和增量测试   xtrabackup 是 percona 的一个开源项目,可以热备份innodb ,XtraDB,和MyISAM(会锁表) 官方网址http:// ...

  2. wcf win7+iis7 异常消息为: 可能证书“CN=PmsWcfServer”没有能够进行密钥交换的私钥

    原因是证书没有用户权限,解决方法: 1.开始-运行-mmc 2.添加[证书]管理单元 3.选择[证书(本地计算机)]-[个人]-[证书],右击PmsWcfServer证书-[所有任务]-[管理密钥] ...

  3. Spring-----AOP深度理解

    AOP定义了一些新的概念,要想深入的理解AOP的原理,就必须掌握这些概念的具体含义,本人菜鸡一枚,一下是自己对一些概念的理解,如果哪里不对,欢迎评论区指正 AOP核心概念AOP即Aspect-Orie ...

  4. api.execScript

    在指定 window 或者 frame 中执行脚本,对于 frameGroup 里面的 frame 也有效,若 name 和 frameName 都未指定,则在当前 window 中执行脚本,具体执行 ...

  5. 从以前的项目格式迁移到 VS2017 新项目格式

    以前的项目格式使用的是 csproj 的格式,但是 .net core 支持使用 project.json 格式的项目文件,后来还是决定不使用这个格式. VS2017 的项目格式更好读.更简单而且减少 ...

  6. C#:ORM--实体框架EF(entity framework)(1)

    本文来自:http://www.cnblogs.com/xuf22/articles/5513283.html 一.什么是ORM ORM(Object-relational mapping),中文翻译 ...

  7. sql基础语法大全 转载过来的,出处忘了!

    一.基础 1.说明:创建数据库CREATE DATABASE database-name 2.说明:删除数据库drop database dbname3.说明:备份sql server--- 创建 备 ...

  8. [日常] crontab的秒执行和串行化和多进程实现

    1. crontab的最低运行频率是,按照每分钟执行一次,通过在脚本中简单实现按秒级别运行 比如这条cron规则 , 每分钟执行一次脚本 * * * * * php /var/www/html/tes ...

  9. SQL Server Profiler小技巧——筛选请求

    如果需要转载,请附上本文作者和原文链接:http://www.cnblogs.com/zeusro/p/4016228.html Microsoft SQL Server Profiler 是 SQL ...

  10. win10 安装 oracle 11g 时遇到 [INS-13001] 环境不满足最低要求 的问题

    前言:自己系统上安装 oracle 时报错,故记录下来. 环境: win10 x64 oracle 11g 安装包 出错: 解决方案:同 https://www.cnblogs.com/yuxiaol ...