當前位置:首頁 > 電腦軟件 > 編程其它 > SQLmap(自動化SQL注入工具)

SQLmap(自動化SQL注入工具)

版本:v1.7.8 大?。?.28M 語言:簡體中文 類別:編程其它
  • 本地下載
9.1
0% 0%

情介紹

SQLmap是一個開源免費,且非常知名的自動化的SQL注入工具,其主要功能是掃描,發(fā)現(xiàn)并利用給定的URL和SQL注入漏洞,其廣泛的功能和選項包括數(shù)據(jù)庫指紋,枚舉,數(shù)據(jù)庫提權,訪問目標文件系統(tǒng),并在獲取操作權限時執(zhí)行任意命令。SQLmaps可自動檢測和利用 SQL 注入缺陷并接管數(shù)據(jù)庫服務器,其配備了強大的檢測引擎,終極滲透測試儀的許多利基功能,以及從數(shù)據(jù)庫指紋識別,從數(shù)據(jù)庫獲取數(shù)據(jù)到訪問底層文件系統(tǒng)和通過帶外連接在操作系統(tǒng)上執(zhí)行命令的各種開關。
小編這里為大家分享SQLmap工具完整版,由Python寫成,后文教大家如何安裝,親測有效,有需求的用戶還請下載體驗。

功能特色

1、完全支持MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,F(xiàn)irebird,Sybase,SAP MaxDB,Informix,MariaDB,MemSQL,TiDB,CockroachDB,HSQLDB,H2,MonetDB,Apache Derby,Amazon Redshift,Vertica,Mckoi,Presto,Altibase,MimerSQL,CrateDB,Greenplum,Drizzle,Apache Ignite,Cubrid,InterSystems Cache,IRIS,eXtremeDB,F(xiàn)rontBase,Raima Database Manager,YugabyteDB,ClickHouse和Virtuoso數(shù)據(jù)庫管理系統(tǒng)。
2、完全支持六種SQL注入技術:基于布爾值的盲區(qū),基于時間的盲區(qū),基于錯誤的,基于UNION查詢的,堆疊查詢和帶外查詢。
3、通過提供 DBMS 憑據(jù)、IP 地址、端口和數(shù)據(jù)庫名稱,支持直接連接到數(shù)據(jù)庫,而無需通過 SQL 注入傳遞。
4、支持枚舉用戶、密碼哈希、權限、角色、數(shù)據(jù)庫、表和列。
5、自動識別密碼哈希格式并支持使用基于字典的攻擊對其進行破解。
6、支持完全轉儲數(shù)據(jù)庫表,一系列條目或根據(jù)用戶的選擇的特定列。用戶還可以選擇僅轉儲每列條目中的字符范圍。
7、支持搜索特定數(shù)據(jù)庫名稱、所有數(shù)據(jù)庫中的特定表或所有數(shù)據(jù)庫表中的特定列。例如,這對于標識包含自定義應用程序憑據(jù)的表非常有用,其中相關列的名稱包含 name 和 pass 等字符串。
8、當數(shù)據(jù)庫軟件是MySQL,PostgreSQL或Microsoft SQL Server時,支持從數(shù)據(jù)庫服務器底層文件系統(tǒng)下載和上傳任何文件。
9、當數(shù)據(jù)庫軟件是MySQL,PostgreSQL或Microsoft SQL Server時,支持在數(shù)據(jù)庫服務器底層操作系統(tǒng)上執(zhí)行任意命令并檢索其標準輸出。
10、支持在攻擊者計算機和數(shù)據(jù)庫服務器基礎操作系統(tǒng)之間建立帶外有狀態(tài) TCP 連接。此通道可以是交互式命令提示符、Meterpreter 會話或圖形用戶界面 (VNC) 會話,具體取決于用戶的選擇。
11、通過Metasploit的Meterpreter命令支持數(shù)據(jù)庫進程的用戶權限提升。

SQLmap安裝教程

SQLMAP是開源的自動化SQL注入工具,由Python寫成,所以安裝SQLmap需要在電腦中先安裝Python
Python下載地址:http://m.fragilebrain.com/soft/4346.html
1、安裝SQLMAP

2、重命名為sqlmap

3、生成sqlmap快捷方式
①桌面右鍵創(chuàng)建快捷方式

②輸入cmd

③輸入快捷方式名稱

④在生成的SQLMAP下右鍵屬性,修改起始位置為你儲存sqlmap的起始位置,點擊應用,確定

⑤進來就是這樣的

SQLMAP目錄介紹

1、doc目錄:保護sqlmap的簡要說明,具體使用說明,作者信息等。
2、extra目錄:包含sqlmap的額外功能,如發(fā)出聲響、允許cmd、安全執(zhí)行等。
3、lib目錄:sqlmap核心目錄。
4、plugins目錄:包含了sqlmap目前支持的13種數(shù)據(jù)庫信息和數(shù)據(jù)庫通用事項。
5、procs目錄:包含了mssql、mysql、oracle、postgresql的觸發(fā)程序。
6、shell目錄:包含了注入成功后的9種shell遠程命令執(zhí)行。
7、tamper目錄:包含了waf繞過腳本。
8、thirdparty目錄:包含了第三方插件,例如優(yōu)化,保持連接,顏色。
9、txt目錄:包含了表名字典,列名字典,UA字典等。
10、udf目錄:存放攻擊載荷。
11、waf目錄:存放waf特征判斷腳本。
12、xml目錄:存放多種數(shù)據(jù)庫注入檢測的payload等信息。

SQLMAP特性

sqlmap支持常見的六種不同的注入模式(不計算其他數(shù)據(jù)庫類型):
1、基于布爾盲注,即可以根據(jù)返回頁面判斷條件真假的注入。
2、基于時間盲注,即不能根據(jù)頁面返回內(nèi)容判斷任何信息,用條件語句查看時間延遲語句是否執(zhí)行(即頁面返回時間是否增加)來判斷。
3、基于報錯注入、即頁面會返回錯誤信息,或者把注入的語句的結果直接返回在頁面中。
4、聯(lián)合查詢注入、可以使用union的情況下的注入。
5、堆查詢注入、可以同時執(zhí)行多條語句的執(zhí)行時的注入。
6、內(nèi)聯(lián)查詢注入、在sql語句中執(zhí)行sql語句。

載地址

  • 電腦版
SQLmap(自動化SQL注入工具) v1.7.8完整版

您喜歡

網(wǎng)絡安全滲透測試工具
網(wǎng)絡安全滲透測試工具
滲透測試工具是用于模擬對計算機系統(tǒng)、網(wǎng)絡或Web應用程序的網(wǎng)絡攻擊,以便在實際攻擊者之前發(fā)現(xiàn)安全漏洞的軟件。這類工具可以幫助安全團隊評估系統(tǒng)的安全性,識別潛在的威脅,并制定相應的防護措施。3322軟件站整理制作了滲透測試軟件大全供您選擇,包括nmap、wireshark、SQLmap、Burp Suite、AppScan、Kali Linux等。這些滲透測試工具能全方位滿足你的各種測試需求。有興趣的小伙伴歡迎來3322下載使用。

網(wǎng)友評論

0條評論
(您的評論需要經(jīng)過審核才能顯示)