利用Sqlmap进行SQL注入攻击

已于 2022-08-14 18:05:33 修改
阅读量1.7k 收藏 11
点赞数 2
文章标签: sql 数据库 mysql
于 2022-08-14 17:17:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62689523/article/details/126332794
版权

sql注入的核心:将用户的输入拼接到代码中,并被当作sql语句执行

POST注入高危点:

登录框

查询框

等各种和数据库有交互的框

信息收集

渗透测试的灵魂在于信息收集,首先打开要渗透的靶场。

 

首先利用御剑扫描了一下目标靶场的敏感目录信息时发现一堆200页面,然后访问根目录为/admin.html直接跳转到了靶场后台。

 这就是该目标网站的后台管理系统

我们继续对该目标网站进行awvs主动式web扫描得到了一些有关sql注入漏洞的报告

 我们已经确定了该目标网站存在sql注入,对网站后台登录框用burp抓一下包之后以post.txt文件保存,启动sqlmap把文件放里面跑一下

sqlmap -r post.txt --delay 1 --level 2 --batch

 Sqlmap跑出来结果是该目标网站存在报错注入,联合注入,盲注等

 继续用Sqlmap跑出来该数据库名信息

sqlmap -r post.txt --delay 1 --level 2 --batch --dbs

 可以查询qcms数据库里的表名信息

sqlmap -r post.txt --delay 1 --level 2 --batch -D qcms --tables

 sqlmap跑出来这些qcms数据库里的表名信息里最有可能存在管理员账号和密码的表名应该是qcms_admin这个表,所以继续查询该表里的字段名信息

字段名里发现了admin和pwd,这就是后台管理员账号和密码

继续查询admin和pwd字段内容

 

管理员的账号是admin密码为1bde85b48d956de30f316f0602c130ca,密码应该是md5加密了所以我们需要md5解密一下看看

密码为ssgxjj665a. 

 得到了账号:admin

            密码:ssgxjj665a. 

登录网站后台可以成功进

 

 

 

Seonghou
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
在kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 5885
安全等级调为low进入SQL Injection(Blind)页面。
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
freeking101的博客
07-03 8150
SQL 注入 SQL注入就是通过把 SQL 命令插入到 Web表单提交 或 输入域名 或 页面URL请求查询的字符串,最终达到欺骗服务器执行恶意的 SQL命令,假如管理员没有对 id 参数进行过滤那么黑客可以通过数据传输点将恶意的SQL语句带入查询。 sqlmap sqlmap 是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据
SQL注入sqli-labs手注+sqlmap
m0_63563528的博客
07-19 2137
第一周:SQL注入学习
sql注入sqlmap(渡栗的学习笔记)
2301_79998006的博客
06-17 1072
sqlmap的使用。Sqlmap是一个开源的渗透测试工具,可以用来自动化的检测,利用SQL注入漏洞,获取数据库服务器的权限。它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过外带数据连接的方式执行操作系统命令。目前支持的数据库有MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access等大多数据库。
利用SQLmap实现 SQL 注入
weixin_70934757的博客
06-29 803
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是SQL注入方法。SQL注入其实就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。简单来说,就是数据「越俎代庖」做了代码才能干的事情。
使用sqlmap进行SQL注入攻击
不忘初心,护天下安全!
11-23 9019
SQL注入攻击的特点 ① Web应用程序没有对用户输入进行合法性验证而产生SQL注入漏洞( “空格”的存在和使用); ② 攻击者通过构造特殊的SQL语句,将指令插入系统原始的SQL查询语句中并执行它; ③ 获取数据库的敏感信息,甚至获取主机的控制权。     SQL注入攻击具有广泛性。 原理 SQL注入的原理 ① 地址http://127.0.0.1/inject.asp?dbtype=sq...
sqlmapsql注入原理利用
m0_55313512的博客
02-26 2373
SqlMap
使用SQLMap进行SQL注入测试
聚娃科技开发者博客
06-28 489
SQL注入是一种常见的Web应用程序安全漏洞,攻击利用这种漏洞可以执行未经授权的SQL查询,甚至是对数据库的破坏性操作。通过本文,您学习了什么是SQL注入及其危害,以及如何使用SQLMap工具来检测和测试Web应用程序中的SQL注入漏洞。SQLMap是一个自动化的SQL注入工具,用于检测和利用Web应用程序中的SQL注入漏洞。它支持多种数据库后端,并提供了强大的测试和利用功能。假设我们有一个简单的Web应用程序,该应用程序使用MySQL数据库,并且存在一个可能受到SQL注入攻击的搜索功能。
利用sqlmap对dvwa进行sql注入
ZJLE的博客
08-08 4879
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是: 1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时
sqlmap 进行sql漏洞注入
热门推荐
iptracker的博客
02-19 1万+
有一款工具叫sqlmap主要用于识别sql漏洞并注入,这里我就写一篇教程教大家如何使用。 因为sql注入是非法的,所以我就使用两台自己的虚拟机进行测试,请大家不要在别人的网站上搞破坏。(现在大部分网站已经没有sql漏洞了,修复方法也很简单) 一、什么是sql漏洞 要搞清楚sql漏洞,首先要搞清楚sql语句。sql全程Structured Query Language,是一种编程语言,主要应用于数据...
sql注入攻击sqlmap
06-10
为了确保网站免受SQL注入攻击,开发者应遵循以下最佳实践:参数化查询或预编译语句的使用,输入验证,限制数据库用户的权限,及时更新数据库软件以修复已知漏洞,以及定期进行安全审计和渗透测试。 总的来说,SQL...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
sqlmap sql注入
08-22
SQLMap是一款强大的自动化工具,主要用于检测和利用SQL注入漏洞。SQL注入是一种常见的网络安全问题,攻击者...同时,这也提醒了开发者在设计和实现Web应用时,应当重视输入验证和参数化查询,以防止SQL注入攻击的发生。
sqlmap-sql注入工具
07-06
SQLMap是一款强大的、自动化SQL注入攻击工具,由Python编程语言编写。它的主要功能是检测、利用和管理系统中的SQL注入漏洞,以实现数据窃取、数据库控制甚至服务器接管。这款工具在网络安全研究、渗透测试和漏洞评估...
使用sqlmap+burpsuite进行中级sql注入
06-01
在网络安全领域,SQL注入是一种常见的攻击手段,通过利用应用程序对用户输入数据的不恰当处理,攻击者可以操纵SQL查询,获取、修改、删除数据库中的敏感信息。本篇将详细介绍如何结合sqlmap和BurpSuite工具进行中级...
SQL进阶:解锁高级特性,深化数据洞察
最新发布
WayneYalejk的博客
07-24 417
掌握了SQL的基础知识后,进一步探索其高级特性将帮助您更高效地处理复杂数据,深化数据分析的广度和深度。本文将带您领略SQL的高级功能,包括窗口函数、存储过程、触发器以及高级查询技巧等,让您在数据处理的道路上更进一步。通过这两篇文章,读者可以从SQL的基础知识逐步深入到高级特性,全面掌握SQL在数据处理和分析中的强大能力。
sql server 连接报错error 40
只会helloworld的小白啊的博客
07-24 284
Microsoft.Data.SqlClient.SqlException (0x80131904): A network-related or instance-specific error occurred while establishing a connection to SQL Server. The server was not found or was not accessible. Verify that the instance name is correct and that SQL S
SQL 注入漏洞详解 - Union 注入
Toasten
07-23 1081
SQL 注入即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询从而进一步得到相应的数据信息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值