18. SQLMAP使用什么参数可以执行系统命令(1.5分) A.--os-shell B.--sql-cmd C. --os-cmd D. --sql-shell
时间: 2023-10-07 12:09:14 浏览: 214
正确答案是 C. --os-cmd。SQLMap 是一款常用的 SQL 注入工具,可以用于检测和利用 SQL 注入漏洞。在 SQLMap 中,可以使用 --os-cmd 参数执行操作系统命令,该参数用于在漏洞利用过程中获取系统权限或进行后渗透操作。例如,可以使用以下命令执行 whoami 命令:sqlmap -u "http://example.com/vuln.php?id=1" --os-cmd="whoami"。而其他选项中,--os-shell 参数用于获取一个交互式的系统命令 shell,--sql-cmd 参数用于在 SQL 注入漏洞中执行 SQL 语句,--sql-shell 参数用于获取一个交互式的 SQL shell。
相关问题
41. sqlmap指定后端数据库的参数是哪个?( 1.5分) A. --random-agent B.-dbms C. --is-dba D.--os-shell
正确答案是 B. -dbms。SQLMap 是一款流行的开源 SQL 注入工具,支持多种后端数据库,如 MySQL、Oracle、SQL Server 等。在使用 SQLMap 进行注入测试时,需要指定后端数据库类型,以便工具能够正确地进行注入测试。在 SQLMap 中,可以使用 -dbms 参数来指定后端数据库类型,例如:
```
sqlmap -u "http://example.com/page.php?id=1" -dbms mysql
```
其中,-u 参数指定目标 URL,-dbms 参数指定后端数据库类型为 MySQL。SQLMap 将根据指定的数据库类型,选择相应的注入测试技术和 payload 进行注入测试。除了 -dbms 参数之外,SQLMap 还提供了其他参数,如 --random-agent 用于设置随机 User-Agent,--is-dba 用于测试当前用户是否是 DBA,--os-shell 用于获取操作系统 Shell 等。
6.在使用SQLMap时,哪个参数用于执行数据库内的SQL查询?( 1.5分) A. --sql-shell B.--query C. --sql-query D.--exec
正确答案是 C. --sql-query。在 SQLMap 中,可以使用 --sql-query 参数执行数据库内的 SQL 查询。该参数允许用户通过 SQL 语句查询数据库内的数据。例如,--sql-query "SELECT * FROM users" 可以查询 users 表中的所有数据。此外,SQLMap 还可以使用其他参数来自动化 SQL 注入测试,如 --dbs、--tables、--columns 等。
阅读全文