【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测

最新推荐文章于 2022-09-12 12:06:37 发布
最新推荐文章于 2022-09-12 12:06:37 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: metasploit魔鬼训练营-实践记录 文章标签: sql注入 sqlmap tamperdata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mibunuo/article/details/46829703
版权
本文详述了一次SQL注入漏洞的探测过程,通过模拟登录、使用tamper data获取cookie,以及sqlmap工具进行渗透测试。在DVWA环境中,逐步调整安全级别并利用sqlmap执行不同命令,揭示了SQL注入的探测步骤和工具应用。
摘要由CSDN通过智能技术生成

步骤1:进入定v公司登陆页面:www.dvssc.com

步骤2:使用admin or ‘1=1’登入系统

步骤3:跳转到http://10.10.10.129/dvwa/vulnerabilities/sqli/

步骤4:进入DVWA security页面,将Security设置为low如下图:

这里写图片描述

步骤5:再次进入sql injection 页面,输入1,点击submit,最终结果如下:

这里写图片描述

步骤6:然后利用firefox的tamper data插件,可以当前页面的cookie,如下:

这里写图片描述

最低0.47元/天 解锁文章
mibunuo
关注
专栏目录
SQL注入漏洞检测---Metasploit渗透测试魔鬼训练营
aaqian1的博客
03-31 2757
SQL注入漏洞检测 SQL注入指的是发生在Web应用对后台数据库查询语句处理存在的安全漏洞。攻击者通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 一、首先,在Firefox输入10.10.10.129 进入定V公司的登录页面,输入“admin’” ...
Metasploit渗透测试环境搭建dvssc.com
Vincent_zhang1949的博客
08-12 652
网络拓扑 虚拟机网络配置 攻击机配置 kali linux 1.在VMware上安装Kali Linux 2.配置hosts文件 vim /etc/hosts 10.10.10.128 attacker.dvssc.com 10.10.10.130 www.dvssc.com 10.10.10.131 service.dvssc.com 10.10.10.254 gate.dvssc.c...
使用Metasploit对MSSQL渗透测试步骤——学习笔记
渗透测试
06-04 1097
学习笔记 使用metasploit对MSSQL渗透测试方法(因为本人靶机没有mssql服务,所以只有方法hh) 第一步,使用mssql_ping获取信息 Name: MSSQL Ping Utility Module: auxiliary/scanner/mssql/mssql_ping License: Metasploit Framework License (BSD) Rank: Normal Provided by: MC <mc@metasploit.
渗透之——Metasploit渗透MSSQL
冰河的专栏
01-18 1万+
转载请注明出处:https://blog.csdn.net/l1028386804/article/details/86535576 攻击机 kali 192.168.109.137 靶机 Win7_x64 192.168.109.139 数据库 MSSQL 2008 R2 MSSQL运行在TCP的1433端口以及UDP的1434端口 1.使用NMAP对MSSQL进行踩点 这里,我们使...
白帽子学习——Metasploit渗透测试指南
weixin_43487532的博客
09-12 4183
黑客之渗透初学
Metasploit渗透测试魔鬼训练营 读书笔记
09-18
渗透测试-web渗透6.pdf 渗透测试-内网客户端渗透9.pdf 渗透测试-内网网络服务端渗透7.pdf 渗透测试-后渗透阶段10.pdf 渗透测试-实验拓扑环境4.pdf 渗透测试-情报搜集5.pdf 渗透测试-社会工程学8.pdf ...
metasploit魔鬼训练营学习笔记-6-1web应用渗透技术之基础知识、wmap扫描
weixin_42151709的博客
03-26 346
SQL注入实例分析---Metasploit渗透测试魔鬼训练营
aaqian1的博客
03-31 933
使用Sqlmap的时候,尽管得到了想要的数据,但是却不知道是怎样通过构造查询语句,检索那些隐藏在后台数据库中的数据。 打开BT5,打开浏览器输入:10.10.10.129,通过SQL注入进入DVWA页面。默认的安全防护难度是高级,我们需要把安全防护级别改成低级并保存配置。 打开SQL Injection按钮,在输入框中输入“1” 在输入框中输入“’” 提交后会出现错误显示: 通过错误显示,...
利用火狐浏览器抓取京东Cookie教程
cai901022的博客
04-14 6167
这里以抓取京东CK为例子。 1、 打开火狐浏览器,新建隐私窗口。 地址栏输入https://wqs.jd.com/回车 打开京东网站后 点击右上角 登录,如下图,选择账号密码登录。记住,一定要选这个,因为它有个手势验证,如果不用账号密码的话,会很难验证通过。 选择账号密码登录的话,如果手势验证失败了,会变成下图这种简单的。 手机验证码登录,登录成功后,浏览器按F12,如下图操作顺序操作。 如下图,随便选一个jd.com的网址,点开。 Cookie所在位置,看...
web安全入门之SQL注入-基于metasploitable2-Linux
weixin_43726831的博客
09-08 1094
SQL注入 1.SQL注入介绍 我们在学习SQL注入前,先要对SQL以及数据库有一定的了解。 SQL(Structured Query Language)是一种关系数据库标准语言,SQL其为结构化的查询语言的简称,但其功能包括数据定义,数据查询,数据操纵和数据控制四部分。SQL简洁方便、功能齐全,是目前应用最广的关系数据库语言。 数据定义SQL(DDL):CREATE(创建)、DROP(丢弃) 数...
Metaspliot进行漏洞扫描
weixin_30895603的博客
01-23 1256
Metaspliot进行漏洞扫描 Metasploit框架是Metasploit项目中最著名的创作,是一个软件开发、测试和利用漏洞的平台。它可以用来创建安全测试工具开发的模块,也可利用模块作为一个渗透测试系统。最初是由HD Moore在2003年创建作为一种便携式网络工具包。它是所有的安全研究人员和黑客之间最受欢迎的渗透测试工具之一。除了渗透测试,该工具还能够在网络和Web应用程序中...
SQL 手动注入学习实战 —— dvwa 从low到impossible《low篇》
qq_40476955的博客
01-10 4930
在PHP中动态构造SQL语句的语言是query="SELECT∗FROMusersWHEREusername=".query=" SELECT * FROM users WHERE username = "._GET[“name”]; 通过控制name参数,修改执行的SQL语句,可以达到攻击的目的。
Metasploit魔鬼训练营》第四章(上)
weixin_30609331的博客
02-24 177
p128 wmap 和昨天一样,我用这些漏洞扫描工具去扫testfire.net或者owaspbwa都扫不出漏洞!不明白! 补充:原来是网络不知道啥时候自己断了。连上后再次扫描就成功了: p134 扫描神奇w3af # w3af_console w3af>>> plugins w3af/plugins>>> bruteforce for...
Metasploit 学习笔记
热门推荐
不急不躁
07-11 2万+
在Kali中使用Metasploit,需要先开启PostgreSQL数据库服务和Metasploit服务 然后就可以完整的利用 msf 数据库查询 exploit 和记录service postgresql start service metasploit start如果不想每次开机都这样,还可以配置随系统启动update-rc.d postgresql enable update-rc.d me
Metasploitable3渗透测试实战
温柔小薛的博客
02-17 4515
这是一个著名的靶场Metasploitable3,关于靶机搭建网上文章非常多,这里我就不再写了,但是关于漏洞挖掘没有什么文章,而且这个靶场windows版本和linux版本还有差别,我这里写一些简单的吧,自己就挖到这个程度了,有不对的地方还请前辈高人指点一二 目录1综述2.渗透过程2.1渗透路径说明2.1.1全端口扫描/服务发现2.1.2目录扫描2.1.3一、ProFTPD 1.3.5命令读取和写入任意文件。2.1.4二、sql注入2.1.5三、phpmyadmin远程php代码执行2.1.6四、文件上传漏
渗透学习笔记1【metasploit通过exe对他人电脑进行操控】
Sp4rkW的博客
12-18 7169
注:此内容不得用于违法活动,仅供学习交流使用~ 最近在学习metaspolit,参考几个大佬的博客,整理实测了metespolit一次渗透~ 0X01、木马检测原理 杀毒软件判断病毒木马的方式如下: 特征库扫描法:检查文件中是否存在与常见病毒相同的代码。如果匹配,则说明存在病毒。由于该方法较慢,因此现在一般使用通配符扫描法进行代替。 云扫描法:将可疑文件上传到云
XSS攻击和SQL注入攻击实验过程
qq_20381661的专栏
04-04 2375
(一)XSS攻击 1.XSS Alert; (1)访问www.dvssc.com,在Train中的Username输入:admin’or’1=1,登录网页,选择Mutillidae,在Core Contrals的Retister中注册Alice和Bob两个用户。 (2)以Alice身份登录,在左侧菜单中选择 A2-Cross Site Scripting (XSS),点击“Add to your blog”,输入<script>alert(’XSS’);</scrip..
渗透测试学习2---DVWA之SQL Injection
正在学习的路上...
04-26 294
1.low PHP源码: <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_REQUEST[ 'id' ]; // Check database $query = "SELECT first_name, last_name FROM users WHERE user_id = '$id';"; ...
metasploit渗透测试魔鬼训练营
最新发布
09-03
Metasploit渗透测试魔鬼训练营是一个专门针对Metasploit工具进行训练和实践的培训班。 这个训练营的目的是让参与者全面了解Metasploit的功能和使用方法,并通过实际操作和挑战来提高他们的渗透测试技能。在训练中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值