【Python】SqlmapAPI调用实现自动化SQL注入安全检测

news2025/1/22 14:40:34

文章目录

      • 简单使用
      • 优化

应用案例:前期通过信息收集拿到大量的URL地址,这个时候可以配置sqlmapAP接口进行批量的SQL注入检测 (SRC挖掘)

查看sqlmapapi使用方法

python sqlmapapi.py -h

启动sqlmapapi 的web服务:

在这里插入图片描述

任务流程:

1.创建新任务记录任务ID          @get("/task/new"))
2.设置任务ID扫描信息           @post("/option/<taskid>/set")
3.开始扫描对应ID任务           @post ("/scan/<taskid>/start")
4.读取扫描状态判断结果          @get("/scan/<taskid>/status")
5.如果结束删除ID并获取结果      @get ("/task/<taskid>/delete")
6.扫描结果查看				@get("/scan/<taskid>/data")

简单使用

  • 1.创建新任务记录任务ID
import requests

# 1.创建新任务记录任务ID
task_new_url='http://127.0.0.1:8775/task/new'
response=requests.get(url=task_new_url)
print(response.json())

在这里插入图片描述

  • 2.设置任务ID扫描信息
import requests
import json
# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data={
    'url':'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers={
    'Content-Type':'application/json'
}
task_set_url='http://127.0.0.1:8775/option/'+taskid+'/set'
task_set_response=requests.post(url=task_set_url,data=json.dumps(data),headers=headers)
print(task_set_response.content.decode('utf-8'))

在这里插入图片描述

  • 3.开始扫描对应ID任务
import requests
import json

# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data = {
    'url': 'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers = {
    'Content-Type': 'application/json'
}
task_set_url = 'http://127.0.0.1:8775/option/' + taskid + '/set'
task_set_response = requests.post(url=task_set_url, data=json.dumps(data), headers=headers)
# print(task_set_response.content.decode('utf-8'))

##### 3.开始扫描对应ID任务
task_start_url='http://127.0.0.1:8775/scan/'+taskid+'/start'
task_start_data=requests.post(task_start_url,data=json.dumps(data),headers=headers)
print(task_start_data.content.decode('utf-8'))

在这里插入图片描述

这边任务id和上面不一样是因为我重启了服务

在这里插入图片描述

  • 获取扫描状态
import requests
import json

# 1.创建新任务记录任务ID
task_new_url = 'http://127.0.0.1:8775/task/new'
response = requests.get(url=task_new_url)
taskid = response.json()['taskid']

# 2.设置任务ID扫描信息
data = {
    'url': 'http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
}
headers = {
    'Content-Type': 'application/json'
}
task_set_url = 'http://127.0.0.1:8775/option/' + taskid + '/set'
task_set_response = requests.post(url=task_set_url, data=json.dumps(data), headers=headers)
# print(task_set_response.content.decode('utf-8'))

# 3.开始扫描对应ID任务
task_start_url = 'http://127.0.0.1:8775/scan/' + taskid + '/start'
task_start_data = requests.post(task_start_url, data=json.dumps(data), headers=headers)
# print(task_start_data.content.decode('utf-8'))

# 4.读取扫描状态判断结果
task_scan_url = 'http://127.0.0.1:8775/scan/' + taskid + '/status'
task_scan_data = requests.get(task_scan_url)
print(task_scan_data.content.decode('utf-8'))

在这里插入图片描述

  • 查看结果

查看扫描结果是get请求,所以可以在浏览器中查看结果

在这里插入图片描述

在这里插入图片描述

上述代码,在每运行一次都会创建一个任务ID,所以需要进行代码优化

优化

import time

import requests, json


# 创建任务

def sqlmapapi(url):
    # 创建任务id
    task_new_url = 'http://127.0.0.1:8775/task/new'
    response = requests.get(url=task_new_url)
    taskid = response.json()['taskid']
    if 'success' in response.content.decode('utf-8'):
        print('sqlmapapi task create success !')
        data = {
            'url': url
        }
        headers = {
            'Content-Type': 'application/json'
        }
        # 设置 任务
        task_set_url = 'http://127.0.0.1:8775/option/' + taskid + '/set'
        task_set_response = requests.post(url=task_set_url, data=json.dumps(data), headers=headers)
        if 'success' in task_set_response.content.decode('utf-8'):
            print('sqlmapapi task set success !')
            # 扫描任务
            task_start_url = 'http://127.0.0.1:8775/scan/' + taskid + '/start'
            task_start_data = requests.post(task_start_url, data=json.dumps(data), headers=headers)
            if 'success' in task_start_data.content.decode('utf-8'):
                print('sqlmapapi task start success !')
                # 获取扫描状态
                while True:
                    task_status_url = 'http://127.0.0.1:8775/scan/' + taskid + '/status'
                    task_status_data = requests.get(task_status_url)
                    if 'running' in task_status_data.content.decode('utf-8'):
                        print('sqlmapapi task scan running .....')
                    else:
                        # 查看扫描结果
                        task_data_url = 'http://127.0.0.1:8775/scan/' + taskid + '/data'
                
                        task_data = requests.get(task_data_url)
                        print(task_data.content.decode('utf-8'))

                        break
                time.sleep(3)


if __name__ == '__main__':
    # url='http://192.168.8.3/sqli-labs-master/Less-2/?id=1'
    for url in open('url.txt'):
        url = url.replace('\n', '')
        sqlmapapi(url)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1268639.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Linux常用命令——rm 命令

Linux常用命令——rm 命令

文章目录 Linux系统中的rm命令是一个非常强大且危险的工具&#xff0c;用于删除文件和目录。由于其具有不可逆的特性&#xff0c;了解其参数和正确使用非常重要。 1. 基本用法 rm命令的基本格式是rm [选项] 文件或目录。不带任何选项时&#xff0c;rm命令仅删除文件。 示例&a…
阅读更多...
计算机图形学:直线的扫描转换算法解析与实现

计算机图形学:直线的扫描转换算法解析与实现

直线的扫描转换&#xff1a; DDA算法&#xff1a; 推理&#xff1a; 在计算机显示图形时&#xff0c;由于显示计算机的分辨率是有限的所以我们在绘制图形时需要将图形从连续量转换成离散量才能完成图形的绘制&#xff0c;直线的扫描转换就是将连续量转换为离散量的过程。 对…
阅读更多...
【计算机网络】虚拟路由冗余(VRRP)协议原理与配置

【计算机网络】虚拟路由冗余(VRRP)协议原理与配置

目录 1、VRRP虚拟路由器冗余协议 1.1、协议作用 1.2、名词解释 1.3、简介 1.4、工作原理 1.5、应用实例 2、 VRRP配置 2.1、配置命令 1、VRRP虚拟路由器冗余协议 1.1、协议作用 虚拟路由冗余协议(Virtual Router Redundancy Protocol&#xff0c;简称VRRP)是由IETF…
阅读更多...
iMazing是什么软件?2024最新版本如何下载

iMazing是什么软件?2024最新版本如何下载

iMazing是一款功能强大的iOS设备管理软件&#xff0c;它可以帮助用户备份和管理他们的iPhone、iPad或iPod Touch上的数据。除此之外&#xff0c;它还可以将备份数据转移到新的设备中、管理应用程序、导入和导出媒体文件等。本文将详细介绍iMazing的功能和安全性&#xff0c;并教…
阅读更多...
【上海大学数字逻辑实验报告】二、组合电路(一)

【上海大学数字逻辑实验报告】二、组合电路(一)

一、 实验目的 熟悉TTL异或门构成逻辑电路的基本方式&#xff1b;熟悉组合电路的分析方法&#xff0c;测试组合逻辑电路的功能&#xff1b;掌握构造半加器和全加器的逻辑测试&#xff1b;学习使用可编程逻辑器件的开发工具 Quartus II设计电路。 二、 实验原理 异或门是数字…
阅读更多...
Python-pip配置国内镜像源,快速下载包

Python-pip配置国内镜像源,快速下载包

文章目录 国内镜像源临时使用永久配置添加环境变量Path测试关于Python技术储备一、Python所有方向的学习路线二、Python基础学习视频三、精品Python学习书籍四、Python工具包项目源码合集①Python工具包②Python实战案例③Python小游戏源码五、面试资料六、Python兼职渠道 国内…
阅读更多...
Java数据结构之《栈实现括号匹配的检验》问题

Java数据结构之《栈实现括号匹配的检验》问题

一、前言&#xff1a; 这是怀化学院的&#xff1a;Java数据结构中的一道难度中等的一道编程题(此方法为博主自己研究&#xff0c;问题基本解决&#xff0c;若有bug欢迎下方评论提出意见&#xff0c;我会第一时间改进代码&#xff0c;谢谢&#xff01;) 后面其他编程题只要我写完…
阅读更多...
黑马头条登陆功能详述

黑马头条登陆功能详述

基于session的短信登陆&#xff1a; 发送验证码、短信验证码登陆、注册在后端&#xff0c;校验登陆在springmvc的连接器中&#xff0c;根据请求携带cookie来确定找到session 短信验证登陆与注册新用户&#xff1a; /*** 发送验证码*/Overridepublic Result sendCode(String ph…
阅读更多...
Spark on yarn 模式的安装与部署

Spark on yarn 模式的安装与部署

任务描述 本关任务&#xff1a; Spark on YARN 模式的安装与部署。 相关知识 为了完成本关任务&#xff0c;你需要掌握&#xff1a; Spark 部署模式的种类&#xff1b;Spark on YARN 模式的安装。 Spark 部署模式 Spark 部署模式主要分为以下几种&#xff0c;Spark Stand…
阅读更多...
基于LangChain实现的知识库问答工具Langchain-Chatchat

基于LangChain实现的知识库问答工具Langchain-Chatchat

基于embeddingLangChainChatGLM2-6B 构建行业知识库 Langchain-Chatchat LangChain 中文文档 langchain 本文使用的Langchain-Chatchat版本是0.2.7 一、构建垂类行业知识库的两种方案 方案一&#xff1a;使用开源LLM本地部署和微调 优点&#xff1a;数据最安全&#xff0c…
阅读更多...
Java第二十章总结

Java第二十章总结

一、线程简介 1.什么是进程&#xff1a; 进程是程序的运行过程&#xff0c;是系统进行资源分配和调度的一个独立单位。通俗来讲&#xff0c;进程就是在操作系统中运行的程序&#xff0c;例如&#xff1a;电脑中运行的微信、eclipse、idea等。 2.什么是线程 线程是操作系统能…
阅读更多...
目标检测——R-CNN算法解读

目标检测——R-CNN算法解读

论文&#xff1a;Rich feature hierarchies for accurate object detection and semantic segmentation 作者&#xff1a;Ross Girshick, Jeff Donahue, Trevor Darrell, Jitendra Malik 链接&#xff1a;https://arxiv.org/abs/1311.2524 代码&#xff1a;http://www.cs.berke…
阅读更多...
不会PS!超简单的制作产品册方法

不会PS!超简单的制作产品册方法

​产品册是展示产品的重要工具&#xff0c;对于很多企业来说&#xff0c;制作一本精美的产品册是必不可少的。但是&#xff0c;对于一些不会PS的人来说&#xff0c;制作产品册可能会觉得非常困难。其实&#xff0c;制作产品册并不需要PS等专业工具&#xff0c;只需要一些简单的…
阅读更多...
电巢直播|揭秘FCBGA先进封装基板兴力量ze

电巢直播|揭秘FCBGA先进封装基板兴力量ze

随着2022年底ChatGPT的问世&#xff0c;我们不仅见证了从互联网时代到AI应用时代的跨越&#xff0c;也迎来了一个数据流量不断攀升的新纪元。在这个以数据为核心的新时代&#xff0c;算力网络成为支撑巨大数字经济的基石&#xff0c;其背后则是对硬件性能持续提升的迫切需求。 …
阅读更多...
重点在正负上如何描述?看CHAT有何见解

重点在正负上如何描述?看CHAT有何见解

问CHAT&#xff1a;重点在正负上如何描述&#xff1f; CHAT回复&#xff1a;在描述数据的波动情况时&#xff0c;也可关注其正负方向的变化。通常有以下几种方式&#xff1a; 1. 均值&#xff08;Mean&#xff09;&#xff1a;在一众数值中&#xff0c;如果大部分数值是正值且…
阅读更多...
【数值计算方法(黄明游)】常微分方程初值问题的数值积分法:欧拉方法(向后Euler)【理论到程序】

【数值计算方法(黄明游)】常微分方程初值问题的数值积分法:欧拉方法(向后Euler)【理论到程序】

文章目录 一、数值积分法1. 一般步骤2. 数值方法 二、欧拉方法&#xff08;Euler Method&#xff09;1. 向前欧拉法&#xff08;前向欧拉法&#xff09;2. 向后欧拉法&#xff08;后向欧拉法&#xff09;a. 基本理论b. 算法实现 常微分方程初值问题的数值积分法是一种通过数值方…
阅读更多...
ISCTF2023 部分wp

ISCTF2023 部分wp

学一年了还在入门( web where_is_the_flag ISCTF{41631519-1c64-40f6-8dbb-27877a184e74} 圣杯战争 <?php // highlight_file(__FILE__); // error_reporting(0);class artifact{public $excalibuer;public $arrow;public function __toString(){echo "为Saber选择…
阅读更多...
实施工程师运维工程师面试题

实施工程师运维工程师面试题

Linux 1.请使用命令行拉取SFTP服务器/data/20221108/123.csv 文件&#xff0c;到本机一/data/20221108目录中。 使用命令行拉取SFTP服务器文件到本机指定目录&#xff0c;可以使用sftp命令。假设SFTP服务器的IP地址为192.168.1.100&#xff0c;用户名为username&#xff0c;密…
阅读更多...
【爬虫实战】最新python豆瓣热榜Top250

【爬虫实战】最新python豆瓣热榜Top250

一.最终效果 豆瓣是大多数新手练习爬虫的 二.数据定位过程 对于一个目标网站&#xff0c;该如何快速判定页面上的数据来源&#xff1f;首先你需要简单web调试能力&#xff0c;对大多数开发者来说都chrome浏览器应该是不二选择&#xff0c;当然我选中的也是。F12打开调试面板&…
阅读更多...
Vite 了解

Vite 了解

1、vite 与 create-vite 的区别 2、vite 解决的部分问题 3、vite配置文件的细节 3.1、vite语法提示配置 3.2、环境的处理 3.3、环境变量 上图补充 使用 3.4、vite 识别&#xff0c;vue文件的原理 简单概括就是&#xff0c;我们在运行 npm润dev 的时候&#xff0c;vite 会搭起…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023