news 2026/7/5 3:35:52

sqlmap的使用以及如何避免轰炸式扫描(靶场)

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
sqlmap的使用以及如何避免轰炸式扫描(靶场)

1.直接上靶场

2.然后我们打开kali,打开终端,输入:sqlamp -u “http://target.com" --forms -batch (先别急!!)

这个时候sqlmap就开始工作了,但是这种做法是十分危险的,因为这种指令是让sqlmap自己找注入点,这相当于是无差别扫描,会产生上万条请求,极容易触发waf报警,所以我们要降低请求数量(如果是自己的在线靶场如:DVWA,就可以直接无差别扫描,怎么快怎么来)

3.方法:

第一步:抓取完整的登录请求

打开浏览器 F12 -> Network (网络) 面板。
勾选 Preserve log (保留日志)(防止登录后页面跳转导致请求消失)。
输入账号密码,点击登录。
在列表中找到那个 POST 类型的请求(通常叫 login, auth, check 等)。
右键该请求 -> Copy -> Copy as cURL (bash)。
第二步:制作 req.txt 文件
将复制的内容粘贴到文本编辑器中,整理成标准 HTTP 格式,保存为 login_req.txt。

4:输入指令:sqlmap -r login_req.txt -p username --threads=1 --level=1 --risk=1 --delay=2 --batch --dbs

这就是对文件进行扫描,指定了注入点在username上,后面的参数就是扫描速率和要找的数据库

结果:

可以看到出来了六个数据库的名称。

说实话我对于sqlmap这个工具只研究了很短的时间,如果各位师傅大佬们有更好的方法,欢迎补充和纠正错误。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/5 3:35:33

手把手教你用Python调用视频元数据解析API:从注册到生产级封装

为什么需要视频元数据解析接口? 在日常开发中,我们经常需要处理视频链接——无论是爬取视频详情、搭建视频聚合应用,还是做内容审核或数据统计,视频元数据(Metadata) 都是核心信息。元数据通常包括&#x…

作者头像 李华
网站建设 2026/7/5 3:32:40

使用更有意义的命名

在大部分编程活动中,我们都是在给各种各样的元素来命名,如果你取了一个好名字,不仅能让元素的职责马上清晰起来,而且能使代码更好维护。在命名的时候,注意尽量使用声明方式的词语,不要用实现来命名&#xf…

作者头像 李华
网站建设 2026/7/5 3:31:18

我现在有一些工具类,我应该不应该做自己的框架?

那框架完全是废物吗?非也。能产生这种东西,就表明它必定有它自己的用途。我们有一个业务,这个业务有它自己的模型、规则、流程等等。但是有些不确定的东西会未来才接进来,那么我们就非得有一个框架不可:比如图形界面就…

作者头像 李华
网站建设 2026/7/5 3:29:01

自定义AES变形加密

题解一:自定义AES变形加密(AES-ECB分组碰撞爆破)一、题目简介本题为中等难度分组密码CTF赛题,基于标准AES算法进行自定义改造,采用极不安全的ECB电子密码本模式加密Flag,同时开放用户自定义明文加密接口。核…

作者头像 李华
网站建设 2026/7/5 3:21:01

SRC 信息收集流程

SRC 信息收集全流程📌 写给小白: 这篇文章会手把手带你了解"信息收集"是什么、为什么要做、具体怎么做。哪怕你完全零基础,跟着步骤走也能上手。所有专业术语都会用大白话解释。学习目标 搞懂信息收集到底是什么,为什么…

作者头像 李华