2回答
基本上我创建了一个别名
alias 1="python /root/sqlmap-dev/sqlmap.py"
当我输入1的时候,它工作得很好,但是如果我打开另一个终端,再键入1。它不认得化名!
那么,如何使别名随处可用呢?
浏览 0提问于2017-04-16得票数 0
回答已采纳
2回答
使用sqlmap获取主机名
、、、、
有一个易受SQL注入攻击的网站abc.com,我已经通过sqlmap验证了这一点,因此在此之后我获得了用户名和密码。
https://github.com/sqlmapproject/sqlmap/wiki/Usage
但是我注意到数据库运行在oracle上,我想得到主机,这样我就可以从Oracle客户端连接到数据库。
-主机名返回abc.com,如何获得实际的DB主机名,以便使用SQLMAP通过Oracle进行连接。
当我对abc.com进行端口扫描时,只有40和443是打开的.
这只是为了学习的目的
谢谢
浏览 5提问于2016-03-30得票数 1
使用SQLMAP拉取数据库表和列可以很好地工作,但是当我尝试执行INSERT语句时,我得到了以下错误:
查询:
sqlmap -u "http://www.example.com/details.php?item_id=327" -D main_db -T orders --columns --sql-query \ "INSERT INTO orders (order) VALUES ('test')"
Table:orders
+---------+----------+
| Column | Type |
+--------
浏览 6提问于2016-02-17得票数 4
回答已采纳
1回答
感谢你阅读这篇文章。
我有两个MySQL数据库--主数据库用于写,从数据库用于读。我想象的最完美的场景是,我的应用程序对readOnly=false事务使用到主节点的连接,对readOnly=true事务使用到从节点的连接。
为了实现这一点,我需要根据当前事务的类型提供一个有效的连接。我的数据服务层不应该知道它使用的是哪种类型的连接,而只是直接使用注入的SqlMapClient (我使用iBatis)。这意味着(如果我没弄错的话)应该代理注入的SqlMapClient,并且应该在运行时选择委托。
public class MyDataService {
private SqlMapC
浏览 2提问于2010-07-19得票数 8
回答已采纳
首先,我有一个类似下面的java代码:
Environment environment = new Environment("development",
transactionFactory, dataSource);
Configuration config = new Configuration(environment);
然后,我尝试使用addMappers(String packageName)添加映射器。在该软件包中,包含SQLMap接口
config.addMappers("com.test.mappers");
它
浏览 1提问于2015-04-01得票数 1
我想弄明白为什么SQLMap失败了,而我认为它不应该失败。在我的本地网络上,我有一个VM加载了一个非常基本的SQL注入漏洞。通过UserID字段手动运行此代码将使您通过login.php脚本:
'|| 1=1#;
这种注射也起作用了:
'OORR 1=1#;
考虑到这种简单的SQL注入在表单上有效,我不知道为什么SQLMap总是报告页面中没有注入漏洞。我猜我写的shell命令不正确,因为我刚刚开始使用这个工具。到目前为止,我运行了以下操作:
sqlmap --wizard 192.168.254.21
sqlmap --level=5 --risk=3 -a 192.168.2
浏览 0提问于2017-06-01得票数 2
1回答
我正在编写一个程序,它将使用进行简单扫描,然后使用regex模式查找数据库中的关键错误。
问题是,我将sqlmap的输出存储在文本文件中。如果我将该文件放在根目录中,它是可以的,但是如果我试图将它存储在登录用户的主目录下,则会得到以下错误
sh1:无法创建/home/用户sh2: /Desktop/Resul.txt未找到
下面是导致此错误的代码
$u = `id -u -n`;
my $com = `sqlmap -m $ARGV[0] >> /home/$u/Desktop/results.txt --batch`;
我不明白为什么变量$u将路径/home/$u/Des
浏览 4提问于2015-11-14得票数 0
有人能帮我解决这个问题吗,我正在使用SQLMap(ib提斯)来处理java。我有三个班,分别是MainConfiguration,SQLMap,DBUtility。
主配置(这个类用于在SQLMap类中设置一个对象)
public class MainConfiguration
{
public static String file = "configuration/db/SQLMapConfig.conf";
public static void main(String[] args) throws Exception
{
浏览 2提问于2017-06-09得票数 0
回答已采纳
4回答
我只是在Kali上乱搞SQLMap,现在我在主数据库上有了一个--sql-shell。有了这个,我想知道我现在能用这个权限做些什么。我如何将数据插入数据库等等--这可能吗?
浏览 0提问于2017-06-10得票数 8
我编写了一个程序来插入大量数据。为了加快速度,我在进程中间提交了事务。多次打电话给startTransaction和commitTransaction,只打一次endTransaction是安全的吗?
try {
sqlMap.startTransaction();
// Do some work.
sqlMap.commitTransaction();
sqlMap.startTransaction();
// Do some work.
sqlMap.commitTransaction();
sqlMap.startTransaction();
浏览 3提问于2014-05-27得票数 0
回答已采纳
我在一个测试站点上使用sqlmap,我想修改表中的一些数据。使用开关--sql-query。
正确的语法是什么?是--sql-query="My_query_here"吗?或者可能是--sql-query='myqueryhere'?
我如何能够修改多行数据?例如:假设我想用单词替换所有数据。游戏结束
有可能掉进壳里吗?
浏览 0提问于2012-10-08得票数 13
回答已采纳
我试图在https中使用SQLMap,但当我尝试使用"C:\Python27\sqlmap>sqlmap.py -u https://localhost:8774/App/console/index.jsp --force-ssl"时,它返回“无法建立SSL连接”。
那么,我是否可以将SSL证书传递给SQLMap呢?
环境详细信息: OS: Windows 10 Python: 2.7 SQLMap: 1.4.2.42
浏览 9提问于2020-02-28得票数 3
在将正则表达式模式与fail2ban一起使用时遇到了问题。我们的服务器受到sqlmap渗透测试的影响,我希望能够在记录这些IP时禁止这些IP。从我看到的其他示例中,我似乎不必尝试匹配日志条目的每个部分,而只需搜索一个单词或字符串。只是看起来不能正确的处理模式。任何帮助都是非常感谢的。谢谢
当前过滤器:
# Fail2Ban configuration file
#
# Bans any scanning with the tool sqlmap.
#
[Definition]
# Option: failregex
# Notes.: Regexp to match the use of
浏览 2提问于2014-03-20得票数 1
我有一个定义了三个SQLMaps的sqlMapConfig.xml。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE sqlMapConfig
PUBLIC "-//ibatis.apache.org//DTD SQL Map Config 2.0//EN"
"http://ibatis.apache.org/dtd/sql-map-config-2.dtd">
<sqlMapConfig>
<!-
浏览 2提问于2012-04-17得票数 0
1回答
我被分配去解决某人的应用程序中的一个事件。
但是,这个应用程序在iBATIS中使用了sqlMap和存储过程,而我以前从未使用过它。
这就是我到目前为止所知道的:
public void createItemInDb() {
try {
System.out.println("status: " + this.getStatus());
System.out.println("weight: " + this.getWeight());
System.out.println("node name:
浏览 1提问于2016-04-11得票数 1
2回答
root@kali:~# sqlmap --tor --tor--type=SOCKS5sqlmap -u
sqlmap/1.0-dev - automatic SQL injection and database takeover tool
http://sqlmap.org
好了!法律免责声明:未经事先双方同意,使用sqlmap攻击目标是非法的。最终用户有责任遵守所有适用的地方、州和联邦法律。开发人员不承担任何责任,也不对本程序造成的任何误用或损坏负责
[*] starting at 14:18:00
[14:18:00] [WARNING] increasing default va
浏览 8提问于2015-06-27得票数 1
1回答
在最后找不到命令
、、、
我在私有VM上尝试了SQL注入,并使用sqlmap。不知何故,命令:
sqlmap -u http://link/index.html?page=blog&title=Blog&id=5 --random-agent
给我:
[2] 16
[3] 17
-bash: --random-agent: command not found
[1] Done sqlmap -u http://link/index.html?page=blog
[3]+ Done title=Blog
但是把随机代理放在第
浏览 2提问于2018-08-29得票数 1
回答已采纳
我想了解sqlmap背后的深层理论--程序的决策--它是如何完成的?有公共报纸吗?(仍然有一个选项可以读取和理解sqlmap代码并使用-vvv开关)。
我在寻找sqlmap决策树的可视化。
注意:我知道SQL注入是如何工作的,我熟悉sqlmap的wiki。
浏览 0提问于2018-12-28得票数 1
回答已采纳
我尝试在powershell中创建一个别名,它使用参数的名称和不同目录中的文件,在别名中我可以设置python c:\sqlmap\sqlmap.py,但是当我使用别名时,它只打印出sqlmap的第一页,而不是使用sqlmap需要使用的其他参数。 Set-Alias -Name sqlmap -Value 'python D:\tools\sqlmap-master\sqlmap.py' 或者我也尝试了函数循环 function sqlmap {
$current_dir = (get-lcoation).location
set-location
浏览 34提问于2021-09-06得票数 1
回答已采纳
1回答
SQLMap成功插入查询浏览
、、、、
我想知道是否有一种方法可以浏览SQLMap在注入时正在使用的SQL查询,这样我就可以将这个查询粘贴到我的浏览器中,并在没有自动化工具的情况下观看它本身的工作。示例:我使用sqlmap -u vulnerableparameters.com/php?id=5 --dbs命令,它返回可用的数据库。如何找到用于访问此数据的查询SQLMap?提前谢谢,我会继续研究的。
浏览 6提问于2017-04-20得票数 1
我试图使用iBatis插入一些由用户在联系人表单中发送的数据。
我使用的是Liferay/Spring /iB导则/MySQL设置,但我认为问题是由iBatis配置引起的。每当我尝试插入数据时,我都会在日志中看到异常:
com.ibatis.sqlmap.client.SqlMapException: There is no statement named contactus.ibatorgenerated_insert in this SqlMap.
at com.ibatis.sqlmap.engine.impl.SqlMapExecutorDelegate.getMapp
浏览 2提问于2011-04-08得票数 4
回答已采纳
我正在使用Java和Ibatis在oracle数据库上调用存储过程。我似乎在参数设置上遇到了问题。
存储过程如下所示:
PROCEDURE Get_Semployees_By_Clt_ID
(
client_id IN HRIS.SEMPLOYEES.SEE_CLT_ID%TYPE,
ref_cursor OUT SYS_REFCURSOR
);
我的Ibatis SqlMap:
<sqlMap namespace="Foo">
<resultMap id="employee-map"
浏览 2提问于2010-11-04得票数 0
回答已采纳
4回答
我需要使用iBatis在单个表(SQL Server2005)中插入20,000行。做这件事最快的方法是什么?我已经在使用批处理模式了,但它没有多大帮助:
try {
sqlMap.startTransaction();
sqlMap.startBatch();
// ... execute statements in between
sqlMap.commitTransaction();
} finally {
sqlMap.endTransaction();
}
浏览 1提问于2008-11-13得票数 4
我将ClientDetails作为bean,其结构如下:
public class ClientDetails{
protected String id;
protected String type;
protected AddressDetails;
protected PhoneDetails;
//getters and setters follows...
}
public class AddressDetails{
protected List<Address> address
//getters and set
浏览 5提问于2012-02-09得票数 0
我正在尝试通过以下方式创建一个持久性客户端对象:
var create:Create = new Create();
create.sql = "CREATE TABLE IF NOT EXISTS REPOFILE( REPOFILEID INTEGER PRIMARY KEY AUTOINCREMENT, NAME TEXT, CHECKSUM TEXT, BYTES INTEGER, CREATED INTEGER, UPDATED INTEGER, ISDIRECTORY INTEGER )";
var sqlMap:SqlMap = new SqlMap( { cr
浏览 4提问于2012-01-15得票数 0
回答已采纳
0回答
我使用sqlmap进行注入,URL看起来像python sqlmap.py -u "“,所以我只想知道sqlmap尝试为site_name注入输入的值是什么。
浏览 12提问于2017-06-05得票数 0
我正在使用Java1.5、PostgreSQL 8.4.20和iBatis版本低于2.3.4.726的遗留应用程序(因为我必须为iBatis使用两个jars,即ibatis-common-2.jar和ibatis-sqlmap-2.jar)。我必须使用codec作为Java Enum,db中相应的列是varchar。当尝试从后端数据库获取数据并显示在屏幕上时,我得到以下错误:
[root@cent610-server iBatis-jdk18-work]# javac15 -cp .:jars-old-postgre/ibatis-sqlmap-2.jar:jars-old-postgre/i
浏览 3提问于2020-07-23得票数 2
我一直在尝试从存储在XMLType列中的XML中选择一个值列表,但我一直收到错误信息,这些错误信息列在本文的末尾。
select id为
getXMLFragment
,sqlmap.xml的相关子集如下:
<select id="getXMLFragment" resultClass="list">
SELECT
XMLCAST(XMLQUERY('$CUSTOMER/CUSTOMER/DETAILS/
CUST_NAME/text()' PASSING CUSTO
浏览 0提问于2010-06-08得票数 1
回答已采纳
2回答
我正忙着在我编写的自定义应用程序上测试SQLMAP,但是SQLMAP没有检测注入点。
例如,http://127.0.0.1/index.php?id=10-1显示id=9的内容。但是SQLMAP没有检测到?id下的注入点。
是否有人成功地利用了这样的注入点?
浏览 0提问于2018-01-31得票数 2
我正在帮助我的一个学院测试他的网站是否完全是SQLi的。这看起来很有希望,但我正在努力确保,而且我碰巧知道他正在使用pg_escape_string来净化他的POST输入。
这可能是一个愚蠢的问题,但我想知道,是否有办法为SQLMap指定转义方法?
此外,只要我在这里,我想征求意见,哪一种是最好的逃避方法(PostgreSQL组合)是足够的,还是应该使用其他的?
浏览 0提问于2016-09-15得票数 0
1回答
是否可以对ODBC连接使用sqlmap,以便在存在漏洞的情况下使用SQLMAP测试数据库?也许在pyodbc的上下文中可以使用SQLMAP吗?
我想测试ODBC驱动程序是否存在一些漏洞,因此希望运行sqlmap。
浏览 4提问于2021-11-30得票数 2
回答已采纳
2回答
我想知道sqlmap是否能够测试headers是否存在SQL漏洞。我知道,如果我使用--level>=3,那么它将自动检查用户代理和引用者headers,但我也想检查其他人。
我已经找到了--header选项,我可以使用这些选项指定将在请求中发送的头,但我不知道sqlmap是否会实际测试这些标头。假设我想添加一个标题:
CustomHeader: testing
发送到http请求。我会将--headers="CustomHeader: testing"添加到sqlmap命令行,然后我可以特别告诉sqlmap使用-p选项测试CustomHeader HTTP头中的Cust
浏览 0提问于2013-01-22得票数 5
回答已采纳
D:\Python27>python sqlmap\sqlmap.py -u www.mail.ru --tor
sqlmap/1.0-dev - automatic SQL injection and database takeover tool
http://sqlmap.org
[!] legal disclaimer: Usage of sqlmap for attacking targets without prior mutual
consent is illegal. It is the end user's responsibility to
浏览 2提问于2012-07-30得票数 5
回答已采纳
是否可以配置MyBatis生成器SqlMap插件以生成src/SqlMap/resources目录中的SqlMap文件?
当我为targetProject使用一个路径时,我会得到一个错误。当我只使用项目时,SqlMap XML文件是在src/main/java中创建的(我必须使用maven将它们复制到src/main/resources中。
<sqlMapGenerator targetPackage="xml.fabric" targetProject="domain/src/main/resources" >
</sqlMapGenerat
浏览 1提问于2017-04-25得票数 0
回答已采纳
1回答
有人试图使用sqlmap来SQLi我的域。我从mysql那里得到了很多错误。
我的服务器访问日志显示:
HTTP/1.1“200 10559 "-”sqlmap/1.0.4.0#dev (http://sqlmap.org)“
我试过阻止IP,但IP一直在变化。如何从服务器阻止sqlmap?
浏览 0提问于2017-01-30得票数 1
回答已采纳
我有一个应用程序,在这个应用程序中,post登录页面容易受到SQL注入的攻击。在浏览器中发布登录后,我通过该易受攻击的页面获取请求,并将数据输入sqlmap。但我得到了以下错误。
[15:45:24] [INFO] testing connection to the target URL sqlmap got a 302 redirect to 'http://localhost:80/dvwa/login.php'. Do you want to follow? [Y/n] Y
[8]+ Stopped sqlmap -u http://localhost/dvwa/vu
浏览 0提问于2017-10-28得票数 1
回答已采纳
3回答
如何在原因未知的情况下调试问题
、、、、
在weblogic server v10.3.2.0中,我们面临以下异常。我们使用的是JRockit JRE6.0。
我们在每个服务器请求中都涉及到大约6-7个XA数据源。当对最后一个数据源的处理刚刚开始时,我们就会遇到这个异常。
请给我一些建议。
java.sql.SQLException: Unexpected exception while enlisting XAConnection
java.sql.SQLException: Transaction rolled back: setRollbackOnly called on transaction
at weblogic.jd
浏览 3提问于2011-08-29得票数 5
1回答
我有一个std::map,它是我从json生成的,另一个是我从sqlite生成的映射。
我想比较这两张地图,并对sqlite进行修改,使其与json相匹配。我最初通过这两个映射使用map.find( key )方法来确定要添加什么和要删除什么,但是我的朋友告诉我,映射是从最少到最大的键排序的,所以我只需要运行一次。
我想出了两种方法。你对哪一种算法是首选的有什么建议吗?为什么?我认为我没有注释的那个更快,因为(如果我错了请纠正我),我相信未注释的是O(n)最坏的情况,而后者是O(n^2)最坏的情况。
此外,我的朋友还提到,我不需要第二个“清理”didn循环来协调其余的sqlMap项,但我真的认
浏览 5提问于2014-03-18得票数 0
回答已采纳
我尝试使用Hack Bar在网站上执行SQL注入。服务器没有响应SQL错误。
我还尝试使用sqlmap:
sqlmap -u http://website/login.php?op=login --dbs
sqlmap -u http://website/login.php?id=1 --dbs
[10:06:33] [CRITICAL] all tested parameters appear to be not injectable.
所以我的问题是:即使web服务器没有显示任何错误,也可以得到SQL注入吗?
浏览 0提问于2016-11-02得票数 2
回答已采纳
我在ubuntu14.04LTS下的virtualbox中运行kali linux。在sqlmap中执行root@kali:~# sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 --dbs时,我会得到以下错误。请帮帮忙。
root@kali:~# sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 --dbs
_
___ ___| |_____ ___ ___ {1.0-dev-nongit-20150914}
|_ -| . | |
浏览 0提问于2015-09-15得票数 -1
回答已采纳
1回答
Ksh未找到执行返回值
、、、、
我使用Sqlmap对我的站点sqlmap.py进行笔试,直到程序突然停止,当我试图给它一个选项--dbs时,它给了我。
[2] 16403 ksh: --dbs: not found
sqlmap.py -u mysite.com/contact.php?id=1 --dbs
浏览 5提问于2013-09-06得票数 0
2回答
现在,我正在修改Hackxor VM (一种受限制的培训环境),并试图使用sqlmap来利用我可以手动利用的漏洞。
该漏洞位于cookie标头'userid‘参数中。该应用程序实现了一些SQLi过滤器来阻塞空间和一些SQL关键字,因此您必须稍微扭曲一下有效负载。
我可以成功地利用以下漏洞,使用HTTP代理在上述“userid”参数中注入以下有效负载:
71934/**/unUNIONion/**/seSELECTlect/**/*/**/from/**/users
然后,我尝试用sqlmap复制注入,但没有成功,使用以下命令:
sqlmap -u "http://cloakne
浏览 0提问于2016-03-01得票数 6
我正在为一个构建在经典ASP和MS 2000中的网站做一些安全方面的工作。
通过使用Sqlmap和以下命令,我成功地找到了几个允许SQL注入表单字段的有缺陷的表单:
python sqlmap.py -u "URL TO FORM" --forms --level=5 --risk=3 --batch
python sqlmap.py -u "URL TO FORM" --forms --dbs --level=5 --risk=3 --batch
现在,我正在尝试检查另一个表单,它使用多部分/表单-数据编码类型。
Sqlmap不能向这个表单注入任何东西,但是
浏览 0提问于2013-07-09得票数 2
我正在尝试在本地WAMP服务器和Oracle 11.1.0.7之间配置一个简单的连接。显然,PHP有各种各样的解决方案和神奇的情况,在这些情况下,它无法启动。
我从WAMP运行最新的32位版本(我今天再次获取它只是为了检查) db机器也是32位的,而不是本地的
以下是我在连接数据库方面的尝试,每次都会遇到相同的错误:
$db = "(DESCRIPTION=(ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = some.ip.addr)(PORT = 1521)))(CONNECT_DATA=(SID=somesid)))"
浏览 3提问于2012-02-01得票数 3
我试图制作sqlmap,以避免从存储的会话中获取数据。我怎样才能做到这一点?我已经在目标上执行了一次sqlmap检查,现在目标是脱机的,我希望sqlmap只是停止对目标是否脱机的检查,即使目标是联机的,也应该重新检查它,而不仅仅是显示存储会话中的数据。
python3 sqlmap.py --threads=5 -m /tmp/sql --batch --answers "already=N"
[12:39:54] [CRITICAL] unable to connect to the target URL ('Connection refused')
sqlm
浏览 0提问于2020-09-22得票数 2
我一直试图让sqlmap在一个使用基本身份验证的假登录页面中测试username参数。但是,我不能让它通过星号技巧来测试身份验证头:
sqlmap --auth-type "BASIC" --auth-cred="*:pass" --level 5 --risk 3 --method POST -u http://fake_endpoint.local/ --proxy http://127.0.0.1:8080
我在代理中只收到一次使用字面意思为*:pass (b64: KjpwYXNz)的登录尝试
POST http://fake_endpoint.loca
浏览 0提问于2020-04-10得票数 5
回答已采纳
我使用sqlmap和--crawl选项。每当找到一个URL,它就会问我是否要扫描它
GET http://127.0.0.1:80/demo/sqli.php?id=1
do you want to test this URL? [Y/n/q]
我应该如何让sqlmap不问就测试所有的URL?
P.S . SQLmap还会问以下问题,我也想自动回答它们:
请输入线程数?输入1(当前)
您是否要检查站点的sitemap(.xml) y/N的存在
浏览 0提问于2018-01-04得票数 4
回答已采纳
在Spring3.0环境中,我将从iBatis 2迁移到MyBatis 3。当我试图部署应用程序,甚至只是运行JUnit测试时,配置初始化会失败,出现连接超时错误,如下所示:
在类路径资源testContext-jndi.xml中定义了名为“sqlSessionFactory”的bean创建错误: init方法调用失败;嵌套的异常是org.apache.ibatis.builder.BuilderException: Error创建文档实例。原因: java.net.ConnectException:连接超时:连接
它看起来像是一个缺失的http代理,但是我的eclipse代理设置总是
浏览 2提问于2013-08-09得票数 2
回答已采纳
1回答
我在sqlmap中尝试了以下篡改脚本,但是连接仍然被WAF删除:tamper=apostrophemask,apostrophenullencode,appendnullbyte,base64encode,between,bluecoat,chardoubleencode,charencode,charunicodeencode,concat2concatws,equaltolike,greatest,halfversionedmorekeywords,ifnull2ifisnull,modsecurityversioned,modsecurityzeroversioned,multiples
浏览 0提问于2019-01-30得票数 0
更新。
使用我的Kali Linux,并发现了一个漏洞,我无法转储文件。上面写着它是
'[17:05:02] [INFO] table 'prabal.mailinglist'
转储到CSV文件'/root/.sqlmap/output/www.myschoolproject.com/dump/praba/mailinglist.csv‘
[17:05:02] [INFO] fetched data logged to text files under
'/root/.sqlmap/output/www.myschoolproject.com‘
ro
浏览 15提问于2016-07-09得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
