SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。   读者可以通过位于SourceForge的官方网站下载SQLmap源码:http://sourceforge.net/projects/sqlmap/   什么是SQL注入?         SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序的安全漏洞,例如用户输入没有经过正确地过滤(针对某些特定字符串)或者没有特别强调类型的时候,都容易造成异常地执行SQL语句。SQL注入是网站渗透中最常用的攻击技术,但是其实SQL注入可以用来攻击所有的SQL数据库。在这个指南中我会向你展示在Kali Linux上如何借助SQLMAP来渗透一个网站(更准确的说应该是数据库),以及提取出用户名和密码信息。   什么是SQLMAP?          SQLMAP是一个开源的渗透测试工具,它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎,适用于高级渗透测试用户,不仅可以获得不同数据库的指纹信息,还可以从数据库中提取数据,此外还能够处理潜在的文件系统以及通过带外数据连接执行系统命令等。         访问SQLMAP的官方网站http://www.sqlmap.org可以获得SQLMAP更为详细的介绍,如它的多项特性,最为突出的是SQLMAP完美支持MySQL、Oracle、PostgreSQL、MS-SQL与Access等各种数据库的SQL侦测和注入,同时可以进行六种注入攻击。        还有很重要的一点必须说明:在你实施攻击之前想想那些网站的建立者或者维护者,他们为网站耗费了大量的时间和努力,并且很有可能以此维生。你的行为可能会以你永远都不希望的方式影响到别人。我想我已经说的够清楚了。(PS:请慎重攻击,不要做违法的事情)       PS:之前在wooyun上看了一些关于SQLMAP的文章,受益匪浅,今天翻译这篇文章,是希望对于如何使用SQLMAP提供一个基本的框架,SQL注入的原理以及SQLMAP详细的命令参数和不同的应用实例可以参考下面的文章: SQL注射原理:http://drops.wooyun.org/papers/59 SQLMAP用户手册:http://drops.wooyun.org/tips/143 SQLMAP实例COOKBOOK:http://drops.wooyun.org/tips/1343 SQLmap的作者是谁? Bernardo DameleAssumpcao Guimaraes (@inquisb),读者可以通过[email protected]与他取得联系,以及Miroslav Stampar (@stamparm)读者可以通过[email protected]与他联系。 [email protected]者联系。 相关教程请参考: http://www.cnblogs.com/waw/p/5140555.html http://www.freebuf.com/articles/web/29942.html 测试注入的效果图:       标签:sql注入
2023-10-27 10:34:34 7.37MB 开源项目
1
老牌的sql注入工具nbsi无后门纯净版,保证无后门。自己可以自行检测。
2023-04-30 23:41:53 883KB sql注入工具
1
穿山甲sql注入工具(最新)
2023-02-23 10:17:01 9.69MB 穿山甲sql注入工具(最新)
1
pangolinsdl—sql注入工具 很好用的sql注入工具 界面简洁好用 使用方便
2023-02-13 14:39:56 13.61MB sql注入工具
1
一个自动化的SQL注入工具 1、完全支持MySQL、Oracle、PostgreSQL、MSSQL、Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 2、完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。 3、在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而直接连接数据库。 4、支持枚举用户、密码、哈希、权限、角色、数据库、数据表和列 5、支持自动识别密码哈希格式并通过字典破解密码哈希。 6、支持完全地下载某个数据库中的某个表、也可以只下载某个表中的某几列。 7、支持在数据库管理系统中搜索指定的数据库名、表名和列名 8、当数据库管理系统是MySQL、PostgreSQL或者MSSQL时支持下载或上传文件。 9、当数据库管理系统是MySQL、PostgreSQL或者MSSQL时支持执行任意命令并回显标准输出。
2023-01-03 11:00:30 7.17MB sql
1
超级SQL注入工具是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入 支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。
2022-10-29 09:00:08 581KB sql web 注入
1
主要用于执行SQL 注入
2022-08-24 09:00:10 11.3MB HavijSQL
1
基于python开发的sqlmap,是一款针对sql注入的自动化脚本工具
2022-07-06 12:00:08 6.74MB 工具
1
C# vs2015开发 官方下载地址: http://www.shack2.org/article/1417357815.html 简介: 超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具。 超级SQL注入工具支持自动识别SQL注入,并自动配置,如程序无法自动识别,还可人工干预识别注入,并标记注入位置。 超级SQL注入工具支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具支持Bool型盲注、错误显示注入、Union注入等方式获取数据。 超级SQL注入工具支持Access、MySQL5以上版本、SQLServer、Oracle等数据库。 超级SQL注入工具支持手动灵活的进行SQL注入绕过,可自定义进行字符替换等绕过注入防护。 本工具为渗透测试人员、信息安全工程师等掌握SQL注入技能的人员设计,需要使用人员对SQL注入有一定了解。 工具特点: 1.支持任意地点出现的任意SQL注入 2.支持全自动识别注入标记,也可人工识别注入并标记。 3.支持各种语言环境。大多数注入工具在盲注下,无法获取中文等多字节编码字符内容,本工具可完美解决。 4.支持注入数据发包记录。让你了解程序是如何注入,有助于快速学习和找出注入问题。 5.依靠关键字进行盲注,可通过HTTP相应状态码判断,还可以通过关键字取反功能,反过来取关键字。
2022-05-21 09:31:24 12.04MB SQL注入 超级SQL注入 注入工具
1
Pangolin穿山甲SQL注入工具
2022-05-07 09:00:06 9.85MB sql 源码软件 数据库 database
1