一次对真实网站的SQL注入———SQLmap使用

最新推荐文章于 2023-07-25 14:53:29 发布
最新推荐文章于 2023-07-25 14:53:29 发布
阅读量320 收藏 3
点赞数
文章标签: 数据库 php
原文链接:http://www.cnblogs.com/HsinTsao/p/7190782.html
版权

网上有许多手工注入SQL的例子和语句,非常值得我们学习,手工注入能让我们更加理解网站和数据库的关系,也能明白为什么利用注入语句能发现网站漏洞。

因为我是新手,注入语句还不太熟悉,我这次是手注发现的注点,然后利用SQLmap实现注入,获得管理员账户密码。

网站:http://www.xxxxxx.com/info.php

当我们利用?id=1或者?id=2时,网站介绍部分发生了变化。则发现了注点

 

 接下来利用SQLmap自动化扫描

1.寻找注入点)(也可以利用SQLmap发现注点)

 

2.发现利用id=1’,可能是注入点

 

 

3.跑到数据库信息 mysql5.0.11

 

4.—dbs 命令找数据库

 

5.发现3个数据库

 

 

 

6.跑表

 

 

 

7.12个表

 

 

8.跑管理员表

 

 

9.有4个信息 查看id pwd uid

 

 

10.跑出用户名和password的MD5

 

 

转载于:https://www.cnblogs.com/HsinTsao/p/7190782.html

aijuzhou1959
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
3-1SQL注入网站实例:注入步骤
小王的储物间
03-20 1706
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
SQL注入——SQLmap使用
cldimd的博客
03-19 499
什么是sqlmap SQLmap SQLmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,其广泛的功能和选项包括数据库指纹,枚举,数据库提权,访问目标文件系统,并在获取完全操作权限时实行任意命令 SQLmap-工作原理 当给sqlmap这么一个url的时候,它会: 检测网站是否能够访问。 检测是否有waf。...
实战真实网站SQL注入
qq_55376995的博客
12-24 6710
某建设投资集团股份有限公司网站存在SQL注入一、发现过程1.使用百度语法寻找可能存在SQL注入网站:inurl:?id=12.发现一个网站进去看看3.尝试手工注入:?id=1106'?id=1106-1?id=1106-24.发现页面发生变化,可能存在SQL注入二、漏洞利用1.这里使用sqlmap进行注入检测表:​检测字段:检测数据:4.然后跑出用户名和密码,但密码是加密过的,我用MD5解密最后得出。
mysql sql注入例子_SQL注入的实际案例
weixin_39723010的博客
02-05 961
发动SQL注入要做的三件事确定Web应用程序所使用的技术为了确定所采用的技术,攻击者可以考察Web页面的页脚,查看错误页面,检查页面源代码,或者使用诸如Nessus、AWVS、APPSCAN等工具来进行刺探。确定所有可能的输入方式一般来说,所有HTTP的GET和POST都应当作用户输入。为了找出一个Web应用所有可能的用户输入,我们可以求助于Web代理,如Burp等。查找可以用于注射的用户输入在找...
一次真实网站SQL注入实战
qq_43678263的博客
03-31 5404
一次真实网站SQL注入实战前言发现过程漏洞利用总结 前言 某集团股份有限公司网站存在SQL注入漏洞 发现过程 用针对性工具扫描(这里使用的是超级SQL注入工具)问题网站,得到以下链接均存在SQL注入漏洞 问题URL: fuwu_fanwei.php?fid=1 fuwu_zhichi.php?zid=5 video.php?video_id=1 news.php?nid=1 about.php?aid=1 fuwu_fanwei_content.php?fid=1&id=1 漏洞利用 这里使
利用sqlmap网站进行sql注入检测
weixin_30702413的博客
01-26 319
1、下载sqlmap github地址:https://github.com/sqlmapproject/sqlmap/zipball/master 2、sqlmap的运行环境需要python,这个网上教程一大把,在本机配置好python环境。 3、使用方法 转载于:https://www.cnblogs.com/yxth/p/8358976.html...
SQL注入——sqlmap使用
sc_Pease的博客
05-11 454
1、 什么是sqlmapSQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。 官方网站下载http://sqlmap.org/ 2、win下使用sqlmap 参考https://blog.csdn.net/weixin_30301449/article/details/95100836 下面具体介绍sqlmap的安装过程: 1、安装python,过程不再赘述 2、将sqlmap安装到python
sql注入——sqlmap的基本使用
cxrpty的博客
02-11 732
一、以sql labs1为例 1.用sql labs的地址为例,打开cmd,输入python sqlmap.py -u http://localhost/sqli-labs-master/Less-1/?id=1 由上图我们可以看到返回的网址是mysql类型的,经过扫描可看到注入类型有以上几种 2.输入:python sqlmap.py -u http://localhost/sqli-...
详解强大的SQL注入工具——SQLMAP
05-09
SQLMAP是一个开源的渗透测试工具,专门用于自动探测和利用SQL注入漏洞。SQLMAP不仅可以在Windows平台上使用,同时也支持Linux平台,它的设计目标是为了帮助数据库管理员(DBA)和安全研究人员检测数据库配置的安全性...
sql自动化注入工具——sqlmap使用
世间繁华梦一出
03-10 1231
sql漏洞自动注入工具——sqlmap一、sqlmap简介二、下载及安装三、sql使用参数详解四、sqlmap进行sql注入常规使用步骤![在这里插入图片描述](https://img-blog.csdnimg.cn/20210310165741681.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p6d3doaHBw,size_16,color_
SQLMAP使用实战测试
06-12
对于SQLmap使用教程,挺实用的,详细可能差不多
kali下sqlmap注入无防火墙网址
底层社会中的弱智
07-25 2510
0x01(关于Accesss数据库) 想要注入就要找到一个注入点 检测注入点: sqlmap -u "目标网址" 根据返回的信息可以得到 1->是否有防火墙或者狗之类的安全机制(在这里就不提如何绕过) 2->分为可以注入和不可以注入 可以注入:在结尾会显示目标网站数据库信息 无法注入:就要尝试其他的方法 在这里我们用理想化的方式 这个注入点
记录一次对某网站sql注入
weixin_67503304的博客
09-16 3650
讲解了一次基本sql注入的实战讲解,针对某省某网站的实战测试,本测试仅用于演示。
3-7SQL注入网站实例第三步:攻击类型与攻击策略
山兔的博客
02-19 979
我们已经完成了对注入点进行测试与发现,充分的发挥注入点,这个是SQL注入的本质,那需要发挥到什么程度,需要我们对他的特点进行分析 我们接下来,学习一下sql注入的类型,根据不同的类型,他的攻击策略是怎么样的,这是我们本篇文章,所要探讨的内容 1.SQL注入类型 按输出机制分类: 盲注:输出数据库的内容在网页中没有显示,只能进行逻辑判断,真或者假 盲注就是我们看不到,我们只能猜测 报错注入:充分利用程序、数据库报错的帮助,傻傻地告诉我们所有信息 我们在第二部分中,有说过一个自爆家底,是如何把库表,甚至用户名和
SQL注入网站实例:注入步骤
最新发布
老司机的后备箱
07-25 877
在第三部分,我们主要是详细的给大家演示,如何对一个网站进行SQL注入入侵的,这个入侵过程中,它是如何发现注入点的,发现和测试注入点之后,我们要如何来获得爆库、爆表、爆密码,甚至控制后台,一旦获得网站控制后台之后,更有甚者,要如何与数据库层、系统层进行交互提权,以便进一步控制数据库和操作系统,所有这些又是如何发生的我们将通过详细的注入实例,我们从中吸取教训,从安全角度来说,我们要如何来预防mysql注入的高级黑客,这就是我们第三部分所要解决的问题。
Web安全----SQL注入
m0_49420271的博客
11-27 2104
时至今日,SQL注入仍是广大渗透爱好者聚焦的攻击方式,每四年更新一次的OWASP TOP 10【链接:link】都能够看到它的身影。今天,很荣幸和大家一起来探讨研究学习SQL注入的一些内容,如有不合适或者不正确的地方,欢迎大家留言。
使用SQLMAP网站数据库进行SQL注入攻击
zhangjie15397的专栏
09-18 9743
from:http://www.blackmoreops.com/2014/05/07/use-sqlmap-sql-injection-hack-website-database/ 0x00 背景介绍 1. 什么是SQL注入SQL注入是一种代码注入技术,过去常常用于攻击数据驱动性的应用,比如将恶意的SQL代码注入到特定字段用于实施拖库攻击等。SQL注入的成功必须借助应用程序
sqlmap 进行sql漏洞注入
热门推荐
iptracker的博客
02-19 1万+
有一款工具叫sqlmap主要用于识别sql漏洞并注入,这里我就写一篇教程教大家如何使用。 因为sql注入是非法的,所以我就使用两台自己的虚拟机进行测试,请大家不要在别人的网站上搞破坏。(现在大部分网站已经没有sql漏洞了,修复方法也很简单) 一、什么是sql漏洞 要搞清楚sql漏洞,首先要搞清楚sql语句。sql全程Structured Query Language,是一种编程语言,主要应用于数据...
SQL注入原理(预习作业)转载学习内容
qq_43473164的博客
03-17 594
Sql注入原理 程序员在web开发时,没有过滤敏感字符,绑定变量,导致攻击者可以通过sql灵活多变的语法,构造精心巧妙的语句,不择手段,达成目的,或者通过系统报错,返回对自己有用的信息。 Sql注入环境 需要用到的工具有:apache,mysql,php ,这几个组件可以单独下载安装,不过安装配置过程较为繁琐,还是建议新手直接从网上下载phpstudy ,一个绿色程序,包含上述三个组件,傻瓜化操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值