SQL注入--sqlmap自动化注入工具
小编使用的是kali2.0的系统,自带sqlmap1.0版本
相对于手工注入,自动化工具更加快捷不用反复写入SQL语句,但是不如手工注入的灵活性好,二者各有千秋,在适合的时候使用适合的方法才能拥有最高的工作效率
简单的使用过程如下 后边我会把最新版的sqlmap下载地址放出
(XAMPP搭建的并非MySQL数据库,所以能够在不添加SQL函数的情况下拿shell,在mssql和Oracle中并没有这样的问题可直接拿shell)
在KALI中使用过程如下
先手工判断是否为注入点,将注入点加入到sqlmap中
看到子自动尝试大量的语句(多种注入方式)
既然"id"能够拿来攻击那么就不要尝试其他的了,以免浪费时间
知道了版本和脚本语言PHP --dbs列出所有的数据库
列出当前注入点所在的数据库
列出"phpzr"下的所有表
查看admin表下的字段
查看字段内容
用10线程去尝试连接shell
执行命令时选择如下
下面是在windows执行sqlmap 需要安装 Python 2的版本 py -2 是为了选择2版本的
下面给出一个非常全的手册地址
http://www.cnblogs.com/hongfei/p/3872156.html
sqlmap下载
https://github.com/sqlmapproject/sqlmap/