Dvwa简介
Dvwa是脆弱Web应用程序(DVWA)是一个PHP / MySQL Web应用程序,该应用程序非常脆弱。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。
前期准备
环境:phpstudy2016
攻击机:win10
打开dvwa主页,其默认的用户名和密码为admin和admin登陆,找到sql注入
开始
首先利用抓包工具进行抓包
把带有参数的数据包保存放入sqlmap的主目录下。
用 -r 加载我们的数据包 --password进行爆破数据库密码
如果出先下图所示,即加载成功,它会检测其是否存在sql注入,并爆破密码
可