利用sqlmap进行需要登录的注入

最新推荐文章于 2023-06-21 15:39:37 发布
最新推荐文章于 2023-06-21 15:39:37 发布
阅读量4.1k 收藏 8
点赞数
分类专栏: CTF特训营:技术详解、解题方法与竞赛技巧 # CTF之Web 文章标签: 安全 web安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChuMeng1999/article/details/122590614
版权
本文介绍如何利用sqlmap工具进行需要登录的Cookie注入攻击。首先讲解sqlmap和Cookie的基础知识,接着说明实验目的和环境。实验步骤包括设置代理、捕获Cookie、使用sqlmap列出数据库、猜表、猜字段以及解密字段内容,以此来熟悉sqlmap的常用命令。
摘要由CSDN通过智能技术生成

目录

预备知识

了解Sqlmap

sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。

了解cookie

cookie是由网景公司的前雇员Lou Montulli在1993年3月的发明,由服务器端生成的,发送给User-Agent(一般是浏览器),浏览器会将cookie的值保存到本地一个文本文件中,下次请求同一网站时就发送该cookie给服务器。cookie开发的初衷是为了改善用户体验,提高网络使用速度。

实验目的

通过该实验熟悉sqlmap常用的命令,完成利用sqlmap进行需要登录的注入。

实验环境

在这里插入图片描述
服务器:CentOS,IP地址:10.1.1.136
测试者:win7,IP地址随机

实验步骤一

利用sqlmap进行Cookie注入

1.打开http://10.1.1.136࿰

最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用sqlmap进行SQL注入检测
博客
08-22 7183
最近公司项目被扫描出有SQL注入的漏洞,通过百度之后,决定使用sqlmap进行SQL注入的检测。这里仅仅是记录一下注入检测的步骤。 检测前准备 sqlmap是一个python编写的工具,因此我们首先要进行python环境的搭建,然后再从sqlmap官网下载最新版本。 检测步骤 查看需要检测的注入点 首先我们需要访问自己的项目,找到一个需要检测的url,这个url需要对应后台的处理,这个u...
SQL labs-SQL注入(五,使用sqlmap进行cookie注入
最新发布
2302_80280669的博客
07-24 534
Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":当用户访问 web 页面时,他的名字可以记录在 cookie 中。在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。
sqlmap之(六)----POST登陆框注入实战
你身后的人
04-21 733
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下   2.列数据库:  [html] view plain copy sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs  注:-r表示加载一个文件,-p指定参数  其中出现...
利用SQLMap进行cookie注入
kuxing100的专栏
05-05 2016
SQLMap被称为注入神器,N多大神都使用SQLmap进行注入测试,我等小菜当然也会用来装一下A*C,用了N久SQLMAP了,但是极少用到cookie注入,一遇到cookie注入就去使用注入中转工具,比较麻烦。刚好今天群里的USB问起sqlmap是否支持cookie注入,就研究了一下,发现其实sqlmap进行cookie注入很简单的。 测试URL:   参数获取使用的是
sqlmap对php登录页面,sqlmap登录注入
weixin_36072221的博客
03-12 887
注入方式一:1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下2.列数据库:sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs注:-r表示加载一个文件,-p指定参数3.猜表选择一个数据库,比如选fendosqlmap.py -r "c:\Users\fendo\Desktop\test.tx...
SQL-SqlMap注入
2201_75331136的博客
03-14 156
SQL-SqlMap注入
利用sqlmap进行POST注入
m0_67401417的博客
06-21 9010
sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。POST注入也属于SQL注入,所以究其原因还是由于参数没有过滤导致的。源码如下: 通过该实验熟悉sqlmap常用的命令,完成POST注入攻击。 服务器:CentOS,IP地址:10.1.1.136 测试者:win7,IP地址随机1.打开http://1
利用SQLmap实现 SQL 注入
m0_71805735的博客
06-21 2350
利用SQLmap实现 SQL 注入
利用sqlmapapi进行批量检测sql注入
03-28
本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
4.羽翼sqlmap学习笔记之Post登录注入
weixin_33778544的博客
11-28 162
4.Sqlmap系列教程——post登录注入注入点: http://xxx.xxx.com/Login.asp 注入方式一:     1.对着注入点使用burp抓包,保存txt格式文件。     2.输入命令: ./sqlmap.py -r search-test.txt -p tfUPass 注入方式二:自动搜索表单的方式    sqlmap -u http:/...
SQLMAP渗透笔记之POST登陆框注入
Birdman-one的博客
12-26 2204
氷刀's Blog ---------------------------------------------------------------------------------------------                 SQLMAP渗透笔记之POST登陆框注入                            ------------
注入工具使用-sqlmap
HacHunter的博客
03-24 4969
目录 利用sqlmap进行需要登录注入 利用sqlmap进行POST注入 利用sqlmap进行文件读写 利用sqlmap辅助手工注入 利用sqlmap交互式写shell 利用sqlmap进行需要登录注入 sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post ,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 打开 dvwa,输入用户
sqlmap之(五)----Cookie注入实战
你身后的人
04-21 1186
(1) cookie注入,猜解表  [html] view plain copy sqlmap.py -u "http://192.168.87.129/shownews.asp" --cookie "id=27" --table --level 2    do you want to URL encode cookie values (implementation specific)? [Y/n...
sqlmap之access——cookie注入
qq_45300786的博客
07-18 313
先把这个GET传参(id=171)删了 然后复制下这个网址,用sqlmapsqlmap.py -u "http://59.63.200.79:8004/shownews.asp" --cookie "id=170" level 2 包网址起来,然后 参数,后面跟 值包起来, 等级为2 才会对cookie注入进行检车 跑出来类型是Cookie ...
详解新手如何使用sqlmap对mysql数据库进行注入攻击
1匹黑马
03-08 2744
步骤1:发现注入 闲来没事儿在网上瞎逛,无意中点开一个国外的博客,发现链接是以id为结尾的,于是就手工检测了一下,结果嘛…你懂的 检测页面返回不正常,明显是带入数据库查询了,并且没有WAF,老弟就只好给你上一课啦嘻嘻嘻 这里需要注意一下: mysql跟Access有些不同,mysql数据库里有很多个数据库,我们需要知道网站自己的数据库,以便于得到管理的账号密码,它的结构大体是这样的: 步骤二:使用...
关于cookie注入使用sqlmap
weixin_43326436的博客
06-10 311
1. python2 sqlmap.py -u http://challenge-d18082c9146962c3.sandbox.ctfhub.com:10080 --cookie id=1 --dbs --level 2 2. python2 sqlmap.py -u http://challenge-d18082c9146962c3.sandbox.ctfhub.com:10080 --cookie id=1 --D sqli --tables --level 2 3. python2 sqlmap.
sqlmap指定cookie_利用SQLMap进行cookie注入
weixin_39640024的博客
01-14 450
SQLMap被称为注入神器,N多大神都使用SQLmap进行注入测试,我等小菜当然也会用来装一下A*C,用了N久SQLMAP了,但是极少用 到cookie注入,一遇到cookie注入就去使用注入中转工具,比较麻烦。刚好今天群里的USB问起sqlmap是否支持cookie注入,就研究了 一下,发现其实sqlmap进行cookie注入很简单的。还不会使用sqlmap的同学可以学习一下这两篇本站推荐文章...
sqlmap如何进行XFF注入
04-07
SQLMap是一个开源的渗透测试工具,能够自动化地检测和利用SQL注入漏洞。XFF注入利用HTTP协议中的X-Forwarded-For (XFF) 头信息进行的SQL注入攻击。 要使用SQLMap进行XFF注入需要执行以下步骤: 1. 确定目标网站存在SQL注入漏洞,并确定该漏洞是利用XFF头信息进行注入。 2. 下载并安装SQLMap。 3. 使用以下命令开始进行XFF注入测试: ``` sqlmap -u "http://target-website.com/page?parameter=value" --headers="X-Forwarded-For: injected payload" --dbs ``` 其中,`-u` 参数指定目标URL,`--headers` 参数指定要注入的XFF头信息,`--dbs` 参数表示要枚举数据库名称。 注意:XFF注入是一种高风险的攻击手段,应当谨慎使用。在进行测试时,应当确保不会对网站造成损害,并且应当遵循当地的法律法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值