【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测

原创 2015年07月10日 13:36:51

步骤1:进入定v公司登陆页面:www.dvssc.com

步骤2:使用admin or ‘1=1’登入系统

步骤3:跳转到http://10.10.10.129/dvwa/vulnerabilities/sqli/

步骤4:进入DVWA security页面,将Security设置为low如下图:

这里写图片描述

步骤5:再次进入sql injection 页面,输入1,点击submit,最终结果如下:

这里写图片描述

步骤6:然后利用firefox的tamper data插件,可以当前页面的cookie,如下:

这里写图片描述

步骤7:进入文件夹:/pentest/database/sqlmap,输入命令,如下图:

这里写图片描述
等待命令处理完可以看到和书上140页差不多的结果,如下图:
这里写图片描述

步骤8:按照141页代码清单4-9输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤9:按照代码清单4-10输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤10:按照142页代码清单4-11输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤11:按照142页代码清单4-12输入命令,如下图:

这里写图片描述
注:书上最后两个命令少了一个-,应该是–columns –dump
得到结果如下图:
这里写图片描述
注:ecognized possible password hashes in column ‘password’. Do you want to crack them via a dictionary-based attack?[Y/n/q],按照书上的选择n即可

步骤12:按照书143页代码清单4-13输入命令,如下图:

这里写图片描述

版权声明:本文为博主原创文章,未经博主允许不得转载。

SQL注入之实践--初试小刀

1、sql注入的原理 sql注入是针对web客户端在提交数据时未对用户数据进行过滤,导致用户的特殊字符在数据库里被执行而导致的高危漏洞,恶意的可以删除整个数据库,提权到服务器挂马等。 一般aces...
  • jiangliuzheng
  • jiangliuzheng
  • 2016年07月11日 11:34
  • 4849

《metasploit渗透测试魔鬼训练营》学习笔记第四章—web应用渗透

继续来学习metasploit。。。记好笔记是很重要的,下面开始正文: 二.WEB应用渗透技术     1.WEB应用渗透基础知识        先介绍WEB应用攻击的主要类型(大致介绍,具体请自行查...
  • u013938528
  • u013938528
  • 2015年04月06日 08:04
  • 1384

《metasploit渗透测试魔鬼训练营》靶机演练之第五章实战案例MS08-067漏洞

在一个笔记本上开两个虚拟机有点卡,而且太麻烦,就把metasploit的目标靶机放在别的机器上了,ip自己配置了一下, 目标主机:192.168.137.254 入侵机:192.168.137.2...
  • u013938528
  • u013938528
  • 2015年04月06日 13:18
  • 2143

《metasploit渗透测试魔鬼训练营》靶机演练之第五章实战案例Oracle数据库

参考书籍:《metasploit渗透测试魔鬼训练营》 准备一台BT5作为入侵机,一台win2003作为靶机,靶机上存在着Oracle数据库(版本为10.2.0.1.0)TNS服务的漏洞,该漏洞的编号...
  • u013938528
  • u013938528
  • 2015年04月06日 08:27
  • 1374

《Metasploit渗透测试魔鬼训练营》 之 SQL注入

知其然,知其所以然。本系列文章是对《Metasploit渗透测试魔鬼训练营》学习感悟的总结,特别是对书中不明确和没有挖掘原理的部分进行了讲解。一来是对自己的提醒,二来是希望对即将学习本书的人一个帮助和...
  • duangduang2020
  • duangduang2020
  • 2015年10月07日 12:51
  • 1232

《metasploit渗透测试魔鬼训练营》靶机演练之第五章实战案例MS08-067漏洞

在一个笔记本上开两个虚拟机有点卡,而且太麻烦,就把metasploit的目标靶机放在别的机器上了,ip自己配置了一下, 目标主机:192.168.137.254 入侵机:192.168.137.2...
  • u013938528
  • u013938528
  • 2015年04月06日 13:18
  • 2143

《metasploit渗透测试魔鬼训练营》靶机演练之第五章实战案例KingView 6.53版本CVE-2011-0406漏洞

在一个笔记本上开两个虚拟机有点卡,而且太麻烦,就把metasploit的目标靶机放在别的机器上了,ip自己配置了一下, 目标主机:192.168.137.254 入侵机:192.168.137.2...
  • u013938528
  • u013938528
  • 2015年04月06日 13:22
  • 968

metasploit魔鬼训练营第一章实践作业

1.搜索Samba服务usermap_script安全漏洞相关信息 根据下面的连接,搜索到如下内容: The time line is as follows: * May 7...
  • lilywang20119
  • lilywang20119
  • 2017年05月04日 09:36
  • 540

metasploit 渗透测试魔鬼训练营 笔记(一) 配置环境

PS:工欲善其事必先利其器 渗透测试中,搭建渗透测试实验环境对于整个渗透测试项目相当重要。 在自主可控的实验环境中,先搭建虚拟机进行试验,再对真实目标进行实施,尽管看上去相当费劲,但实际上具有效率和...
  • qq_40476955
  • qq_40476955
  • 2017年12月27日 11:17
  • 52

《metasploit渗透测试魔鬼训练营》学习笔记第三章----情报搜集

Kali渗透测试系统集成了metasploit开源的漏洞测试框架,是渗透测试必备的神器。下面是我在学习metasploit的笔记,有什么错误的地方请指出来,我会立即纠正的~ 一.情报搜集     ...
  • u013938528
  • u013938528
  • 2015年04月06日 08:02
  • 1033
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测
举报原因:
原因补充:

(最多只允许输入30个字)