Кстати, о том, как тестировать и взламывать сайты с помощью sqlmap, подробно написано в этой статье. А если вы хотите узнать, как защищать сайты и базы данных от взлома с помощью sqlmap, то вам поможет эта статья.
Python скачиваем с
Установка Python максимально проста. Главное — запомните, в какой каталог вы его установили. По умолчанию это часто
Теперь переходим в каталог, куда установлен Python. У меня это
Откройте командную строку. Самый простой способ: нажмите Win + X и выберите «Командная строка» (или PowerShell, если вы на более новой версии Windows).
Чтобы убедиться, что Python установлен правильно, перетащите файл python.exe (который лежит в
Если вы увидите информацию о версии Python, значит, всё в порядке! Нажмите Ctrl+C, чтобы выйти.
Теперь в командной строке выполните следующую команду. Сначала снова перетащите python.exe, поставьте пробел. Затем перетащите файл sqlmap.py из распакованного архива sqlmap, поставьте ещё один пробел и напишите -h.
Пример команды (пути будут отличаться в зависимости от того, куда вы сохранили файлы):
Нажмите Enter. Если вы увидели обширную справку по sqlmap, поздравляем — всё работает! Теперь можно приступать к анализу сайтов.
путьдофайлаpython.exe путьдофайла_sqlmap.py -u адреспроверяемого_сайта --dbs
Например, если вы хотите проверить какой-то сайт (замените на реальный URL):
Эта команда запустит сканирование указанного сайта и попытается найти базы данных (--dbs).
Чтобы узнать, как искать уязвимые к SQL-инъекциям сайты, а также познакомиться с дополнительными ключами для более глубокого анализа с помощью sqlmap, обязательно прочитайте статью «Использование SQLMAP на Kali Linux: взлом веб-сайтов и баз данных через SQL-инъекции». Несмотря на то, что она написана для Linux, основные принципы работы и ключи sqlmap универсальны и отлично подходят для работы на Windows.
Для тех, кто хочет создавать надёжные PHP-скрипты, неуязвимые к SQL-инъекциям, рекомендуем изучить советы из статьи «Защита сайта от взлома: предотвращение SQL-инъекций».
Подготовка к запуску sqlmap: скачиваем sqlmap и Python
Для работы с sqlmap на Windows вам понадобятся всего две вещи:- sqlmap
- Python (определённой версии!)
Ссылка скрыта от гостей
или скачиваем его напрямую по
Ссылка скрыта от гостей
в виде zip-архива.Python скачиваем с
Ссылка скрыта от гостей
в разделе загрузок. Важно: хотя обычно хочется самую свежую версию, для работы с sqlmap нужна версия 2.x. На момент написания этой статьи стабильно работает Python 2.7.9.Установка Python максимально проста. Главное — запомните, в какой каталог вы его установили. По умолчанию это часто
C:\Python27.Теперь переходим в каталог, куда установлен Python. У меня это
C:\Python27 (скорее всего, у вас будет так же, если вы не меняли путь).Откройте командную строку. Самый простой способ: нажмите Win + X и выберите «Командная строка» (или PowerShell, если вы на более новой версии Windows).
Чтобы убедиться, что Python установлен правильно, перетащите файл python.exe (который лежит в
C:\Python27) в окно командной строки. У вас появится полный путь до файла. Допишите через пробел -v и нажмите Enter.
Код:
C:\Python27\python.exe -vЕсли вы увидите информацию о версии Python, значит, всё в порядке! Нажмите Ctrl+C, чтобы выйти.
Запуск sqlmap
Помните архив с sqlmap, который вы скачали? Распакуйте его в удобное для вас место.Теперь в командной строке выполните следующую команду. Сначала снова перетащите python.exe, поставьте пробел. Затем перетащите файл sqlmap.py из распакованного архива sqlmap, поставьте ещё один пробел и напишите -h.
Пример команды (пути будут отличаться в зависимости от того, куда вы сохранили файлы):
Код:
C:\Python27\python.exe C:\Users\YourUser\Downloads\sqlmapproject-sqlmap-xxxxxxx\sqlmap.py -hНажмите Enter. Если вы увидели обширную справку по sqlmap, поздравляем — всё работает! Теперь можно приступать к анализу сайтов.
Как использовать sqlmap на Windows
Запускать sqlmap в командной строке Windows нужно по такой схеме:путьдофайлаpython.exe путьдофайла_sqlmap.py -u адреспроверяемого_сайта --dbs
Например, если вы хотите проверить какой-то сайт (замените на реальный URL):
Код:
C:\Python27\python.exe C:\Users\YourUser\Downloads\sqlmapproject-sqlmap-xxxxxxx\sqlmap.py -u http://testphp.vulnweb.com/ --dbsЭта команда запустит сканирование указанного сайта и попытается найти базы данных (--dbs).
Чтобы узнать, как искать уязвимые к SQL-инъекциям сайты, а также познакомиться с дополнительными ключами для более глубокого анализа с помощью sqlmap, обязательно прочитайте статью «Использование SQLMAP на Kali Linux: взлом веб-сайтов и баз данных через SQL-инъекции». Несмотря на то, что она написана для Linux, основные принципы работы и ключи sqlmap универсальны и отлично подходят для работы на Windows.
Для тех, кто хочет создавать надёжные PHP-скрипты, неуязвимые к SQL-инъекциям, рекомендуем изучить советы из статьи «Защита сайта от взлома: предотвращение SQL-инъекций».
