详解新手如何使用sqlmap对mysql数据库进行注入攻击

最新推荐文章于 2024-05-11 11:19:33 发布
最新推荐文章于 2024-05-11 11:19:33 发布
阅读量2.7k 收藏 10
点赞数 1
分类专栏: 渗透测试 文章标签: Web安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43573676/article/details/88360471
版权

步骤1:发现注入
闲来没事儿在网上瞎逛,无意中点开一个国外的博客,发现链接是以id为结尾的,于是就手工检测了一下,结果嘛…你懂的
在这里插入图片描述在这里插入图片描述检测页面返回不正常,明显是带入数据库查询了,并且没有WAF,老弟就只好给你上一课啦嘻嘻嘻
这里需要注意一下
mysql跟Access有些不同,mysql数据库里有很多个数据库,我们需要知道网站自己的数据库,以便于得到管理的账号密码,它的结构大体是这样的:
在这里插入图片描述步骤二:使用sqlmap进行注入攻击
首先我们先看一下他的权限,如果是DBA的话可以直接写一句话的,前提是你也要有网站的绝对路径,具体命令在文章最后会写出来。接下来用
sqlmap -u “www.XXXX.com/web/index.php?id=31” --is-dba

最低0.47元/天 解锁文章
1匹黑马
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用sqlmap进行需要登录的注入
ChuMeng1999的博客
01-19 4107
目录预备知识了解Sqlmap了解cookie实验目的实验环境实验步骤一利用sqlmap进行Cookie注入实验步骤二 预备知识 了解Sqlmap sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 了解cookie cookie是由网景公司的前雇员Lou Montulli在1993年3月的发明,由服务
E109-数据库安全-使用sqlmap注入mysql数据库.pdf
12-02
E109-数据库安全-使用sqlmap注入mysql数据库
史上最详细sqlmap入门教程
weixin_44867191的博客
05-16 9986
最近做安全测试,遇到了SQL盲注的漏洞,从发现漏洞,确认漏洞,协助开发复现漏洞,验证漏洞一整套流程下来,有了亿点点收获,下面分享给大家,希望对软件测试同学有所启发,难度不大,小白看完也能上手的那种。
2024年最新Sqlmap使用教程【个人笔记精华整理】,网络安全面试问题和答案
最新发布
2401_84281698的博客
05-11 447
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试Web 渗透、安全服务、安全分析等岗位;
渗透测试--sqlmap数据库注入WEB渗透环境搭建
dongxieaitonglao的博客
03-09 127
DVWA的简介和搭建 https://blog.csdn.net/qq_40023447/article/details/80960325 sqlmap -u “http://192.168.149.145/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie “security=low; PHPSESSID=ksvcpi7o0rhu9r0ij0vjjddr42” --batch --dbs sqlmap -u “http://19
【2023最新版】超详细Sqlmap安装保姆级教程,SQL注入使用指南,收藏这一篇就够了
bdfcfff77fa的博客
03-22 2765
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL进行SQL注入。目前支持的数据库MySql、Oracle、Access、PostageSQL、SQL Server、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB等Sqlmap采用了以下5种独特的SQL注入技术。
一步一步解读sqlmap是如何操作的
u013473481的专栏
01-14 954
1. 基础用法:   ./sqlmap.py -u “注入地址” -v 1 –dbs // 列举数据库   ./sqlmap.py -u “注入地址” -v 1 –current-db // 当前数据库   ./sqlmap.py -u “注入地址” -v 1 –users // 列数据库用户   ./sqlmap.py -u “注入地址” -v 1 –current-user // 当前
kali linux 下sqlmap注入ACCESS数据库.doc
03-04
如果目标站点存在 SQL 注入漏洞,我们可以使用 SQLmap攻击模式来注入目标数据库。 ``` sqlmap –u “http://www.qinlicy.com/NewsShow.asp?id=69” –tables ``` 这将扫描目标数据库的所有表。我们可以选择其中...
使用sqlmap+burpsuite进行中级sql注入
06-01
使用sqlmap+burpsuite进行中级sql注入,亲测可行
sql注入攻击sqlmap
06-10
为了确保网站免受SQL注入攻击,开发者应遵循以下最佳实践:参数化查询或预编译语句的使用,输入验证,限制数据库用户的权限,及时更新数据库软件以修复已知漏洞,以及定期进行安全审计和渗透测试。 总的来说,SQL...
java开发基于SQLmap的SQL注入工具源码.zip
06-01
基于SQLmap的SQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmap的SQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx)...
sqlmap使用方法
08-26
sqlmap -p 指定测试参数 -b 获取banner --dbs 列举数据库 --is-dba 是否是管理员权限 --current-db 当前数据库 --current-user 当前用户 --tables 列举数据库的表名 --count 检索所有条目数 --columns 获取表的列名 --dump 获取表中的数据,包含列 --dump-all 转存DBMS数据库所有表项目 --level 测试等级(1-5),默认为1 -v 显示详细信息 读取数据库--->读取表---->读取表的列---->获取内容
sqlmap基本使用方法
鹿鸣天涯
09-12 491
sqlmap安全测试工具,通常用于对已知的http接口进行sql注入测试,一旦注入成功,可以获取到后台包括数据库表、用户信息、数据内容等多种敏感信息,对web漏洞防范有重要意义。 基本语法 1.先进行注入点探测,常规语法是: python sqlmap.py –u [url] 说明:url 一般选择包括参数输入的链接。如果是get方法,就直接跟在url后面用?补充参数。如果是post方法,用--data=’xxx=xxx&yyy=yyy’格式发送。或者是--data=’{“xx”:”xxx
Sqlmap远程连接Mysql,报错(2003)
qq_34510058的博客
10-11 1716
Sqlmap远程连接mysql
sqlmap常用渗透方法
weixin_30721899的博客
09-05 593
0X001 适用场景 1.获取了Mysql数据库root账号以及密码。 2.可以访问3306端口以及数据库。 0X002 扫描获取root账号的密码 通常有下面一些方法来获取root账号的密码 (1)phpMyAdmin多线程批量破解工具,下载地址:http://www.test404.com/post-546.html http://pan.baidu.com/s/1c1LD6...
使用sqlmap对sqli-less-12 的题解
weixin_44352058的博客
05-03 705
1.由于该题是post注入,所以我们在用户名密码处随意输入并使用bp进行抓包存储文件。 2.查询注入sqlmap.py -r 1.txt 3.查询数据库 sqlmap.py -r 1.txt –dbs 4.查询表 sqlmap.py -r 1.txt -D security –tables 5.查询列 sqlmap.py -r 1.txt -D security -T u...
SQLMAP
qq_44790964的博客
10-21 225
SQLMAP介绍 当然也可以过一些waf sqlmap安装 基本的参数 –is-dba 基本的还是 sqlmap.py -u"测试的网址" current就是当前的 时间延迟类型 测得是union联合查询类型的 这个是sqlmap跑出来的一个 第一行说的是在id参数下存在的注入 第一个 type是bool盲注 第二个 时间延迟盲注 第三个 union联合查询 这些信息是 mysql数据库...
SQLmap教程
Panda_Sanko的博客
03-06 2073
一、Sqlmap直连数据库:-d 服务型数据库(前提知道数据库用户名和密码) : DBMS://USER:PASSWORD@DBMS_ IP:DBMS_ PORT/DATABASE NAME 文件型数据库(前提知道数据库绝对路径): DBMS://DATABASE_ FIL EPATH (SQL ite, Microsoft Access, Firebird, etc. ) 例如: python sqlmap.py -d “myspl://admin: admin@ 192 168 21.17:3306/t
Sqlmap 22.05.22.02
辉小鱼的博客
11-05 649
sqlmap是一款基于python编写的渗透测试工具,在sql检测和利用方面功能强大,支持多种数据库
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
本文将详细介绍SQL注入的原理和攻击过程,并介绍如何使用Kali Linux中的工具sqlmap来自动化进行SQL注入漏洞扫描。 SQL注入漏洞的原理是利用应用程序对用户输入的不充分过滤和验证,将恶意的SQL语句插入到数据库查询...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值