SQLmap是一个开源免费,且很知名的智能化的SQL注入工具,其主要功能是扫描,发现并借助给定的URL和SQL注入漏洞,其广泛的功能和选项包含数据库指纹,枚举,数据库提权,访问目的文件系统,并在获得操作权限时实行任意命令。SQLmaps可自动测试和借助 SQL 注入缺点并接管数据库服务器,其配备了强大的测试引擎,终极渗透测试仪的很多利基功能,与从数据库指纹辨别,从数据库获得数据到访问底层文件系统和通过带外连接在操作系统上实行命令的各种开关。
记者这里为大伙推荐SQLmap工具完整版,由Python写成,后文教大伙怎么样安装,亲测有效,有需要的用户还请下载体验。
1、完全支持MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB,Informix,MariaDB,MemSQL,TiDB,CockroachDB,HSQLDB,H2,MonetDB,Apache Derby,Amazon Redshift,Vertica,Mckoi,Presto,Altibase,MimerSQL,CrateDB,Greenplum,Drizzle,Apache Ignite,Cubrid,InterSystems Cache,IRIS,eXtremeDB,FrontBase,Raima Database Manager,YugabyteDB,ClickHouse和Virtuoso数据库管理软件。
2、完全支持六种SQL注入技术:基于布尔值的盲区,基于时间的盲区,基于错误的,基于UNION查看的,堆叠查看和带外查看。
3、通过提供 DBMS 凭据、IP 地址、端口和数据库名字,支持直接连接到数据库,而不需要通过 SQL 注入传递。
4、支持枚举用户、密码哈希、权限、角色、数据库、表和列。
5、自动辨别密码哈希格式并支持用基于字典的攻击对其进行破解。
6、支持完全转储数据库表,一系列条目或依据用户的选择的特定列。用户还可以选择仅转储每列条目中的字符范围。
7、支持搜索特定数据库名字、所有数据库中的特定表或所有数据库表中的特定列。比如,这对于标识包括自概念应用程序凭据的表很有用,其中有关列的名字包括 name 和 pass 等字符串。
8、当数据库软件是MySQL,PostgreSQL或Microsoft SQL Server时,支持从数据库服务器底层文件系统下载和上传任何文件。
9、当数据库软件是MySQL,PostgreSQL或Microsoft SQL Server时,支持在数据库服务器底层操作系统上实行任意命令并检索其标准输出。
10、支持在攻击者计算机和数据库服务器基础操作系统之间打造带外有状况 TCP 连接。此通道可以是交互式命令提示符、Meterpreter 会话或图形用户界面 (VNC) 会话,具体取决于用户的选择。
11、通过Metasploit的Meterpreter命令支持数据库进程的用户权限提高。
SQLMAP是开源的智能化SQL注入工具,由Python写成,所以安装SQLmap需要在电脑中先安装Python
Python下载地址:https://www.32r.com/soft/4346.html
1、安装SQLMAP
2、重命名为sqlmap
3、生成sqlmap快捷方法
①桌面右键创建快捷方法
②输入cmd
③输入快捷方法名字
④在生成的SQLMAP下右键属性,修改起始地方为你储存sqlmap的起始地方,点击应用,确定
⑤进去就是如此的
1、doc目录:保护sqlmap的简要说明,具体使用详解,作者信息等。
2、extra目录:包括sqlmap的额外功能,如发出声响、允许cmd、安全实行等。
3、lib目录:sqlmap核心目录。
4、plugins目录:包括了sqlmap现在支持的13种数据库信息和数据库通用事情。
5、procs目录:包括了mssql、mysql、oracle、postgresql的触发程序。
6、shell目录:包括了注入成功后的9种shell远程命令实行。
7、tamper目录:包括了waf绕过脚本。
8、thirdparty目录:包括了第三方插件,比如优化,维持连接,颜色。
9、txt目录:包括了表名字典,列名字典,UA字典等。
10、udf目录:存放攻击载荷。
11、waf目录:存放waf特点判断脚本。
12、xml目录:存放多种数据库注入测试的payload等信息。
sqlmap支持容易见到的六种不一样的注入模式(不计算其他数据库种类):
1、基于布尔盲注,即可以参考返回页面判断条件真伪的注入。
2、基于时间盲注,即不可以依据页面返回内容判断任何信息,用条件语句查询时间延迟语句是不是实行(即页面返回时间是不是增加)来判断。
3、基于显示错误注入、即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
4、联合查看注入、可以用union的状况下的注入。
5、堆查看注入、可以同时实行多条语句的实行时的注入。
6、内联查看注入、在sql语句中实行sql语句。
TAG标签:
转载请说明来源于小浣熊下载站(http://www.tpwno.com)
本文地址:http://www.tpwno.com
郑重声明:文章来源于网络作为参考,本站仅用于分享不存储任何下载资源,如果网站中图片和文字侵犯了您的版权,请联系我们处理!邮箱3450399331@qq.com
查看全部
同类推荐
同类软件下载
PDF Cracker(PDF解密软件) v3.20197人在用PDFCracker是一款专注于解除PDF文件权限限制
下载
和家亲184人在用和家亲电脑版是中国移动专为家庭用户塑
下载
agisoft photoscan(实景三维建模软件181人在用photoscan电脑版全名为agisoftphotoscan,它是国
下载
Chameleon Adaptive Palette v1.0181人在用ChameleonAdaptivePalette是一款基于DynamicSwatc
下载
Acrobat XI Pro 11中文版 v11.0180人在用AcrobatXIPro11中文版是Adobe官方出品的一款功
下载
