Sqlmap中文使用手册 - Target模块参数使用

RrEeSsEeTt2024-07-10 23:55

目录

  • [1. Target模块的帮助文档](#1. Target模块的帮助文档)
  • [2. 各个参数的介绍](#2. 各个参数的介绍)
    • [2.1 -u URL, --url=URL](#2.1 -u URL, --url=URL)
    • [2.2 -d DIRECT](#2.2 -d DIRECT)
    • [2.3 -l LOGFILE](#2.3 -l LOGFILE)
    • [2.4 -m BULKFILE](#2.4 -m BULKFILE)
    • [2.5 -r REQUESTFILE](#2.5 -r REQUESTFILE)
    • [2.6 -g GOOGLEDORK](#2.6 -g GOOGLEDORK)
    • [2.7 -c CONFIGFILE](#2.7 -c CONFIGFILE)

1. Target模块的帮助文档

Target:
    At least one of these options has to be provided to define the
    target(s)

    -u URL, --url=URL   Target URL (e.g. "http://www.site.com/vuln.php?id=1")
    -d DIRECT           Connection string for direct database connection
    -l LOGFILE          Parse target(s) from Burp or WebScarab proxy log file
    -m BULKFILE         Scan multiple targets given in a textual file
    -r REQUESTFILE      Load HTTP request from a file
    -g GOOGLEDORK       Process Google dork results as target URLs
    -c CONFIGFILE       Load options from a configuration INI file

2. 各个参数的介绍

2.1 -u URL, --url=URL

参数:-u URL, --url=URL

作用:Target URL (e.g. "http://www.site.com/vuln.php?id=1")。指定URL,直接对单个网站进行注入检测。

2.2 -d DIRECT

参数:-d DIRECT

作用:Connection string for direct database connection。直接连接数据库。

使用:针对单个数据库实例,可以用以下两种方式连接。

分类 命令
数据库是MySQL,Oracle,Microsoft SQL Server,PostgreSQL等时 DBMS://USER:PASSWORD@DBMS_IP:DBMS_PORT/DATABASE_NAME
数据库是SQLite,Microsoft Access,Firebird等时 DBMS://DATABASE_FILEPATH

实例:

用root用户(密码为root)连接本地mysql上面的数据库testdb:
sqlmap -d "mysql://root:root@127.0.0.1:3306/testdb"

2.3 -l LOGFILE

参数:-l LOGFILE (小写L)

作用:Parse target(s) from Burp or WebScarab proxy log file。从代理日志中解析目标。

使用:指定一个Burp或WebScarab的代理日志文件,Sqlmap将从日志文件中解析出可能的攻击目标,并逐个尝试进行注入。

值:表示日志文件的路径。

2.4 -m BULKFILE

参数:-m BULKFILE

作用:Scan multiple targets given in a textual file。从文本中解析目标。

使用:提供URL列表文件,sqlmap将逐一扫描每个URL。

值:URL列表文件路径。

实例:sqlmap -m url.txt

2.5 -r REQUESTFILE

参数:-r REQUESTFILE

作用:Load HTTP request from a file。从文件加载HTTP请求。

使用:可以将一个HTTP请求保存在文件中,然后使用参数"-r"加载该文件,这样,可以跳过其他一些选项的使用(例如设置Cookie,发布数据等),以该文件中HTTP请求目标为攻击目标进行测试。

值:http请求的文件。

实例:sqlmap -r get.txt

2.6 -g GOOGLEDORK

参数:-g GOOGLEDORK

作用:Process Google dork results as target URLs。将google搜索结果作为攻击目标。

使用:将google搜索的前一百条结果作为目标进行检测,需要科学上网。

值:google hack语句

实例:sqlmap -g "inurl:\".php?id=1\""

2.7 -c CONFIGFILE

参数:-c CONFIGFILE

作用:Load options from a configuration INI file。从配置INI文件获取目标。

使用:从配置INI文件获取目标。例如sqlmap下载目录下面的文件sqlmap.conf,该配置文件可以指定目标地址,代理等各种参数,看一下配置模板文件即可理解。

值:配置文件。

实例:sqlmap -c a.conf

相关推荐
飞行的俊哥3 小时前
Linux 内核学习 3b - 和copilot 讨论pci设备的物理地址在内核空间和用户空间映射到虚拟地址的区别
linux·驱动开发·copilot
hunter2062065 小时前
ubuntu向一个pc主机通过web发送数据,pc端通过工具直接查看收到的数据
linux·前端·ubuntu
不会飞的小龙人5 小时前
Docker Compose创建镜像服务
linux·运维·docker·容器·镜像
不会飞的小龙人5 小时前
Docker基础安装与使用
linux·运维·docker·容器
白粥行7 小时前
linux-ubuntu学习笔记碎记
linux·ubuntu
jerry-897 小时前
通过配置核查,CentOS操作系统当前无多余的、过期的账户;但CentOS操作系统存在共享账户r***t
linux
YesYoung!8 小时前
pikachu靶场-敏感信息泄露概述
web安全·网络安全·ctf
doubt。8 小时前
【BUUCTF】[RCTF2015]EasySQL1
网络·数据库·笔记·mysql·安全·web安全
涛ing8 小时前
21. C语言 `typedef`:类型重命名
linux·c语言·开发语言·c++·vscode·算法·visual studio
0xfather8 小时前
在Debian系统中安装Debian(Linux版PE装机)
linux·服务器·debian
热门推荐
01centos7 init.d 和system.d02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04PyTorch AMP 混合精度中grad_scaler.py的scale函数解析05Windows10安装PCL1.14.0及点云配准06密码学原理技术-第六章-introduction to pulibc-key cryptography07xgboost: Why not implement distributed XGBoost on top of spark08Oracle Scheduler: Calendaring09(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明10大语言模型LLM的文生图、文生视频和文生语音技术简介