【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测

最新推荐文章于 2024-05-11 08:25:33 发布
最新推荐文章于 2024-05-11 08:25:33 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: metasploit魔鬼训练营-实践记录 文章标签: sql注入 sqlmap tamperdata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mibunuo/article/details/46829703
版权

步骤1:进入定v公司登陆页面:www.dvssc.com

步骤2:使用admin or ‘1=1’登入系统

步骤3:跳转到http://10.10.10.129/dvwa/vulnerabilities/sqli/

步骤4:进入DVWA security页面,将Security设置为low如下图:

这里写图片描述

步骤5:再次进入sql injection 页面,输入1,点击submit,最终结果如下:

这里写图片描述

步骤6:然后利用firefox的tamper data插件,可以当前页面的cookie,如下:

这里写图片描述

最低0.47元/天 解锁文章
mibunuo
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Metasploit SQL注入漏洞渗透测试实战
悦分享
12-07 1031
现代化Web应用程序在设计时都会将代码与数据进行分离,这些数据会独立保存在服务器中。当数据量较大的时候,需要使用一种特殊的数据管理程序,也就是常说的数据库。目前比较常用的数据库软件有MySQLSQLServer、Access等,不过它们的操作都要遵循SQL(Structured Query Language,结构化查询语言)标准,但是不同的产品之间存在着一定的差别。SQL注入攻击是通过操作输入来修改SQL语句,以达到执行代码对Web服务器进行攻击的方式。
SQL注入漏洞检测---Metasploit渗透测试魔鬼训练营
aaqian1的博客
03-31 2707
SQL注入漏洞检测 SQL注入指的是发生在Web应用对后台数据库查询语句处理存在的安全漏洞。攻击者通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 一、首先,在Firefox输入10.10.10.129 进入定V公司的登录页面,输入“admin’” ...
最全《MetaSploit渗透测试魔鬼训练营》之环境搭建(1),2024年最新2024软件测试春招
最新发布
2401_84765537的博客
05-11 991
*注意:**DHCP设置中结束IP地址最后为255,否则后序端口扫描,254的那台会失败。其中,BT5太老了,都使用kali了,于是我换成了kali,接下来进行具体虚拟机的配置。(img-LbP1Zik3-1715387110838)]来重启网络,浏览器输入ip后可查看dvssc门户网站,说明此靶机配置成功。如果是自己,就写127.0.0.1即可,后面的靶机不再赘述。选择.vmx,使用VMware打开,选择我已复制该虚拟机。作为内外网网关,有两个网卡,都需要设置好。打开cmd命令窗口,输入命令。
Metasploit渗透测试环境搭建dvssc.com
Vincent_zhang1949的博客
08-12 616
网络拓扑 虚拟机网络配置 攻击机配置 kali linux 1.在VMware上安装Kali Linux 2.配置hosts文件 vim /etc/hosts 10.10.10.128 attacker.dvssc.com 10.10.10.130 www.dvssc.com 10.10.10.131 service.dvssc.com 10.10.10.254 gate.dvssc.c...
利用火狐浏览器抓取京东Cookie教程
cai901022的博客
04-14 6043
这里以抓取京东CK为例子。 1、 打开火狐浏览器,新建隐私窗口。 地址栏输入https://wqs.jd.com/回车 打开京东网站后 点击右上角 登录,如下图,选择账号密码登录。记住,一定要选这个,因为它有个手势验证,如果不用账号密码的话,会很难验证通过。 选择账号密码登录的话,如果手势验证失败了,会变成下图这种简单的。 手机验证码登录,登录成功后,浏览器按F12,如下图操作顺序操作。 如下图,随便选一个jd.com的网址,点开。 Cookie所在位置,看...
Firefox 插件tamper data的使用
spitcold的专栏
06-23 777
1.tamper data介绍 作为 Firefox 的插件, 可以实现以下功能点: a.可以用来查看和修改 HTTP/HTTPS 的头部和 POST 参数; b.可以用来跟踪 HTTP 请求和响应并记时; c.可以对 WEB 站点进行某些安全测试,从而为调试 WEB 配置带来了极大的便利,是网站维护人员不可多得的实用工具。 2.tamper data的安装 首...
Metasploit渗透测试魔鬼训练营 读书笔记
09-18
渗透测试-web渗透6.pdf 渗透测试-内网客户端渗透9.pdf 渗透测试-内网网络服务端渗透7.pdf 渗透测试-后渗透阶段10.pdf 渗透测试-实验拓扑环境4.pdf 渗透测试-情报搜集5.pdf 渗透测试-社会工程学8.pdf ...
Metasploit_测试魔鬼训练营.zip
09-27
首本中文原创Metasploit渗透测试著作,国内信息安全领域布道者和资深Metasploit渗透测试...很多知识点都配有案例解析,更重要的是每章还有精心设计的“魔鬼训练营实践作业”,充分体现了“实践实践,再实践”的宗旨。
metasploitframework-win-x64
10-05
Metasploit Framework 作为...值得一提的是这个强大的工具是免费的,它的开发团队由两个全职成员和少数兼职的投稿者组成,Metasploit Framework由最初的1.0版发展到现在的3.0版的漏洞自动化探测,成绩骄人,精神可嘉!
Metasploit安全工程师必备/学习【魔鬼训练营】 pdf文档
11-09
Metasploit安全工程师必备/学习【魔鬼训练营】》是一个专门为安全工程师设计的深入学习资源,主要聚焦于Kali Linux中的Metasploit框架。Metasploit是信息安全领域中最广泛使用的开源工具之一,用于进行安全漏洞...
metasploit魔鬼训练营》学习中遇到的相关问题
08-19
在学习《metasploit魔鬼训练营》的过程中,遇到很多的问题,从搭建环境到进行测试,作为一个新手,踩过一些坑,记录下来,以备后查。
利用SQL注入漏洞拖库
12-25
利用SQL注入漏洞拖库 - 利用 SQL 注入漏洞拖库的方法 1 建立数据库和表 建立数据库 lab。 在 lab 数据库创建一张表 article
SQL注入绕过的技巧总结
12-14
sql注入在很早很早以前是很常见的一个漏洞。后来随着安全水平的提高,sql注入已经很少能够看到了。但是在,还有很多网站带着sql注入漏洞在运行。稍微有点安全意识的朋友应该懂得要做一下sql注入过滤。   SQL注入的绕过技巧有很多,具体的绕过技巧需要看具体的环境,而且很多的绕过方法需要有一个实际的环境,好是你在渗透测试的过程中遇到的环境,否则如果仅仅是自己凭空想,那显然是不靠谱的。这篇文章是总结我在遇到的CTF题目或者是渗透环境的过程中,所使用到的sql注入的绕过技巧,这篇文章随着自己的见识和能力不断的提升,所总结的方法也会变多。   一、引号绕过   会使用到引号的地方是在于后的whe
web安全入门之SQL注入-基于metasploitable2-Linux
weixin_43726831的博客
09-08 1063
SQL注入 1.SQL注入介绍 我们在学习SQL注入前,先要对SQL以及数据库有一定的了解。 SQL(Structured Query Language)是一种关系数据库标准语言,SQL其为结构化的查询语言的简称,但其功能包括数据定义,数据查询,数据操纵和数据控制四部分。SQL简洁方便、功能齐全,是目前应用最广的关系数据库语言。 数据定义SQL(DDL):CREATE(创建)、DROP(丢弃) 数...
Metasploit-MSSQL渗透-实战篇
热门推荐
eT48_Sec
12-24 1万+
Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试。而Metasploit是Kali Linux中的一款开源安全漏洞检测工具。 打开metasploit的控制台终端: 先使用NMAP对目标进行端口扫描,目标的IP地址已经打码,不对外公开。 从扫描结果中,我们得知目标对外开放了1433端口对应于ms
Metasploitable3渗透测试实战
温柔小薛的博客
02-17 4240
这是一个著名的靶场Metasploitable3,关于靶机搭建网上文章非常多,这里我就不再写了,但是关于漏洞挖掘没有什么文章,而且这个靶场windows版本和linux版本还有差别,我这里写一些简单的吧,自己就挖到这个程度了,有不对的地方还请前辈高人指点一二 目录1综述2.渗透过程2.1渗透路径说明2.1.1全端口扫描/服务发现2.1.2目录扫描2.1.3一、ProFTPD 1.3.5命令读取和写入任意文件。2.1.4二、sql注入2.1.5三、phpmyadmin远程php代码执行2.1.6四、文件上传漏
Metaspliot进行漏洞扫描
weixin_30895603的博客
01-23 1248
Metaspliot进行漏洞扫描 Metasploit框架是Metasploit项目中最著名的创作,是一个软件开发、测试和利用漏洞的平台。它可以用来创建安全测试工具开发的模块,也可利用模块作为一个渗透测试系统。最初是由HD Moore在2003年创建作为一种便携式网络工具包。它是所有的安全研究人员和黑客之间最受欢迎的渗透测试工具之一。除了渗透测试,该工具还能够在网络和Web应用程序中...
渗透测试——SQL注入实验(Sqlmap
YT的博客
02-11 6354
实验环境 本实验中,OWASP Web服务器靶机(10.10.10.129,对外公开域名:www.dvssc.com)含有 SQL注入漏洞,在攻击机 BT5 R1 (10.10.10.128)上通过工具进行攻击。 工具:sqlmap、Firefox浏览器内置的 Tamper Data 1. 输入 www.dvssc.com (或10.10.10.129) 登录要攻击的网站,点击登录界面 2....
metasploit魔鬼训练营第一章实践作业
lilywang20119的博客
05-04 2390
1.搜索Samba服务usermap_script安全漏洞相关信息 根据下面的连接,搜索到如下内容: The time line is as follows: * May 7, 2007: Initial defect disclosure to the security@samba.org email alias. * May 7, 2007: Initial de
metasploit渗透测试魔鬼训练营
09-03
### 回答1: Metasploit渗透测试魔鬼训练营是一种针对渗透测试人员的培训课程,旨在帮助学员掌握使用Metasploit框架进行渗透测试的技能。该课程包括理论知识和实践操作,涵盖了Metasploit框架的基础知识、漏洞利用、后渗透等内容。通过参加该训练营,学员可以提高自己的渗透测试技能,为企业提供更加全面和有效的安全保障。 ### 回答2: Metasploit渗透测试魔鬼训练营是一种专注于渗透测试技术的培训计划。Metasploit是一款广泛使用的渗透测试工具,能够帮助安全专业人士评估网络系统的弱点和漏洞,并提供相应的修复方案。Metasploit渗透测试魔鬼训练营旨在提供系统性的培训,使学员能够熟练运用Metasploit进行渗透测试,并成为专业的渗透测试人员。 这个魔鬼训练营采用实践与理论相结合的教学方法,通过大量的实际案例和模拟演练来帮助学员有效掌握渗透测试技术。训练营的内容包括Metasploit的基础知识、常见漏洞的挖掘与利用、渗透测试的方法与策略等。学员将学习如何利用Metasploit对目标网络进行扫描、漏洞利用和漏洞修复,以保证网络安全。 在这个训练营中,学员还将接触到实际渗透测试的场景和挑战,通过团队合作来解决复杂的安全问题。这不仅可以提高学员的问题解决能力,还可以培养他们的团队合作精神和沟通能力。 Metasploit渗透测试魔鬼训练营适合那些对渗透测试感兴趣,想要提升自己技能的安全专业人员。通过参加这个培训计划,学员可以全面了解Metasploit的功能与应用,并具备进行渗透测试的实际能力。这对于保护网络安全,提高企业的安全性具有重要意义。 ### 回答3: Metasploit是一款著名的渗透测试工具,它被广泛用于评估网络系统的安全性和漏洞Metasploit渗透测试魔鬼训练营是一个专门针对Metasploit工具进行训练和实践的培训班。 这个训练营的目的是让参与者全面了解Metasploit的功能和使用方法,并通过实际操作和挑战来提高他们的渗透测试技能。在训练中,学员将学习如何使用Metasploit来发现和利用目标系统中的漏洞,以及如何进行渗透测试和攻击模拟。这些实践活动将使学员更好地理解网络安全漏洞的本质和攻击者的行为方式。 Metasploit渗透测试魔鬼训练营的学习过程是非常实际的,学员将通过真实情景模拟来进行虚拟网络环境下的渗透测试。他们将学习如何选择和配置适当的漏洞利用模块,如何使用payloads以获取系统访问权限,并了解如何绕过防御机制和检测系统。 这个训练营的主要优势之一是培训者具有丰富的经验和专业知识,能够引导学员在实践中掌握Metasploit的各个方面。此外,训练营还提供了配套的学习资料和交互环节,使学员能够进一步加强他们的学习效果。 总而言之,Metasploit渗透测试魔鬼训练营是一个提供高质量Metasploit培训和实践机会的地方。通过参加这个训练营,学员可以提高他们的渗透测试技能,增强他们评估网络安全的能力,并为他们未来的职业发展打下坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值