Web安全--SQL注入(sqlmap扫描实例)

最新推荐文章于 2024-03-10 08:57:42 发布
VIP文章 最新推荐文章于 2024-03-10 08:57:42 发布
阅读量1.5k 收藏 10
点赞数 2
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37786014/article/details/104676906
版权

一、sqlmap简介
sqlmap就是一个用来做sql注入攻击的工具

二、实例操作

这是我们本次进行sql注入攻击实例的地址:是我自己本地搭建的kali
在这里插入图片描述
方法一:手动攻击
1. 确定注入的类型
(1)

- 操作一:在搜索框中输入:1
在这里插入图片描述
结果:正确得到搜索结果
- 操作二:在输入框中输入 1’
-
如果1显示在报错信息里,那么这里就是字符型注入,如果1不在报错信息里的话那就是数字型注入,字符型注入的话在后面操作的时候就需要加个’ 号进行闭合,数字型则不需要
结果: 根据报错内容可知,原本这里是个字符。
红色标注里就是报错的地方,这里显示多了一个’号

2. 布尔查询
- 操作一:输入恒为真的等式,结果如下
在这里插入图片描述
- 操作二:输入恒为假的等式,结果如下:
在这里插入图片描述
3. 联合查询

 ' union select 1, database() -- 得到当前数据库名

在这里插入图片描述

'
最低0.47元/天 解锁文章
催催催不翠
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap中文手册-sql注入自动化测试工具
07-19
sql注入自动化测试工具sqlmap的操作手册,中文版,值得拥有哦。Web安全测试必备工具。
[极客大挑战 2019]LoveSQL
qq_45237160的博客
01-09 425
然后爆表名,有geekuser,l0ve1ysq1两个表 注意:数据库名字要用单引号括起来。(这里我在2那个地方注入会报错,只能在3那里注入成功,不知道什么原因)找到flag对应的password,成功发现flag。访问目标地址,出现下面酷酷的页面,最上面有提示。万能语句注入测试,成功,判断为单引号字符型注入。我用sqlmap扫了一下,果然扫不出来注入点。order by为4时报错,为3时页面正常。尝试联合注入,成功,判断列数为3列。接下来爆破数据库名,为geek。接下来测试回显点,为2,3。
SQL注入漏洞原理及注入示例
最新发布
m0_62480631的博客
03-10 1070
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询等操作。用户可以修改参数或数据,传递给服务端,导致服务端拼接了伪造的SQL查询语句,并将伪造的SQL语句发送给数据库服务端执行,数据库将SQL语句的执行结果,返回给服务端,服务端又将结果返回给客户端,从而获取到敏感信息,甚至危险的代码或系统指令。
Kali linux 诸神之眼——namp
2301_79273890的博客
12-23 1019
nmap,它的功能跟图上一样,是用来侦查的(说白了就是扫描端口)是否在线所在网络的拓扑开放的端口所使用的操作系统所运行的服务与版本所存在的漏洞常用命令穷举单个IP扫描是nmap 目标IP。
使用sqlmap中遇到的一些坑
ss810540895的博客
09-24 2786
找到了一个注入点,然后用sqlmap也很容易就跑出了库表数据, 但是在读取目标服务器系统文件和上传文件的过程中遇到一些小问题 1.使用–file-read 命令的时候不能读取到系统文件 原因:mysql里面有个权限不对,查看该权限命令 show global variables like 'secure_file_priv'; | secure_file_priv | NULL | mysql5.7之后这里默认是NULL,需要改成空 | secure_file_priv |
SQL注入——渗透day07
qq_62716256的博客
09-01 941
wql注入
SQLmap 扫描工具的使用
m0_61990875的博客
10-21 2685
sqlmap的使用方法
2021Kali系列 -- Burpsuite+Sqlmap批量扫描
weixin_41489908的博客
04-16 1096
​我没有被谁好好爱过,所以只要有人对我好一点,我就以为遇到对的人,如果打扰到你,不好意思。。。 ---- 网易云热评 一、设置BurpSuite,保存日志文件 1、选择Projectoptions====》Misc====Logging,点击Request 2、设置日志文件的名字及保存的位置 二、抓包不用开启,打开自带浏览器,随便访问一些网站 三、查看生成文件的内容,就是我们访问过的数据包 四、用sqlmap扫描上面数据包信息 sqlmap -l burp....
sqlmap自动扫描注入点_简记——利用sqlmap检测网站sql注入漏洞获取数据
weixin_39834488的博客
11-26 1578
sqlmap一个开源软件,用于检测和利用数据库漏洞,并提供了将恶意代码注入其中的选项。[1]它是一种渗透测试工具,可在终端中提供其用户界面,从而自动检测和利用SQL注入漏洞的过程。[2]该软件在命令行运行,可以下载用于不同的操作系统:Linux发行版,Windows和Mac OS操作系统。[3]除了映射和检测漏洞之外,该软件还可以访问数据库,编辑和删除数据以及查看表中的数据,例如用户,密码,备份...
渗透测试-SQL注入sqlmap的使用方法及实战案例
lza20001103的博客
07-19 3360
渗透测试-SQL注入sqlmap的使用方法及实战案例
sql注入扫描_sqlmap-1.1.3.zip
02-13
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了。现在支持python3了
SQLmap--SQL注入渗透测试工具
04-18
SQLmap--SQL注入渗透测试工具 方便进行SQL注入的渗透测试,它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。 它有一个强大的检测引擎,许多适合于终极渗透测试的小众特性和广泛的开关,从数据库指纹...
SqlMap-Sql注入
08-02
Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
Beff安装与使用
m0_37786014的博客
03-07 4103
有很多版本的kali都是自带安装了Beff的,但是不知道我的kali为啥就没自动安装,所以这里我手动进行安装 1.安装beef 打开终端,输入如下命令: aptt-get install beef-xss 2. 打开beef 上诉安装好以后,建议重启kali机器 重启好以后就能正常打开beef软件了,打开以后会让你设置密码,这里自己设置密码 3. 打开beef 输入上面的地址即可打开beef,...
中国菜刀使用介绍
m0_37786014的博客
12-04 1684
一、简介 服务器只需要简单的一行代码,即可用此程序实现常用的管理功能,功能代码二次编码后发送,过IDS的能力大幅提高。 目前支持的服务端脚本:PHP、ASP、.NET,并且支持、https安全连接的网站 在服务器端运行的代码如下: PHP:<?php @eval($_POST['pass'];?)> ASP:<%eval request("pass")%> ASP.NET:...
Web安全 - web信息收集之搜索引擎
m0_37786014的博客
12-11 1447
一、信息收集概述 web信息收集即web踩点,主要是掌握目标web服务的方方面面,是实现web渗透入侵前的准备工作; web踩点内容包括操作系统、服务器类型、数据库类型、web容器、web语言、域名信息、网站目录… web信息搜集涉及搜索引擎、网站扫描、域名遍历、指纹识别工作等 二、Google Hacking 1. site 功能:搜索指定的域名的网页内容,可以用来搜索子域名、跟此域名相关的...
sql注入sqlmap
11-11
Sqlmap是一款开源的自动化SQL注入工具,可以帮助安全测试人员快速检测和利用SQL注入漏洞。以下是使用Sqlmap进行SQL注入检测的步骤: 1. 确认目标网站存在SQL注入漏洞,可以通过手工注入或者使用Sqlmap进行检测。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值