kali工具SQLmap基本使用方法流程以及命令解析

这篇具有很好参考价值的文章主要介绍了kali工具SQLmap基本使用方法流程以及命令解析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

这边来详细写一篇SQLmap工具的使用方法,这边借用了pikachu里sql注入类的字符形注入

kali工具SQLmap基本使用方法流程以及命令解析

 首先sql注入肯定要先找注入点在哪里,我们在输入栏里输入admin试试

kali工具SQLmap基本使用方法流程以及命令解析

 看到有向后台查询的get请求,然后直接放到sqlmap里试一下

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.phpname=admin&submit=%E6%9F%A5%E8%AF%A2"

注意:-u后面的URL链接一定要加双引号,不加的话有时候get请求里会有(&)这个符号不加双引号的URL链接有这个符号就会报错

如果URL正确的话他会出现很多如下图的选项,这些可以按需要选择,如果看不懂的话可以全都输入y,然后按回车就可以了

kali工具SQLmap基本使用方法流程以及命令解析

 如果出现下图这些信息,那么恭喜你该网站存在sql注入漏洞,就可以进行下一步操作,如果提示报错的话,可以看情况修改URL,或者该网站不存在sql 注入漏洞

kali工具SQLmap基本使用方法流程以及命令解析

经过上一步可以看出来,改网站存在sql注入漏洞,那么可以进行下一步,查询数据库了 

kali工具SQLmap基本使用方法流程以及命令解析

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -dbs

 -bds的意思就是查询该网站后台所有数据库

kali工具SQLmap基本使用方法流程以及命令解析然后就出来了改后台所有的数据库,我们对pikachu这个库进行下一步,查看该数据库里所有的表 

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -tables

kali工具SQLmap基本使用方法流程以及命令解析

 -D的意思就是指定查询改数据库,-tables的意思就是查询该数据库内所有的表

kali工具SQLmap基本使用方法流程以及命令解析 查询出改表内有五个表,我们对敏感表users进行下一步,查询表内字段

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -T users -columns

kali工具SQLmap基本使用方法流程以及命令解析

 -T的意思是指定指定某数据的表,-columns是列出该表所有的字段名

kali工具SQLmap基本使用方法流程以及命令解析 我们进行对敏感信息,username,password进行下一步查询

sqlmap -u "http://172.16.107.243/pikachu/vul/sqli/sqli_str.php?name=admin&submit=%E6%9F%A5%E8%AF%A2" -D pikachu -T users -C username,password -dump

kali工具SQLmap基本使用方法流程以及命令解析

 -C是指定字段,-dump是列出这段内信息

kali工具SQLmap基本使用方法流程以及命令解析

 这里就看到账号密码了,sql数据库默认是对密码MD5加密的,sqlmap有个功能可以把列出来的密码自动解密,如下图,这个选项选了yes的话就会对密码解密

kali工具SQLmap基本使用方法流程以及命令解析

 如果对sqlmap这个工具有其他需求的话,可以使用sqlmap -help,来查看他其他命令选项。文章来源地址https://www.toymoban.com/news/detail-418035.html

到了这里,关于kali工具SQLmap基本使用方法流程以及命令解析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 渗透工具-sqlmap-基本知识及使用教程

      -u 指定目标URL (可以是http协议也可以是https协议) -d 连接数据库 --dbs 列出所有的数据库 --current-db 列出当前数据库 --tables 列出当前的表 --columns 列出当前的列 -D 选择使用哪个数据库 -T 选择使用哪个表 -C 选择使用哪个列 --dump 获取字段中的数据 --dump-all  拖库 --batch  自动选择

    2024年02月04日
    浏览(46)
  • 自动化测试工具Selenium的基本使用方法,面试字节跳动的前端工程师该怎么准备

    8.小结 上述均可以改写成find_element(By.ID,‘kw’)的形式 find_elements_by_xxx的形式是查找到多个元素,结果为列表 import time from selenium import webdriver#驱动浏览器 from selenium.webdriver import ActionChains #滑动 from selenium.webdriver.common.by import By #选择器 from selenium.webdriver.common.by import By #按照什

    2024年04月16日
    浏览(43)
  • Kali中docker使用方法

    eg: 拉取CVE-2017-7504的漏洞环境为例子 Step 1: 查找并下载 Step 2: Step 3: 查看容器id 镜像名 以及容器与宿主机映射的端口号,容器名 Step 4: Step 5: 查看容器id 镜像名 以及容器与宿主机映射的端口号,容器名;列出正在运行的容器。 Step 6: 进入容器终端 这里就成功进入docker环境了

    2024年02月13日
    浏览(39)
  • nmap在kali的使用方法和常见命令(入门)

    kali linux 自带有namp,无需下载安装,命令形式为namp + 点击可查看使用说明信息 扫描目标计算机,一般可以获取以下信息: 是否在线 所在网络的拓扑 开放的端口 所使用的操作系统 所运行的服务与版本 所存在的漏洞 常用命令穷举 经典单个主机IP/域名普通扫描: 只检测是否

    2024年02月11日
    浏览(36)
  • sqlmap 使用笔记(kali环境)

    kali环境 -u或–url 直接扫描单个路径 -m 文件中保存多个url,工具会依次扫描 -r 从文件中获取http请求 文件内容直接copy 当请求是HTTPS的时候,需要配合–force-ssl参数来使用,或者可以在Host头后面加上:443 请求设置 在有些时候web服务器使用了伪静态,导致无法直接使用sqlmap测试

    2024年02月20日
    浏览(36)
  • ubuntu/kali安装c-jwt-cracker及使用方法

    c-jwt-cracker介绍: c-jwt-cracker是用 C 语言编写的多线程 JWT 暴力破解程序(所以在运行它的时候你的CPU可能会出现100%使用的情况)。 安装和使用步骤: 一、下载和安装 有两种下载方式(这里我受用的是第二种): 1、在ubuntu中直接下载(不推荐),这种方法比较慢,容易加载

    2024年04月11日
    浏览(107)
  • Kali Live Boot把Kali 装在U盘(不想重装电脑使用kali的方法)并持久化 详细

    我只有一台电脑,又想用kali,那只能在虚拟机安装使用了,但是呢在虚拟机又不能使用电脑的硬件,比如无线网卡,当然另外买的除外,我说的是笔记本自带的网卡。而用这个方法就相当于在你的电脑上装了kali,但是又不会影响你之前用的系统。另外你还可以带着你的kali去网

    2024年02月05日
    浏览(40)
  • kali linux下sqlmap使用教程

    有windows和linux两个版本使用,可跨系统进行操作,语法参数都相同,此处以kali linux为例进行操作

    2024年02月11日
    浏览(51)
  • 关于解决使用kali无线网卡无法扫描到WiFi信号的方法

    1.插入能够渗透用的无线网卡(我的无线网卡是3071类型的,免驱)并在物理机上禁用它,使kali能够独享整个无线网卡(注:若在物理机上找不到无线网卡,则需要下载驱动精灵安装驱动或者更新本机的网卡驱动)   2.需要安装扫描WiFi用的必要的软件包,命令为:apt-get insta

    2024年02月11日
    浏览(94)
  • kali被动收集信息,Google搜索引擎使用技巧,Maltego收集子域名,Shodan搜索引擎使用方法

    GoogleHack一般指google hack。 google hack是指使用Google等搜索引擎对某些特定的网络主机漏洞(通常是服务器上的脚本漏洞)进行搜索,以达到快速找到漏洞主机或特定主机的漏洞的目的。 常用的Google site    指定域名 inurl    URL中存在的关键在页面 intext    网页内容里面

    2024年02月12日
    浏览(60)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包