使用KALI下的sqlmap来隐藏渗透SQL服务器 (ABPET)

最新推荐文章于 2023-06-28 15:24:23 发布
最新推荐文章于 2023-06-28 15:24:23 发布
阅读量786 收藏 6
点赞数
分类专栏: Kali 文章标签: sqlmap SQL渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43504064/article/details/100636488
版权
本文详细介绍了如何利用sqlmap工具进行SQL注入攻击,以渗透MySQL数据库,强调了保持SQL数据库安全的重要性。通过匿名代理如Tor,结合Google用户代理,隐藏攻击者的IP,从而避免追查。内容涵盖了SQL注入的概念、sqlmap的使用方法以及如何通过Tor进行匿名攻击。
摘要由CSDN通过智能技术生成

今天我将演示攻击者如何使用SQL注入攻击MySQL数据库并对其进行攻击。SQL注入攻击使攻击者能够获取数据库信息(如用户名和密码),并可能危及在数据库上中继的网站和Web应用程序。 保持SQL数据库的安全是非常重要的,因为它们通常可以保存有关网站和Web应用程序及其配置的敏感信息。MySQL数据库还可以保存重要的客户端和用户信息,如用户名、密码和银行信息。(ABPET 项目)

  • 什么是SQL注入?

SQL注入是一种攻击,允许攻击者从网站SQL数据库中提取数据库信息。

  • 使用工具

sqlmap是一个开源的渗透测试工具,它自动检测和利用SQL注入漏洞并接管数据库服务器。sqlmap支持枚举用户、密码散列、特权、角色、数据库、表和列。
tor匿名代理浏览器,可以有效的使访问者逃脱被记录。因为你所有的攻击都是匿名的,并不会被警察,或者是管理员追查到。

前期准备

首先找到一个最比较容易渗透的网站,我们可以通过GoogleDorks找到易受攻击的网站。它是一个搜索字符串的工具,可以使用高级搜索运营商来查找网站上不容易获得的信息。GoogleDorking,也被称为谷歌黑客数据库,可以通过简单的搜索查询返回很难找到的信息。也就是说通过这个网站可以直接看出该数据库站点是否可以入侵。

1.测试网站是否易受攻击。

我们可以通过在url字符串的末尾添加一个‘来测试网站是否易受攻击。
例如:
http:/www.testwebsitesql.com/CGI-bin/item.cgi?Item_id=15
会变成
http:/www.testwebsitesql.com/CGI-bin/item.cgi?Item_id=15‘(有个符号)
在这里插入图片描述

2.标准SQL与盲SQL的区别

当攻击者利用SQL注入漏洞时,有时Web应用程序会显示来自数据库的错误消息,提示SQL查询的语法不正确。盲SQL注入与普通SQL注入几乎相同,唯一的区别是从数据库中检索数据的方式。盲SQL不会像普通SQL注入那样显示语法错误,而且很难找到。

最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
简学-Sqlmap (User-Agert的隐蔽与利用)
码农米格的博客
02-28 1175
简学-Sqlmap0x00 前言0x01 测试环境0x02 测试工具在 User-Agent 的隐蔽0x02 Sqlmap 利用 User-Agent 进行注入 0x00 前言 众所周知,sqlmap是一个开放源代码渗透测试工具,它可以自动检测和利用SQL注入漏洞并接管数据库服务器的过程。 但当我们利用 sqlmap 去进行渗透的时候难免会在服务器端留下痕迹,其中在头部报文中的User-Agent字段就会显示出事情使用痕迹。下面我将通过 bWAPP 这个平台学习利用 sqlmap 实现关于User-Ag
kali渗透学习-手动sql注入检测(一)
weixin_43239236的博客
01-23 542
SQL注入原理:通过把SQL命令插入到Web表单递交或输入域或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 ##服务端程序将用户输入参数作为查询条件,直接拼接SQL语句,并将查询结果返回给客户端浏览器 例如在用户登录判断 SELECT * FROM users WHERE user=‘uname' AND password=‘pass‘ SELECT * FROM users WHERE user=‘name' AND password='' OR ''='‘ 【OR:逻辑运算符,(p
利用SQLmap服务器shell
weixin_33834628的博客
07-25 1372
1、简介 sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQ...
sqlmap mysql shell_利用SQLmap服务器shell
weixin_39528525的博客
01-27 2404
1、简介sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL,Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2,SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是:1)基于布尔的盲注...
sqlmap参数注释第四节之隐藏网络
weixin_41467564的博客
01-17 415
sqlmap中设置http协议认证的参数:–auth-type和–auth-cred 其中–auth-type支持Basic、Digest、NTLM –auth-cred认证语法为:username:password 例如sqlmap -u “http://www.xxx.com/1.php?id=1” --auth-type basic –auth-cred“admin:admin” ...
kali linux里利用SQLmap实现SQL注入
最新发布
2201_76034619的博客
06-28 6064
安全等级调为low进入SQL Injection(Blind)页面。
kali虚拟机SqlMap使用
m0_68563451的博客
03-14 760
使用sqlmap -r 123.txt --data=id --batch -D dvwa -T users –dump语句能查看所有users表中内容。(-r参数是指定一个文件–data是指定我们要进行sql注入的参数,–batch意思是选择默认参数)结果如下图所示:已经确定这个注入点。存在6个数据库我们选取dvwa数据库使用下面的命令列出dvwa库中的表字。获得user表,再通过下面命令列出dvwa数据库下,users表中的列。保存为123.txt。使用下面命令列出数据库的库
SQL注入-基础步骤(先判断好相关信息,然后使用Kalisqlmap进行注入)
weixin_47696216的博客
11-24 2070
SQL注入基础
sqlmap 连接tor
qq_16709189的博客
08-05 1841
1.第一种可以安装tor 浏览器然后打开浏览器 说明tor server 开启成功 端口为127.0.0.1:9150 是一个socks5 然后sqlmappython sqlmap.py -u "xxxxx" --tor --check-tor --tor-port=9150 --tor-type=SOCKS5 使用pentest box里面的sqlmap并未成功 可能和版本有关系 ...
WriteUp:Kali渗透 - 通过Sqlmap直接获得服务器权限
Zeker62的博客
08-18 1034
靶场链接:https://hack.zkaq.cn/battle/target?id=aabe6f2bda75107c 使用sqlmap进行渗透测试 找到可能存在注入点的网站,http://59.63.200.79:6453/single.php?id=1放到sqlmap上跑: sqlmap -u "http://59.63.200.79:6453/single.php?id=1" 发现三个SQL漏洞: 爆库:sqlmap -u "http://59.63.200.79:6453/single.
渗透实战:从sql注入撸下服务器
白泽Sec安全实验室
11-25 645
前言:大家好!在一次网上冲浪中,走狗屎运发现了一处sql注入。 信息收集: 接下来赶紧探测一下网站指纹信息 找到ip之后随手测试发现有四个旁战 开放端口:21、25、80、135、143、3306、3389、49155、49156 扫描目录扫描出后台登陆框(但是页面破损无法正常浏览),因为没有WAF直接sqlmap一把梭,一步到胃! 并非是管理员权限,在数据库翻箱倒柜找了一通,在快要放弃的时候找到一些敏感信息:数据库管理员用户密码。 由于有注入的这个站点,登录地址破损无法正常显示,回想起来还有旁站。回过
Shell 神技:掩盖 Linux 服务器上的操作痕迹
运维派
08-05 281
使用 Shell 脚本在 Linux 服务器上能够控制、毁坏或者获取任何东西,通过一些巧妙的攻击方法黑客可能会获取巨大的价值,但大多数攻击也留下踪迹。当然,这些踪迹也可通...
sqlmap命令详解
Pitbull2014的博客
12-20 1199
cookie注入:sqlmap.py -u 注入点 --cookie "参数" --tables --level 2 POST登录框注入:sqlmap.py -r 从文件读取数据 -p 指定的参数 --tables sqlmap.py -u 登录的地址 --forms 自动判断注入 sqlmap.py -u 登录的地址 --data "指定参数" 绕过waf防火墙:sq...
Kali Linux渗透测试 049 清除痕迹
kevinhanser
03-04 5007
本文记录 Kali Linux 2018.1 学习使用渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 1. 清除渗透攻击痕迹
渗透利器-sqlmap超级详解
kracer的博客
11-08 5156
目录 0X01 背景介绍 0X02 原理简述 0X03 参数说明 0X04 实战举例 0X05 高级用法 0X06 总结 0X01 背景介绍 官网:http://sqlmap.org 目前支持的数据库有:Altibase,Apache Derby, CrateDB, Cubrid, Firebird, FrontBase, H2, HSQLDB, IBM DB2, Informix, InterSystems Cache, Mckoi, Microsoft...
SQLMap 渗透工具详细讲解
ju7ran的博客
05-11 1819
我们在学习 SQLMap 的时候,可以根据官网的介绍来了解 SQLMap 的功能。官网地址:https://sqlmap.org/进入官网,我们可以看到这张图片,类似一个小针头的图标,可能为了表达我是 SQL 注入……根据官网的介绍,我们可以了解到 SQLMap,是一种开源渗透测试工具,它可以自动化检测和利用 SQL 注入缺陷以及接管数据库服务器的过程。
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3124
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
sqlserver手注getshell分析:
m0_59757868的博客
08-19 2584
sqlmap
Kali Linux的sqlmap渗透测试工具:自动化SQL注入与数据库权限获取
Kali-sql.pptx是一个关于渗透测试工具...Kali-sql.pptx文档深入探讨了SQL注入的原理、工具(sqlmap)的使用以及如何在实际环境中实施安全扫描和渗透测试,这对于从事IT安全工作的人士来说,是一份极其有价值的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值