从零开始学安全--第5天

最新推荐文章于 2022-06-12 15:18:44 发布
最新推荐文章于 2022-06-12 15:18:44 发布
阅读量118 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_veget_dog/article/details/115211427
版权

SQL 注入神器 sqlmap的使用

今天学习了一下sqlmap的简单使用,sqlmap是目前功能最为强大、使用最为广泛的注入类工具,在SecTools安全工具排行榜(sectools.org)中位居第30名。官网www.sqlmap.org
sqlmap在安装先要安装python环境,把python安装好后,在其目录下放sqlmap的文件,我的安装路径是D :\python\sqlmap ,在该目录下在命令行运行sqlmap.py(这里我win10的sqlmap不知道为什么连接不到靶机,所以我就用的kali)
在这里插入图片描述

我们虚拟机win7来作靶机,用一个小旋风Asp来软件来搭建,网站是南方数据2.0(把文件解压出来放在根目录名为wwwroot的文件夹里面),我们找到一个有id提交的注入点,http://192.168.71.131/shownews.asp?id=7,
使用命令

sqlmap - u “http://192.168.71.131/shownews.asp?id=7”

在这里插入图片描述
这里面找到了id是vulnerable可入侵的,
在这里插入图片描述

这里找出了是Access数据库
在这里插入图片描述
我们爆表名,这里提示说不能直接找到表名,需要爆破

在这里插入图片描述

使用的是当下给出路径的字典
在这里插入图片描述

这里我们知道他默认的字典是没有这个表名的,我们找到字典 添加上manage_user,
在这里插入图片描述

然后我们重新跑一下,发现结果是一样的,原因是因为之前有扫面的缓存,可以看到目录的位置,我们找到它并且删除
在这里插入图片描述

sqlmap将检测结果保存到C:\Users\用户名.sqlmap\output目录中(/root/.local/share/sqlmap/output)
如果希望sqlmap能够对指定目标重新进行检测, 一是可以将output目录中的相应缓存信息删除,
二是可以通过–purge-output参数清除所有的缓存日志。
sqlmap.py --purge-output
删掉文件
在这里插入图片描述

重新跑,已经可以看到我们要的表单了
在这里插入图片描述

sqlmap -u “http://192.168.71.131/shownews.asp?id=7” --columns -T
“manage_user”

这里是爆字段, -T是指定的表。这里已经出来了我们要的用户名和密码字段,可以直接ctrl c停止了

在这里插入图片描述

sqlmap -u “http://192.168.71.131/shownews.asp?id=7” --dump -C
“username,password” -T “manage_user”

dump是把其数据都查出来,-C指定字段

这里询问是否需要用sqlmap自带的破解加密md5,我们选择no
在这里插入图片描述
这里还问了一下是否需要字典爆破来查询,这里我们查出来就可以了,还是选择no,可以看到我们需要的username 、password已经出来了

在这里插入图片描述

Little_veget_dog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
南方数据HTML版源码
09-28
南方数据HTML版源码南方数据HTML版源码
ASP+ACCESS注入—主要靠猜实现
qq_56380212的博客
03-22 293
** ASP+ACCESS注入—主要靠猜实现 ** 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdow
网络安全系列之八 Cookie注入(注入中转)
weixin_33712881的博客
10-11 265
在前面的几篇博文中,我们已经成功拿下了南方数据2.0的模板网站,接下来我们将目标网站换成南方数据5.0模板,下载地址:http://down.51cto.com/data/553330 。实验环境跟之前一样,目标服务器IP地址192.168.80.129,***主机IP地址192.168.80.128。首先我们仍是找一个有参数传递的页面,在URL后面加上“and 1=2”进行测试,可以发现这些常用...
CASS11.0功能与生俱来:SouthMap2.0南方地理信息数据成图软件(超越经典,绘算俱佳)
地信网(地理信息网|测绘小站)
05-01 5467
南方地理信息数据成图软件SouthMap是通过南方测绘20余年软件研发经验,基于AutoCAD和国产CAD平台,集数据采集、编辑、成图、质检等功能于一体的成图软件。
从零开始安全--第8
Little_veget_dog的博客
03-30 118
webshell上传和一句话木马 webshell是利用ASP或PHP等脚本语言编写的web的木马后门。通过WebShell可以控制Web站点,包括上传下载文件、查看数据库、执行系统命令等。 上传漏洞的利用目的:将webshell上传到目标服务器中。 用一些写好的大马文件上传到web服务其中,我们用小旋风AspWeb搭建南方数据2.0,上传文件就直接把大马文件放到网站根目录下了,然后我们访问: 里面可以直接访问服务器电脑,提权功能很强大 net user hacker 123 /add 创建用户 net
从零起-----通识篇06 https
qq_63622741的博客
04-10 4410
一、习目标 了解HTTPS中所涉及到的技术及作用 了解SSL/TLS协议的技术机制及意义 理解加密解密技术在HTTPS中的重要作用 理解证书在HTTPS中的重要作用 二、习背景 HTTPS(全称是Hyper Text Transfer Protocol over SecureSocket Layer)是身披SSL/TLS外壳的HTTP。它在HTTP之上利用SSL/TLS建立安全的信道,加密数据传输。它被广泛用于互联网上安全敏感的通讯,例如电商、支付等应用。 三、习内容 1、加密
从零开始搭建Ubuntu CTF-pwn环境
CoLin的pwn小屋
06-12 1万+
ctf pwn环境搭建(持续更新)
SQL Server 2012从零开始培训视频和PPT.rar
04-24
第5章轻松掌握Transact-SQL语句.ppt 第6章认识函数.ppt 第7章Transact-SQL查询.ppt 第8章数据的更新.ppt 第9章规则、默认和完整性约束ppt 第10章创建和使用索引l.ppt 第11章事务和锁.ppt 第12章游标ppt 第13章存储...
从零开始习软件漏洞挖掘系列教程第五篇:突破SafeSeh防线1
08-03
1实验简介实验所属系列:系统安全实验对象: 本科/专科信息安全专业相关课程及专业: 计算机网络实验时数(分):2 时实验类别: 实践实验类2 实 验目的通过
从零开始电路基础
09-03
电路基础习的好资料 第一章 电路与电场基础 第二章 电路基本定律 ...第五章 磁场与磁路基础知识 第六章 交流电路 第七章 三相交流电路与安全用电 第八章 互感和变压器 第九章 电路的过渡过程 第十章 Edison 软件应用
南方数据企业网站管理系统V9.0全屏版
06-18
南方数据企业网站管理系统 V9.0新增功能:1.根本用户的反馈,新开发了全屏版,显得更大气.2.同类产品中独创用户可以在后台管理前台的栏目和菜单项,用户认为不要或者想增加栏目和菜单都可以在后台完成;3.前台页面做了进一步的美化;4.后台新增了询价处理价格的回复,回复后前台注册用户可以查询到产品价格;5.新闻增加了“大、中、小”字体的设置;6.首面横幅广告增加了对图片广告的支持;7.修改了新闻评论中英文不能自己动换行的错误;8.修正了产品编号长度不够的问题。使用说明:南方数据企业网站管理系统 V9.0全屏版后台主要功能如下:一、系统管理:管理员管理,可以新增管理员及修改管理员密码;发布网站公告;进行网站配置;网站统计和数据库备份,为保证您的数据安全本系统采用了数据库备份功能;上传文件管理,管理你增加产品时上传的图片及其他文件。 二、企业信息:可设置修改企业的各类信息及介绍。 三、产品管理:产品类别新增修改管理,产品添加修改以及产品的审核。四、询价管理:查看询价的详细信息及询价处理。 五、下载中心:可分类增加各种文件,如驱动和技术文档等文件的下载。六、会员管理:查看修改删除会员资料,及锁定解锁功能。可在线给会员发信! 七、新闻管理:能分大类和小类新闻,不再受新闻栏目的限制。 八、留言管理:管理信息反馈及注册会员的留言,注册会员的留言可在线回复,未注册会员可使用在线发信功能给于答复。 九、荣誉管理:新增修改企业荣誉栏目的信息。新增修改企业形象栏目的信息。 十、人才管理:发布修改招聘信息,人才策略栏目管理,应聘管理。 十一、营销网络:修改营销网络栏目的信息。 十二、调查管理:发布修改调查。 十三、菜单管理:用户可以在线增加、删除、修改和隐藏前台的菜单栏目和菜单项。 十四、友情链接:新增修改友情链接,支持图片友情链接,要使用图片链接把inc/foot.asp文件中call ShowFriendLinks(2,10,10,2) 改成call ShowFriendLinks(1,10,10,2) 就可以了。十五、模板管理:可以自己选定现存的模板也可以导入第三方的模板。
数据库基础从零开始全面分析数据库 初者的最佳选择
08-03
第5章-1_结构化查询语言SQL_V08_2 第5章-2_结构化查询语言SQL_V08_2 第6章_视图、存储过程和自定义函数_V08_2 第7章_关系数据库规范化理论_V08_2 第8章_数据库设计_V08_2 第9章_数据库完整性约束_V08_2 第10章_...
从零开始电路基础 part1
02-24
从零开始电子技术丛书 国防工业出版社 刘建清主编 注重定性和概念,注重基础知识与实践,并配合计算机仿真软件的仿真实验。 目录 第一章 电路与电场基础知识 第二章 电路基本定律 第三章 电路的等效变换 第四章 ...
米斯特白帽培训讲义(v2)漏洞篇 SQL 注入
热门推荐
龙哥盟
03-02 4万+
米斯特白帽培训讲义 漏洞篇 SQL 注入 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 原理与危害SQL 注入就是指,在输入的字符串中注入 SQL 语句,如果应用相信用户的输入而对输入的字符串没进行任何的过滤处理,那么这些注入进去的 SQL 语句就会被数据库误认为是正常的 SQL 语句而被执行。恶意使用 SQL 注入攻击的人可以通过构建不同的 SQ
利用Sqlmap自动化注入工具实现cookie注入与交互式写shell
hehigoxqc606的博客
10-13 463
我是小白,这是我个人的习记录,如有不对的地方,欢迎留言评论,以便我尽快改正,谢谢。 记录成长,充实生活! Sqlmap简介: Sqlmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)的特性,支持枚举用户、密码、哈希、权限、角色、数据库、数据表和列,支持自动识别密码哈希格式并通过字典破解密码哈希(只是有关...
led-Opt.Bak
最新发布
05-21
毕设&课设&项目&实训- 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望习不同技术领域的小白或进阶习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相习,共同进步。
【图像加密解密】基于matlab菲涅尔域双随机相位编码图像加密解密【含Matlab源码 4548期】.mp4
05-21
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
人工智能项目+OpenCV+实例分割+Cpp实现+模型部署+qt界面+完全可用版+C++
05-21
【内容概要】 本C++项目,集成OpenCV库与实例分割模型,实现了对图像中不同对象的精确分割。项目采用先进的实例分割算法,并以C++为核心开发语言,搭配Qt框架构建用户友好型图形界面。完成模型训练后,实现了模型的高效部署,用户可直接通过QT界面上传图片,以及选择模型地址,就可获取分割后的结果。 【适用人群】 适合C++开发者、CV工程师、机器习研究者及对AI技术有浓厚兴趣的生群体。 【使用场景】 广泛适用于工业检测、医影像分析、农林业病虫害识别、智能监控系统及AR增强现实等领域。无论是术研究中的数据预处理,还是企业级产品中的图像分析功能开发,该项目都能提供坚实的技术支撑。 【目标】 项目旨在通过实战演练,帮助开发者掌握从理论到实践的全过程:包括模型选择与优化、C++接口的OpenCV操作、Qt界面设计与交互逻辑实现,直至模型的高效部署与应用。最终目标是打造一个即拿即用的实例分割工具,促进AI技术在多领域的落地应用,同时提升开发者在复杂项目。
从零开始的U-net入门
04-04
以下是从零开始习U-net的步骤: 1. 了解U-net的基本架构 U-net主要由编码器和解码器两部分组成。编码器部分可以将输入图像转换为低维特征表示,而解码器部分可以将这些特征重构成与原始图像相同大小的分割结果。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值