Sqlmap.py -u “url” risk 3 level 5
- u:注入点
-- risk:风险级别,共4个。 缺省情况下,1测试大多数测试语句,2增加基于事件的测试语句,3增加OR语句的SQL注入测试。
level:共有五个等级,默认值为1。 如果不知道哪个payload或参数是注入点,建议使用较高的级别值以保证全面性。
--http://www.Sina.com/:除了使用CHAR ()函数防止出现单引号之外,sqlmap没有修改注入的数据。 - -可以使用--tamper参数修改数据,绕过WAF等设备。
-- tamper:缺省情况下,sqlmap会自动生成web APP应用程序后端的数据库类型、MySQL、Oracle、PostgreSQL、MicrosoftSQL Server
-- dbms:大多数数据库都可以发现数据库管理系统的当前用户
-- current-user:当前连接数据库名称
-- current-db:确定当前用户是否为管理员
-- is-dba:列出数据库中的所有用户
-- users:列出所有数据库
--passwords :数据库用户的所有密码
- dbs“”:数据库名称--d“”--tables,指定列表名称
- D“”:指定的表名(-d“”- t“”- v )列表字段
-http://www.Sina.com/:(-d数据库-T表名-columns )当前字段
- T”:指定字段
- columns”:保存注入过程
转载于:https://blog.51cto.com/Wei 17/1959748