SQL注入测试神器sqlmap

SQL注入测试神器sqlmap

介绍

sqlmap 是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。

它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。

官网

sqlmap官网

http://sqlmap.org/

前提

sqlmap是基于python2.x进行开发的,所以要使用sqlmap请先安装python2,建议安装python2.7.x系列。

安装

方法一:

从这里下载:

https://github.com/sqlmapproject/sqlmap/tarball/master

或是

https://github.com/sqlmapproject/sqlmap/zipball/master

下载后,解压到sqlmap目录中,目录结构如下图所示(笔者解压到C:\sqlmap下):

切换至C:\sqlmap目录,使用以下命令,查看sqlmap基本用法和命令行参数:

python sqlmap.py -h

结果如下图所示:

查看sqlmap所有的用法和命令行参数:

python sqlmap.py -hh

结果如下图所示:

示例

下面我们对一个目标mysql来一个简单的命令试试(注,请使用你自己搭建的测试mysql服务):

python sqlmap.py -d "mysql://admin:admin@localhost:3306/test" -f --banner --dbs --users

至于会有什么结果,请看下图:

对于如何入门使用,请看如下视频:

https://asciinema.org/a/46601

手册

对于更详细的使用手册,请参见:

https://github.com/sqlmapproject/sqlmap/wiki/Usage

原文发布于微信公众号 - 开源优测(DeepTest)

原文发表时间:2017-12-29

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏菩提树下的杨过

基于thrift的微服务框架

前一阵开源过一个基于spring-boot的rest微服务框架,今天再来一篇基于thrift的微服务加框,thrift是啥就不多了,大家自行百度或参考我之前介绍...

34210
来自专栏菩提树下的杨过

基于thrift的微服务框架

前一阵开源过一个基于spring-boot的rest微服务框架,今天再来一篇基于thrift的微服务加框,thrift是啥就不多了,大家自行百度或参考我之前介绍...

2228
来自专栏张首富-小白的成长历程

alias设置别名使用的时候报错:-bash: this: command not found

使用alias指定别名的时候一定要使用‘’将原来的命令引起来,防止特殊字符发生错误。

3844
来自专栏猿人谷

CentOS7安装GitLab、汉化、邮箱配置及使用

一.GitLab简介 GitLab是利用Ruby On Rails开发的一个开源版本管理系统,实现了一个自托管的Git项目仓库,是集代码托管,测试,部署...

2777
来自专栏九彩拼盘的叨叨叨

百度使用Cheatsheet

1024
来自专栏java一日一条

Java 多线程处理任务的封装

最近公司项目很多地方使用多线程处理一些任务,逻辑代码和java多线程处理代码混合在一起,造成代码的可读性超级差,现在把Java多线程相关的处理抽出来,方面代码中...

1204
来自专栏飞雪无情的博客

最新最全的Android4.0 API源代码下载和完整Android4.0源代码下载教程

这时刚刚整理好的最新的,包含所有的API的源代码,第一次上传的那个Android4.0 API 源代码有部分API没有包含,请点击下面的链接下载最新的。

863
来自专栏FreeBuf

英特尔放出Linux微代码以修复Meltdown和Spectre漏洞

近日,Intel发布了最新版本的Linux处理器微代码数据文件,而这个补丁文件能够修复Intel CPU中的Spectre以及Meltdown漏洞。广大用户可以...

2276
来自专栏用户2442861的专栏

Cookie 和 Session 的使用简记

http://mertensming.github.io/2016/10/19/cookie-session/

842
来自专栏信安之路

Android 进程注入危害与测试

源于跳槽到甲方一个人的安全部,之前我做渗透测试几乎都是 web 和移动 server 端的,客户端只会拿 apktool、dex2jar、drozer 等工具反...

7114

扫码关注云+社区

领取腾讯云代金券