python数据攻击工具:python的sql注入工具sqlmap 渗透利器
python数据攻击工具:python的sql注入工具sqlmap 渗透利器1、首先还是先创建虚拟环境,养成好习惯,不要污染系统: 但是git上面更推荐用源码方式, 这就是sql注入了,如果网站有这方面的问题,一般都比较严重,基本你的数据库就完蛋了,所有数据都被盗走。 现在中国的大部分互联网公司,在研发过程中都是请不起专门的安全测试人员的,很多都是让普通的测试肉测,肉测的话其实很考验测试人员构造sql的能力,所以今天的这款工具,来帮助大家完成sql注入的安全测试。 大家可以直接去git 上下载一个安装包 github/sqlmapproject/sqlmap
最近小编在测试网站的安全性,所以调研了很多渗透服务器的工具,今天给大家介绍一下sql注入的工具,来让一些小白也可以体验到攻破服务器的快感,进行一些安全方面的测试。
之前的文章已经给大家讲解过xss工具的使用,今天主要介绍一个sql注入工具,sqlmap,也是一款神器。
首先给大家普及一下sql注入是什么:
所谓SQL注入,就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.
这就是sql注入了,如果网站有这方面的问题,一般都比较严重,基本你的数据库就完蛋了,所有数据都被盗走。
现在中国的大部分互联网公司,在研发过程中都是请不起专门的安全测试人员的,很多都是让普通的测试肉测,肉测的话其实很考验测试人员构造sql的能力,所以今天的这款工具,来帮助大家完成sql注入的安全测试。
安装:大家可以直接去git 上下载一个安装包 github/sqlmapproject/sqlmap
但是git上面更推荐用源码方式,
1、首先还是先创建虚拟环境,养成好习惯,不要污染系统:
conda create -n sqlmap python=2.7
注意只支持py2
2、下载源码:
git clone --depth 1 github/sqlmapproject/sqlmap.git sqlmap-dev
源码下载以后就不用安装了,直接 cd sqlmap-dev 就可以看见里面有
其中里面的sqlmap.py 就主程序员文件了,到此就安装完了,很简单!
使用:1、通过python sqlmap.py -h 可以查看所有的参数帮助信息:
支持的功能很多,这里挑选一些主要的讲一下。
2、对一个url进行sql注入,小编就不拿自己的网站了,爆出个漏洞多丢人,搭个本地的吧。
python sqlmap.py -u "192.168.1.150/products.asp?id=134" --batch
里面会自动检测你数据库的版本,很 准!即使没有漏洞也可以挖到很多网站的内部信息。
3、暴库,可以对一个url链接进行暴库,加上--dbs参数。
python sqlmap.py -u "192.168.1.150/products.asp?id=134" --dbs