【Metasploit魔鬼训练营--实践笔记】4.2.3 SQL 注入漏洞探测

步骤1:进入定v公司登陆页面:www.dvssc.com

步骤2:使用admin or ‘1=1’登入系统

步骤3:跳转到http://10.10.10.129/dvwa/vulnerabilities/sqli/

步骤4:进入DVWA security页面,将Security设置为low如下图:

这里写图片描述

步骤5:再次进入sql injection 页面,输入1,点击submit,最终结果如下:

这里写图片描述

步骤6:然后利用firefox的tamper data插件,可以当前页面的cookie,如下:

这里写图片描述

步骤7:进入文件夹:/pentest/database/sqlmap,输入命令,如下图:

这里写图片描述
等待命令处理完可以看到和书上140页差不多的结果,如下图:
这里写图片描述

步骤8:按照141页代码清单4-9输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤9:按照代码清单4-10输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤10:按照142页代码清单4-11输入命令,如下图:

这里写图片描述
得到结果如下图:
这里写图片描述

步骤11:按照142页代码清单4-12输入命令,如下图:

这里写图片描述
注:书上最后两个命令少了一个-,应该是–columns –dump
得到结果如下图:
这里写图片描述
注:ecognized possible password hashes in column ‘password’. Do you want to crack them via a dictionary-based attack?[Y/n/q],按照书上的选择n即可

步骤12:按照书143页代码清单4-13输入命令,如下图:

这里写图片描述

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/mibunuo/article/details/46829703
上一篇【Metasploit魔鬼训练营-自我实践记录】第3.3.2 口令猜测与嗅探--虚拟机实践
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭