请选择 进入手机版 | 继续访问电脑版

落羽黑客论坛

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 89|回复: 5

sqlmap开源渗透测试工具简要教程系列【1】

[复制链接]

66

主题

68

帖子

226

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
226
发表于 2021-2-10 10:54:02 | 显示全部楼层 |阅读模式
sqlmap是一个开源渗透测试工具,它可以自动检测和利用SQL注入漏洞并接管数据库服务器的过程。它具有强大的检测引擎,针对最终渗透测试仪的众多细分功能以及从数据库指纹识别,从数据库获取数据到访问基础文件系统以及通过外出在操作系统上执行命令的广泛开关。带内连接。

产品特点
  • 全面支持MySQL,Oracle,PostgreSQL,Microsoft SQL Server,Microsoft Access,IBM DB2,SQLite,Firebird,Sybase,SAP MaxDB,Informix,MariaDB,MemSQL,TiDB,CockroachDB,HSQLDB,H2,MonetDB,Apache Derby,Amazon Redshift, Vertica,Mckoi,Presto,Altibase,MimerSQL,CrateDB,Greenplum,Drizzle,Apache Ignite,Cubrid,InterSystems Cache,IRIS,eXtremeDB,FrontBase,Raima数据库管理器和YugabyteDB数据库管理系统。
  • 全面支持六种SQL注入技术:基于布尔的盲目,基于时间的盲目,基于错误,基于UNION查询,堆叠查询和带外
  • 通过提供DBMS凭据,IP地址,端口和数据库名称,支持直接连接到数据库而无需通过SQL注入。
  • 支持枚举用户,密码哈希,特权,角色,数据库,表和列
  • 自动识别密码哈希格式并支持使用基于字典的攻击破解它们
  • 支持完全转储数据库表,根据用户的选择转储一系列条目或特定列。用户还可以选择仅转储每列条目中的一部分字符。
  • 支持搜索特定数据库名称,所有数据库中的特定表或所有数据库表中的特定列。例如,这对于识别包含自定义应用程序凭据的表很有用,其中相关列的名称包含诸如name和pass之类的字符串。
  • 当数据库软件是MySQL,PostgreSQL或Microsoft SQL Server时,支持从数据库服务器基础文件系统下载和上传任何文件
  • 支持以执行任意指令和检索他们的标准输出底层当数据库软件MySQL和PostgreSQL或Microsoft SQL Server操作系统的数据库服务器上。
  • 支持在攻击者机器与底层操作系统的数据库服务器之间建立带外状态TCP连接。根据用户的选择,此通道可以是交互式命令提示符,Meterpreter会话或图形用户界面(VNC)会话。
  • 通过Metasploit的Meterpreter命令支持数据库进程的用户特权升级getsystem。

回复

使用道具 举报

0

主题

6

帖子

32

积分

新手上路

Rank: 1

积分
32
发表于 2021-2-10 10:54:19 | 显示全部楼层
你好棒!!
回复

使用道具 举报

0

主题

1

帖子

31

积分

新手上路

Rank: 1

积分
31
发表于 2021-2-10 10:54:36 | 显示全部楼层
牛逼!!
回复

使用道具 举报

0

主题

4

帖子

14

积分

新手上路

Rank: 1

积分
14
发表于 2021-2-10 10:54:56 | 显示全部楼层
太棒了!!
回复

使用道具 举报

0

主题

3

帖子

41

积分

新手上路

Rank: 1

积分
41
发表于 2021-2-10 10:55:10 | 显示全部楼层
顶一下!!
回复

使用道具 举报

0

主题

1

帖子

27

积分

新手上路

Rank: 1

积分
27
发表于 2021-2-10 10:55:32 | 显示全部楼层
支持!!!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|落羽黑客论坛

GMT+8, 2021-4-20 11:49 , Processed in 0.049068 second(s), 19 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表