网络安全之sql注入测试——sqlmap的使用实例

最新推荐文章于 2024-03-13 09:41:16 发布
最新推荐文章于 2024-03-13 09:41:16 发布
阅读量852 收藏 4
点赞数 1
分类专栏: 网络安全 文章标签: 网络安全 渗透测试 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_BT/article/details/111247292
版权

很久没更新bolg了,下面给大家写一份最近get的渗透测试的知识。

SQL注入测试

郑重声明:此文仅供学习,不可用于非法途径

需要用到的软件

  1. python2.7版本
  2. Burp_Suite
  3. sqlmap
  4. kali(linux系统即可)
  5. cobaltstrike

使用环节

  1. 安装python2.7版本,这个不多赘述,安装好后配置path环境,控制栏输入python -V在这里插入图片描述
  2. 安装Burp_Suite且版本不能过低,这里给出网址按照教程安装https://blog.csdn.net/weixin_43811883/article/details/90272016
  3. 安装好Burp_Suite后我们需要使用他进行抓取访问的请求信息并保存到我们本地在这里插入图片描述
    按照图片所示的保存好设置以后我们开始抓取请求信息

在这里插入图片描述
首先我们要设置上图的局域网设置,Burp_Suite才能断点抓取请求信息
访问我们需要进行注入的网站
在这里插入图片描述
这里将显示请求的信息,依次点击forward,这样我们前面保存的文件里就记录了请求的信息,大概长下图这样在这里插入图片描述
我这里就放sogopinyin的请求,当然我们所需要的是实际被测的网址的请求,留下get和post请求和其他的put等请求,不要的请求统统删除
在这里插入图片描述
继续把拿到的请求文件test放在sqlmap的根目录,Burp_Suite的工作就完成了,接下来操作核心部分sqlmap

  1. sqlmap的安装,这个就是解压没啥好讲的
    进入到sqlmap的根目录后,执行命令python sqlmap.py -l test
    (切记需要用python2去执行,因为sqlmap是在Python2的代码写的)
    在这里插入图片描述
    可以看到图中找到了注入点,并且给出了数据库等一系列的信息
    到这就说明系统十分严重了,此时可以直接拿到我们整个服务系统的shell内核和数据库shell,删库跑路都是小事,这个服务器都能干趴下

在这里插入图片描述
已经进入了内核

此时配合Cobalt Strike 直接通过漏洞获取目标服务器的远程登录密码,以下链接是Cobalt Strike的使用说明
https://blog.csdn.net/qq_39101049/article/details/96430093

大概这些就结束了,所以总的来说sql注入的危害是极大的,需要引起重视

晴时初遇雨
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
xss解析---笔记
tell_me_404的博客
03-04 379
一、xss概述 XSS介绍:   跨站脚本(cross-site scripting,XSS)是一种安全攻击,其中,攻击者在看上去来源可靠的链接中恶意嵌入译码。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, ...
安全方面知识
hebtu666
11-20 3653
什么是文件上传漏洞 文件上传漏洞是指 由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件 这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 解析漏洞...
网络安全SQL注入_sql注入攻击实例(必学系列)
最新发布
weixin_57514792的博客
03-13 1030
网络安全-SQL注入
Netspark自动批量扫描powershell脚本
06-11 853
脚本需要创建2个文件,1个文件夹,都放到Netsparker目录下,将脚本中涉及到netspark目录的修改成自己的目录。 注意:Netsparker目录不能含有中文名。 文件1:脚本文件,文件名auto.ps1,内容如下: $NetsparkerExecPath = "E:\safetools\Netspark 5.2\Netsparker.exe" # Variables $URLs = "E:\safetools\Netspark 5.2\auto-list.txt" $Netsparker
Netsparker超轻量级Web安全漏洞扫描工具使用教程介绍
热门推荐
墨痕诉清风的博客
05-09 1万+
有特征 此工具分为收费版本和绿色版本 绿色版本也是很强大的 一 、Netsparker工具简介 Netsparker是一款综合型的web应用安全漏洞扫描工具,它分为专业版和免费版,免费版的功能也比较强大。Netsparker与其他综合 性的web应用安全扫描工具相比的一个特点是它能够更好的检测SQL Injection和 Cross-site Scripting类型的安全漏洞。 二...
渗透测试工具之——Netsparker概述
温柔小薛的博客
03-30 3182
Netsparker概述 没遇到什么问题,点开直接可以用 这个扫描器类似于AWVS APPSCAN 优点 XSS SQL注入 文件上传功能比较强 无需安装直接使用 使用 new输入域名 start开始配置或直接开始,高级配置一共九步 输出结果 红橙黄 漏洞三个级别 也支持登陆扫描From 客户端证书 网页密码 主机密码 ...
渗透测试-SQL注入sqlmap使用方法及实战案例
lza20001103的博客
07-19 3549
渗透测试-SQL注入sqlmap使用方法及实战案例
利用SQLmap实现 SQL 注入
weixin_70934757的博客
06-29 704
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是SQL注入方法。SQL注入其实就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。简单来说,就是数据「越俎代庖」做了代码才能干的事情。
sql注入攻击之sqlmap
06-10
手工进行sql注入对于初学者有一定的难度,本节课程针对于信息安全小白讲解怎么使用sqlmap来进行sql注入,结合前面章节将的内容可以的判断互联网上网站是否存在sql注入
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
02-26
本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffixandprefix)注入到数据库。本文将更进一步,讨论SQL...
网络安全 sql注入工具sqlmap使用
01-13
网络安全 sql注入 工具sqlmap使用
详解强大的SQL注入工具——SQLMAP
05-09
这是一个审计数据库安全的SQL注入工具的使用指南, 该工具在windows平台与linux平台下均可以使用。数据库管理员(DBA)可用它来检 验自己的数据库是否存在安全配置方面的漏洞。
网络安全必学SQL注入
kali_Ma的博客
11-04 7277
如果使用参数化查询,则在SQL语句中使用占位符表示需在运行时确定的参数值。当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。修改SQL语句之后,程序停止报错,但是却引入了SQL语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生SQL注入漏洞。至此,整个功能流程结束,在我们跟进的过程中,代码中无任何过滤语句,获取参数值,调用update方法更新,更新成功后返回结果。
利用Sqlmap进行SQL注入攻击
m0_62689523的博客
08-14 1708
sqlmap简介 sqlmap是一款基于python编写的渗透测试工具,在sql检测和利用方面功能强大,支持多种数据库。 功能:sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞。.........
SQL注入-15】自动化注入案例—以sqli-labs-less9为例(利用sqlmap工具)
m0_64378913的博客
05-12 2401
目录1 前言[09:55:46] [INFO] testing connection to the target URL [09:55:46] [INFO] checking if the target is protected by some kind of WAF/IPS [09:55:46] [INFO] testing if the target URL content is stable [09:55:47] [INFO] target URL content is stable [09:55:4
sqlmap使用教程sql注入
08-17
sqlmap是一种用于检测和利用SQL注入漏洞的工具,它可以帮助安全测试人员或研究人员识别并利用存在于Web应用程序中的SQL注入漏洞。然而,使用sqlmap进行未经授权的测试是非法的,并且可能导致法律后果。如果您对SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值