Mysql之注入工具-yellowcong

2018-02-05 10:37:41来源:oschina作者:天佑我儿人点击

分享


常用的sql注入工具,下面写了三种,1、sqliv;2sqlmap,3、havij(这款是界面的,不是脚本的那种扫描漏洞)。sqlmap这一款,这国内外都是很有名气的。



注入的url监测
-- 通过这种方式 发现 这种类似url的网站 inurl:jsp?page=
inurl:asp?id=
sqliv
准备

必须先装好python和pip,才可以用sqliv


下载
#管网地址
https://github.com/Hadesy2k/sqliv
#个人下载地址
http://yellowcong.qiniudn.com/sqliv-master.zip
安装

这个sqliv需要很多的依赖包,好好下吧


wget http://yellowcong.qiniudn.com/sqliv-master.zip
#安装sqliv
python setup.py
#安装依赖
pip install termcolor
pip install terminaltables
pip install bs4
pip install nyawc
pip install google

安装了一堆的依赖,宝宝还能说啥。这里写图片描述


测试节点
#测试的地址,需要加上http
python sqliv.py -t http://xxx/displaynews1_new.asp

这里写图片描述


出现下面结果(vulnerable),就表示可以攻击注入攻击了哦本宝宝一直都没有找到能注入的。。。。这张图是别的网站的这里写图片描述


帮助文档
python sqliv.py --help
usage: sqliv.py [-h] [-d D] [-e E] [-p P] [-t T] [-r] optional arguments: -h,
--help 显示帮助信息并退出 -d D SQL注入dork -e E 搜索引擎 [当前仅支持Google] -p P 搜索引擎中要查找的网站数量 -t T 扫描目标网站 -r 反向域
Havij
下载地址
#这个玩意是知道了注入漏洞的情况下,在进行攻击的
http://yellowcong.qiniudn.com/Havij%201.152%20Pro.zip

输入已经发现的sql漏洞注入地址,然后直接就可以自动完成数据的获取和爆库了。这里写图片描述


sqlMap

这个玩意的github


下载地址
#管网地址
http://sqlmap.org/
#github的地址
https://github.com/sqlmapproject/sqlmap
参考文章

http://www.freebuf.com/articles/web/29942.html

最新文章

123

最新摄影

闪念基因

微信扫一扫

第七城市微信公众平台