【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测

原创 2015年07月10日 13:36:51

步骤1:进入定v公司登陆页面:www.dvssc.com

步骤2:使用admin or ‘1=1’登入系统

步骤3:跳转到http://10.10.10.129/dvwa/vulnerabilities/sqli/

步骤4:进入DVWA security页面,将Security设置为low如下图:

这里写图片描述

步骤5:再次进入sql injection 页面,输入1,点击submit,最终结果如下:

这里写图片描述

步骤6:然后利用firefox的tamper data插件,可以当前页面的cookie,如下:

这里写图片描述

步骤7:进入文件夹:/pentest/database/sqlmap,输入命令,如下图:

这里写图片描述
等待命令处理完可以看到和书上140页差不多的结果,如下图:
这里写图片描述

步骤8:按照141页代码清单4-9输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤9:按照代码清单4-10输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤10:按照142页代码清单4-11输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤11:按照142页代码清单4-12输入命令,如下图:

这里写图片描述
注:书上最后两个命令少了一个-,应该是–columns –dump
得到结果如下图:
这里写图片描述
注:ecognized possible password hashes in column ‘password’. Do you want to crack them via a dictionary-based attack?[Y/n/q],按照书上的选择n即可

步骤12:按照书143页代码清单4-13输入命令,如下图:

这里写图片描述

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测
举报原因:
原因补充:

(最多只允许输入30个字)