最近学长让用sqlmap获取一个网站的管理员账户和密码,一开始就很迷茫啊,毕竟对这些东西不是太了解,,可能是我懂得太少,,后来完成之后才发现是一件很简单的事,毕竟,学长给的是一个容易攻破的网站,,也不算是攻破,总之就是入门嘛。
SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
首先sqlmap据说是一个开源的,很强大的,集检测和利用注入点于一身的工具,有python语言开发,用之前得装python环境。说是有检测功能但是并不能直接扫描网站找到注入点,但是可以批量导入,就是省了你的麻烦。但是说一体化好像牵强了一点。
至于批量导入这里借用一个大佬的方法,就是借用burpsuite的日志文件批量导入,