实验5 SQLmap检测SQL注入漏洞
1.实验目的
(1)理解SQL盲注(布尔盲注、时间盲注、报错盲注)的原理;
(2)学习手工盲注的过程;
(3)了解SQL注入的防御技术。
2.实验要求
1、检测是否存在sql注入漏洞;
2、使用工具sqlmap爆出,当前数据库、数据表、key字段的信息。
3、关键命令及结果截图。
任务一: Get方式 (可以使用Pikachu平台的SQL注入–字符型注入 )
任务二:POST方式和Cookie方式(实验环境:DVWA设置为Medium级别,SQL Injection模块)
3.实验过程描述
任务一:get方式
首先在登陆页面获得网页url,cookie
url:http://127.0.0.1:8082/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit
cookie:security=low; PHPSESSID=d6a6etj6s61p2coj3dbcphr087
F12查看,F5刷新
1、扫描查看存在漏洞
E:\python\sqlmap-master>python sqlmap.py -u "http://127.0.0.1:8082/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="security=low; PHPSESSID=d6a6etj6s61p2coj3dbcphr087"
2、扫描数据库获得数据库名
E:\py