一、sqlmap指定參數風格
sqlmap是一個自動化的SQL注入工具,可以通過指定一系列的參數對目標網站進行SQL注入測試。下面我們來介紹一下sqlmap指定參數的風格。
1、短參數風格: 使用單個-字元指定,如 -u, -p等
2、長參數風格:使用雙-字元指定,如 –url, –password等
3、混合參數風格:同時使用短參數和長參數,如 -u/–url, -p/–password等
二、sqlmap指定參數注入
sqlmap的最基本功能是對目標網站進行SQL注入測試。我們可以通過指定參數來告訴sqlmap需要對哪一個URL進行注入測試。下面是一個例子:
sqlmap -u "http://www.example.com/index.php?id=1" --dbs
上面的命令指定了目標網站的URL為http://www.example.com/index.php?id=1,並且同時使用了–dbs參數,表示需要獲取目標網站的所有資料庫信息。
三、sqlmap指定參數-q
當我們進行大規模的測試時,需要讓sqlmap自動運行,不停地對目標網站進行測試。使用-q參數可以讓sqlmap運行時不輸出不必要的信息,以便於我們更加集中地關注sqlmap正在進行的工作。
下面是一個使用-q參數的例子:
sqlmap -u "http://www.example.com/index.php?id=1" --batch -q
上面的命令中,-q參數表示靜默模式運行。
四、sqlmap參數
除了-u參數和-q參數以外,sqlmap還有許多其他參數可以讓我們更加靈活地進行測試。下面是一些常用的參數:
1、-d: 指定目標網站的資料庫類型
2、-p: 指定注入點
3、-D: 指定目標網站的具體資料庫名稱
4、-T: 指定目標網站的具體表格名稱
5、-C: 指定目標網站的具體列名稱
6、-U: 指定目標網站需要注入的參數
五、sqlmap使用參數
sqlmap支持多種不同的注入方式,我們可以通過指定一些參數來指定希望使用的注入方式。
1、–technique: 指定注入技術
2、–time-sec: 指定等待時間
3、–delay: 指定延遲時間
六、sqlmap指定注入類型
sqlmap支持許多不同類型的SQL注入,下面是一些常用的注入類型:
1、–union: 使用聯合查詢注入
2、–stacked: 使用堆疊注入
3、–error: 使用錯誤注入
4、–blind: 使用盲注
七、sqlmap risk參數
risk參數可以指定sqlmap在測試時的資料庫危險等級,下面是幾個常用的值:
0: 表示不檢查危險等級
1: 表示中等危險
2: 表示高危險
八、sqlmap指定資料庫
如果我們知道目標網站的資料庫類型,可以使用–dbms參數指定,這樣可以讓sqlmap對目標網站進行更準確的測試。下面是一個例子:
sqlmap -u "http://www.example.com/index.php?id=1" --dbms=mysql --dbs
九、sqlmap -p參數
-p參數可以指定需要注入的參數,下面是一個例子:
sqlmap -u "http://www.example.com/index.php?id=1" -p id --dbs
十、sqlmap指定注入點選取
如果目標網站有多個注入點,可以使用–level和–risk參數來指定需要測試的注入點。
1、–level: 指定測試的層數
2、–risk: 指定測試的危險等級
下面是一個例子:
sqlmap -u "http://www.example.com/index.php?id=1" --level=2 --risk=2 --dbs
十一、總結
通過本文的介紹,我們可以看到sqlmap在進行SQL注入測試時有非常多的參數可供選擇,可以根據目標網站的情況來選擇合適的參數來進行測試。但是需要注意的是,注入測試是非常危險的,最好在自己的開發環境中進行測試,不要對其他人的網站進行測試。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/247197.html
微信掃一掃 
支付寶掃一掃 