提示:文章内容仅用于渗透测试研究学习,请勿用于非法测试
前言
从SQL注入之SQLmap的简介和安装。
一、SQL注入是什么?
攻击者通过构造不同的SQL语句来实现对数据库的操作
关键条件:
1、参数用户可控
2、参数带入数据库查询(插入的语句可以解析或者执行)
二、SQLmap
1、SQLmap介绍
一、开源的渗透测试工具、自动化检测和利用SQL注入漏洞
二、支持对多种数据库进行注入测试
三、支持多种注入技术,例如,盲注、时间延时注入、报错注入
四、支持枚举用户数据库信息,例如,用户名、密码
五、自动识别哈希密码,并且使用密码字典进行破解
SQLMap是渗透测试人员对SQL注入漏洞进行检测的最佳工具
2、SQLmap的安装(windows版、Linux版)
这里我就说一下windows版本的吧,Linux版本安装基本也一样。
sqlmap下载地址
https://github.com/sqlmapproject/sqlmap
python环境的下载地址(没有python环境,先要安装一下python环境)
https://www.python.org/downloads/windows
SQLmap下载好之后,解压,并且配置一下环境变量就可以奔放了!环境变量配置,如下图(win10系统也是在Path中添加即可)
在SQLmap的解压文件中打开doc窗口,检验SQLmap配置是否成功:
(1)在红色框中输入cmd,回车
(2)在doc窗空中输入(网址输入一个靶场的或者有测试权限的即可,请勿非法测试):
sqlmap.py -u https://www.*****.com
提示此界面,即为配置成功!!!为方便使用可在桌面添加一个快捷方式:
(1)桌面右击 — 新建 —快捷方式
(2)对象位置输入 cmd
(3)名称随意填写(SQLMap)
(4)新建的快捷方式,右击属性,修改起始位置为SQLmap的根目录即可
完美收官!
开始奔放吧,有任何问题可以私信,看到之后马上回复帮助哦!!
