明明存在SQL注入漏洞，但是sqlmap死活扫不出来，麻烦帮看下，万分感谢！

zychere 2016-06-23 03:44:48

初次使用sqlmap，但是死活扫不出来漏洞，具体如下：
http://demo.testfire.net/bank/login.aspx?uid=admin&passw=admin&btnSubmit=Login
这个是testfire的例子，用appscan已经扫出sql注入，但是用sqlmap死活扫不出来，求原因。。

sqlmap结果：

appscan结果：

...全文

13142 6 打赏收藏转发到动态举报

写回复

6 条回复

切换为时间正序

请发表友善的回复…

发表回复

雲のとなりのトトロ 2018-10-24

打赏
举报

回复

-u换成-r

tlmy 2017-08-17

打赏
举报

回复

sqlmap -u "http://demo.testfire.net/bank/login.aspx" --data="uid=admin&passw=admin&btnSubmit=Login"

qq_37212930 2017-08-15

打赏
举报

回复

请问后来解决了吗？我也遇到这样的问题

zychere 2016-06-27

打赏
举报

回复

引用 2 楼 qq_34850858 的回复:

不是注入，就是获取到参数了

能麻烦具体一点吗？不太明白，非常感谢！

qq_34850858 2016-06-26

打赏
举报

回复

不是注入，就是获取到参数了

zychere 2016-06-24

打赏
举报

回复

自己顶个~~~~~~~~~~

目录什么是sql漏洞：sql语言：数据库和网页用户请求的原理：sql注入原理：sql注入检测：sql注入检测工具：实例演示：漏洞防御这边采用了皮卡丘的sql漏洞的概述：在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞，可能会直接导致一家公司破产！ SQL注入漏洞主要形成的原因是在数据交互中，前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。

一、 sql注入概述并安装sqlmap漏洞查看工具 1、 sql注入概述所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。它是利用现有应用程序，可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表...

sqlmap是一个开源的渗透测试工具，可以用来进行自动化检测，利用SQL注入漏洞，获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。 sqlmap支持python2.6、python2.7、python3.x等版本 https://sqlmap.org/ https://github.com/sqlmapproject/sqlmap git clone

有一款工具叫sqlmap主要用于识别sql漏洞并注入，这里我就写一篇教程教大家如何使用。因为sql注入是非法的，所以我就使用两台自己的虚拟机进行测试，请大家不要在别人的网站上搞破坏。(现在大部分网站已经没有sql漏洞了，修复方法也很简单) 一、什么是sql漏洞要搞清楚sql漏洞，首先要搞清楚sql语句。sql全程Structured Query Language，是一种编程语言，主要应用于数据...

在使用 SQLMap 之前，你需要识别目标应用程序的 URL 或请求中的参数，这些参数可能存在 SQL 注入漏洞。SQLMap 是一个功能强大的自动化 SQL 注入工具，它可以用于检测和利用 SQL 注入漏洞。首先，你需要从 SQLMap 的官方网站下载并安装 SQLMap 工具。根据你的操作系统选择适当的版本，并按照官方提供的安装说明进行安装。如request.txt。可以看到已经打印出数据库名称，如果是--dump命令打印的就是数据库表中的数据。

安全技术/病毒

9,506

社区成员

28,984

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章