当前位置：首页 > news >正文

15、SQL注入——Sqlmap

news 2026/2/7 18:19:00

文章目录

一、Sqlmap简介
- 1.1 sqlmap可以对URL干嘛？
- 1.2 Sqlmap支持的注入技术
- 1.3 SQLmap检测注入漏洞的流程
- 1.4 Sqlmap的误报检测机制
二、sqlmap基本使用

一、Sqlmap简介

sqlmap使用教程

1.1 sqlmap可以对URL干嘛？

判断可注入的参数
判断可以使用哪一种SQL注入技术进行注入
判断识别数据库的类型
根据用户的选择，从数据库中读取数据

1.2 Sqlmap支持的注入技术

基于联合查询的注入：可以使用UNION的情况下的注入。
基于布尔的盲注：根据返回页面判断条件真假的注入。
基于时间的盲注：不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。
基于报错的注入：页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。
堆查询注入：同时执行多条语句的注入。

1.3 SQLmap检测注入漏洞的流程

网站连通性检测：检测目标的连接状态
WAF探测：检测网站是否受到WAF保护
网页稳定性探测：检测网页是否稳定
参数动态性检测：检测参数是否具有动态性
启发式注入检测：检测该参数点是否时动态的、是否为可能的注入点。

1.4 Sqlmap的误报检测机制

误报检测：Sqlmap的布尔盲注、时间盲注方式判断注入点时，存在误报的可能。为防止误报，sqlmap引入了误报检测机制。
两个基础检测算法：
- 页面相似度对比技术（在各种注入技术中大量使用）
  在Sqlmap检测的整个过程中，会有一个原始响应的定义，指的是在网站连通性检测的过程中，如果网站成功响应（包括状态码、HTTP响应头、HTTP响应体）。一个HTTP请求成功响应后，将于原始响应进行比较，得出对比结果，算法输出为True当前响应与原始响应相似，算法输出为False表示当前响应与原始响应不相似。
- 高斯分布识别响应机制（在UNION注入和时间盲注过程中使用）
  网站的响应是基于逻辑的，如果一组请求，网站的处理逻辑相同，那么响应几乎也是相同的。如果某一个响应出现了变化，则可以认为网站处理逻辑变了，这种逻辑的变化，可能正是因为注入成功了。

二、sqlmap基本使用

sqlmap
sqlmap -u "url"  //-u选项是检测注入点
sqlmap -u "url" --dbs  //--dbs选项是列出所有数据库名
sqlmap -u "url" --current-db  //--current-db选项是列出当前数据库的名字
sqlmap -u "url" -D "数据库名" --tables //-D是指定一个数据库  --tables是列出这个数据库的所有表名
sqlmap -u "url" -D "数据库名" -T "表名" --columns //-T是指定表名  --columns是列出所有的字段名
sqlmap -u "url" -D "数据库名" -T "表名" -C "字段名" --dump //-C是指定字段  --dump是列出字段内容
sqlmap -u "url" --os-shell //运行shell命令

15、SQL注入——Sqlmap

文章目录一、Sqlmap简介1.1 sqlmap可以对URL干嘛？1.2 Sqlmap支持的注入技术1.3 SQLmap检测注入漏洞的流程1.4 Sqlmap的误报检测机制二、sqlmap基本使用一、Sqlmap简介 sqlmap使用教程 1.1 sqlmap可以对URL干嘛？ 判断可注入的参数判断可以使用哪一种…...

编程日记 2023/12/11 19:13:24

OSPF路由协议

随着Internet技术在全球范围的飞速发展，OSPF已成为目前应用最广泛的路由协议之一。OSPF（Open Shortest Path First）路由协议是由IETF（Internet Engineering Task Force）IGP工作组提出的，是一种基于SPF算法的…...

编程日记 2023/12/11 19:09:18

设计模式-门面模式（Facade）

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档文章目录前言一、定义二、结构前言在组件构建过程中，某些接口之间直接依赖会带来很多问题，甚至无法直接实现。采用一层间接接口，来隔离…...

编程日记 2023/12/11 19:07:16

语音识别从入门到精通——1-基本原理解释

文章目录语音识别算法1. 语音识别简介1.1 **语音识别**1.1.1 自动语音识别1.1.2 应用 1.2 语音识别流程1.2.1 预处理1.2.2 语音检测和断句1.2.3 音频场景分析1.2.4 识别引擎(语音识别的模型)1. 传统语音识别模型2. 端到端的语音识别模型基于Transformer的ASR模型基于CNN的ASR模…...

编程日记 2023/12/11 19:03:12

语音识别功能测试：90%问题，可以通过技术解决

现在市面上的智能电子产品千千万，为了达到人们使用更加方便的目的，很多智能产品都开发了语音识别功能，用来语音唤醒进行交互；另外，各大公司也开发出来了各种智能语音机器人，比如小米公司的“小爱”&#xf…...

编程日记 2023/12/11 19:00:08

// 变量 var a, b, c 8, 2.3, "hello" var d float64; e : 6var A []int; var B [10]int; C : [10]int{1, 2, 3, 4} for i : 0; i < len(B); i {} for _, value : range C {} D make([]int, 3) // len 4, cap 10, 扩容方式 cap*2 E : make([]int, 4, 10) E …...

编程日记 2023/12/11 18:54:03

软文开头怎么写才能拿捏用户?媒介盒子为您解答

软文标题是吸引用户点击的关键因素，那软文开头就是决定用户能否读下去的主要因素，很多运营er在写文案时经常会面临的情况之一就是好不容易想到一个标题，点击率不错，但是开头不行用户一看开头，跑了！如果不知…...

编程日记 2023/12/11 18:53:01

C语言算法与数据结构，旅游景区地图求最短路径

背景： 本次作业要求完成一个编程项目。请虚构一张旅游景区地图，景区地图包括景点（结点）和道路（边）：地图上用字母标注出一些点，表示景点（比如，以点 A、B、C、…...

编程日记 2023/12/11 18:52:01

测试：SSE VS WebSocket

SSE（Server-Sent Events） SSE（Server-Sent Events）接口是一种实现服务器到客户端单向实时通信的技术。通过SSE，服务器可以主动向客户端推送数据，而不需要客户端不断地向服务器请求数据。这种技术特别适合于…...

编程日记 2023/12/11 18:50:59

Linux+Moba+虚拟机

软件： VMware Workstation ProMobaXterm 简介是一款由VMware公司开发的强大的虚拟机软件。它可以在单台物理计算机上创建、运行和管理多个虚拟机，每个虚拟机都可以独立运行不同的操作系统和应用程序。功能： 虚拟化：能…...

编程日记 2023/12/11 18:48:57

快手数仓面试题附答案

题目 1 讲一下你门公司的大数据项目架构？2 你在工作中都负责哪一部分3 spark提交一个程序的整体执行流程4 spark常用算子列几个，6到8个吧5 transformation跟action算子的区别6 map和flatmap算子的区别7 自定义udf，udtf，udaf讲一下…...

编程日记 2023/12/11 18:47:57

如何在Go中编写包

包由位于同一目录中的Go文件组成，这些文件在开头具有相同的package语句。你可以从包中包含额外的功能，使程序更复杂。有些包可以通过Go标准库获得，因此与Go安装一起安装。其他可以使用Go的go get命令安装。您还可以通过使用必要的package语句在要共享代码的相同目录中创建Go…...

编程日记 2023/12/11 18:44:55

JVM类加载全过程

Java虚拟机类加载的全过程，即加载，验证，准备，解析，初始化一、加载加载是类加载过程中的一个阶段， 有以下三部分组成 1）通过一个类的全限定名来获取定义此类的二进制流 2）将这…...

编程日记 2023/12/11 18:41:52

Uniapp安卓原生插件开发Demo

文章目录前言一、安装开发工具二、导入uni插件原生项目三、开发Module四、开发Component五、合并原生代码到uniapp项目中总结前言当HBuilderX中提供的能力无法满足App功能需求，需要通过使用Andorid/iOS原生开发实现时，可使用App离线SDK开发原生插件来…...

编程日记 2023/12/11 18:40:51

Axure的安装与基本使用

目录一.Axure是什么二.Axure安装 2.1 一键式安装 2.2 汉化 2.3 授权登录三.Axure的界面介绍及基本使用 3.1 菜单栏的使用 3.2 工具栏的使用 3.3 页面概要的使用及组件的使用 3.4 组件的样式设计一.Axure是什么 Axure是一个流行的交互式原型设计工具，一般是…...

编程日记 2023/12/11 18:39:49

分布式锁实现方案 - Lock4j 使用

一、Lock4j 分布式锁工具你是不是在使用分布式锁的时候，还在自己用 AOP 封装框架？那么 Lock4j 你可以考虑一下。 Lock4j 是一个分布式锁组件，其提供了多种不同的支持以满足不同性能和环境的需求。立志打造一个简单但富有内涵的分布式锁组…...

编程日记 2023/12/11 18:36:46

[虚拟机]使用VM打开虚拟机电脑重启解决方案。

问题：打开虚拟机点击启动后，电脑会自动重启。（WINDOWS10 20版本） 解决步骤： 1、对Windows功能进行操作。上图三个启用。上图一个取消。再次打开后，不报警，显示下图问题： 继续解…...

编程日记 2023/12/11 18:35:45

Linux 详细介绍strace命令

system call(系统调用)是程序向内核请求服务的一种编程方式，strace是一个功能强大的工具，可以跟踪用户进程和 Linux 内核之间的交互。要了解操作系统如何工作，首先需要了解系统调用如何工作。操作系统的主要功能之一是为用户程序提供了一个…...

编程日记 2023/12/11 18:33:43

【知识分享】__RS485-嵌入式常用的通信协议

目录前言一、RS485简介什么是串口什么是串行通信什么是并行通信二、接口原理 1. 连接方式 2. 差分信号三、485通讯接口的优势 1. 接口电平低， 不易损坏芯片。 2. 传输速率高 3. 抗干扰能力强 4. 传输距离远，支持节点多。四、常见…...

编程日记 2023/12/11 18:29:37

Qt生成动态链接库并使用动态链接库

项目结构整个工程由一个主程序构成和一个模块构成(dll)。整个工程的结构目录如下 Define.priMyProject.proMyProject.pro.user ---bin ---MainProgrammain.cppMainProgram.proMainProgram.pro.userwidget.cppwidget.hwidget.ui ---MathDllMathDll.proMathDll.pro.userMyMath.…...

编程日记 2023/12/11 18:27:35

铭豹扩展坞 USB转网口突然无法识别解决方法

当 USB 转网口扩展坞在一台笔记本上无法识别，但在其他电脑上正常工作时，问题通常出在笔记本自身或其与扩展坞的兼容性上。以下是系统化的定位思路和排查步骤，帮助你快速找到故障原因：背景：一个M-pard（铭豹）扩展坞的网卡突然无法识别了，扩展出来的三个USB接口正常。…...

编程新知 2026/2/5 10:34:36

day52 ResNet18 CBAM

在深度学习的旅程中，我们不断探索如何提升模型的性能。今天，我将分享我在 ResNet18 模型中插入 CBAM（Convolutional Block Attention Module）模块，并采用分阶段微调策略的实践过程。通过这个过程，我不仅提升…...

编程新知 2025/11/9 1:27:18

Golang dig框架与GraphQL的完美结合

将 Go 的 Dig 依赖注入框架与 GraphQL 结合使用，可以显著提升应用程序的可维护性、可测试性以及灵活性。 Dig 是一个强大的依赖注入容器，能够帮助开发者更好地管理复杂的依赖关系，而 GraphQL 则是一种用于 API 的查询语言，能够提…...

编程新知 2025/12/31 8:38:23

定时器任务——若依源码分析

分析util包下面的工具类schedule utils： ScheduleUtils 是若依中用于与 Quartz 框架交互的工具类，封装了定时任务的创建、更新、暂停、删除等核心逻辑。 createScheduleJob createScheduleJob 用于将任务注册到 Quartz，先构建任务的 JobD…...

编程新知 2026/1/26 14:24:46

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个生活电费的缴纳和查询小程序

一、项目初始化与配置 1. 创建项目 ohpm init harmony/utility-payment-app 2. 配置权限 // module.json5 {"requestPermissions": [{"name": "ohos.permission.INTERNET"},{"name": "ohos.permission.GET_NETWORK_INFO"…...

编程新知 2025/11/26 13:15:57