SQL注入(靶机演示)

最新推荐文章于 2024-04-29 20:55:13 发布
最新推荐文章于 2024-04-29 20:55:13 发布
阅读量2.1k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50646540/article/details/108562779
版权

如何安装sqlmap

先安装一个软件,叫sqlmap,用于自动化注入。

在这里插入图片描述 下载之后根据需求放进文件夹内,文件夹最好用英文,方便之后创建快捷方式。 将下载下来的sqlmap移动到Python的文件夹下,再在桌面创建快捷方式,将快捷方式的目标改为cmd,起始位置就是Python文件下的sqlmap。完成后可以先测试一下。
在快捷方式的界面中,输入sqlmap.py -h,有下图中的结果就是装好了。
在这里插入图片描述安装好之后就可以开始使用了。
首先,去找一个有漏洞的网站试手,我这边是学校里的靶机。
先进行一个测试,在网址后面加英文单引号,并没有显示页面错误,那就再加?nid,就开始盲猜,找个能使网页有图案的数字,之后将网址导入sqlmap,代码:
sqlmap -u “网址”
出来结果是这样的表示可以运行
在这里插入图片描述然后再在上个代码的基础上,加入–dbs,用于查询具体有哪些数据库
在这里插入图片描述之后选择一个数据库,去查询数据表。代码要做些修改,将之前的–dbs改为:-D 数据库名 --tables
在这里插入图片描述再任意选择一个数据表去查表里的行(字段名),代码:-D 数据库名 -T 表名 --columns
在这里插入图片描述

这样就知道了表里面的字段名,选择username和password,倾倒数据(在代码后面加–dump)
在这里插入图片描述可以查出加密的密码,因为有base64加密的特征(等号),所以用base64解密一次,解出来还是密文,因为网站中比较多的是用md5加密,所以再去用md5解密一次,最后成功得到密码。
知道账号密码,就能登录后台,但是还要知道如何进入后台的登录界面。这个时候可以使用防爬虫协议,查看如何进入后台登录界面。(在网址后加robot.txt)
在这里插入图片描述可以看到是admins,所以,在网之后输入admins,
在这里插入图片描述成功进入登录界面,输入账号密码即可成功登陆。
在这里插入图片描述

慕穆
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入——pikachu靶场
cjh12340826的博客
07-20 632
(1)先用burpsuit抓包,或使用浏览器开发者工具找到请求data。10,时间盲注,原理:如果可以注入,就延时,如果不行就立刻显示。6,detele注入使用hackbar(报错显示数据库)12,------- 基于报错信息获取---------然后使用hackbar点击post data发送请求。注册用户时注入,使用重发器(基于报错信息获取)7,http header和cookie注入。工具:burpsuit,hackbar。5,insert,update注入。在修改信息页面:提交修改,
easy_cloudantivirus靶机SQL注入、命令注入、NC串联
qq_40898302的博客
04-28 191
端口扫描WEB侦查SQL注入命令注入密码爆破代码审计NC串联本地提权。
网络安全-靶机dvwa之sql注入Low到High详解(含代码分析)_dvwa sql注入低中高代码分析
最新发布
2401_84253132的博客
04-29 879
这样的话估计不能使用Error注入。结论:字段为2。
渗透测试:详解sqlmap进行POST注入、基于insert的注入(以vulnhub靶机LampSecurity:CTF7为例)
Bossfrank的博客
06-22 4646
本文以vulnhub靶机LampSecurity:CTF7为例,详解了insert(非select)类型的SQL注入方法,包含对报错注入函数updatexml的使用。同时还详解了使用sqlmap进行POST类型注入的方法。
欢迎来到训练场,SQL注入DVWA靶机
sinat_35855737的博客
05-11 994
手把手带你飞,在DVWA靶机上练习sql注入
Kali linux在DVWA靶场的SQL注入
qq_74298120的博客
06-20 1741
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
sqli-labs-master靶机
10-12
CMS.rar可能包含了一个模拟常见内容管理系统的环境,用于演示如何在实际的CMS应用中发现和利用SQL注入。常见的CMS系统如WordPress、Joomla、Drupal等,它们因为功能复杂、用户众多,往往成为攻击者的重点关注目标。...
Web应用手工渗透测试——用SQLMap进行SQL盲注测试
02-26
本文主要关注SQL注入,假设读者已经了解一般的SQL注入技术,在我之前的文章中有过介绍,即通过输入不同的参数,等待服务器的反应,之后通过不同的前缀和后缀(suffixandprefix)注入到数据库。本文将更进一步,讨论SQL...
DVWA Web渗透靶机
07-31
这个应用包含了各种常见且故意设计的安全漏洞,如SQL注入、跨站脚本(XSS)、文件包含漏洞、命令注入等,帮助用户提升对Web安全的理解。 **PHP**是DVWA的编程语言基础,这是一种流行的服务器端脚本语言,尤其适用于...
搭建DVWA靶机所需全部资源.rar
10-13
DVWA是一个具有各种常见安全漏洞的Web应用,如SQL注入、跨站脚本(XSS)、文件包含、命令注入等。通过模拟这些漏洞,用户可以学习如何识别、利用以及修复它们,从而提升安全防护能力。 压缩包中的“所需全部资源”...
E109-数据库安全-使用sqlmap注入mysql数据库.pdf
12-02
本文将深入探讨如何利用sqlmap工具对MySQL数据库进行SQL注入攻击,以此来演示并了解数据库的安全漏洞和防护措施。 SQL注入是一种常见的网络安全攻击方式,攻击者通过在Web应用的输入字段中插入恶意SQL代码,以获取...
靶机-佛山发发鱼喊access注入
05-09
靶机-佛山发发鱼喊access注入!很多视频教程中使用的靶机!默认含参数过滤,为了方便新人测试我已经去掉了参数过滤!
SQL手工注入(MySQL数据库)详解---靶机(墨者学院)
CSDN_caiqian的博客
03-02 4398
SQL手工注入详解一、判断是否存在注入点二、Mysql数据库基本结构三、information_schema 简述 一、判断是否存在注入点 如果页面中MySQL报错,证明该页面中存在SQL注入漏洞: 单引号 ’ ----> 页面错误 and 1=1 ----> 页面正常 and 1=2 ----> 页面错误 二、Mysql数据库基本结构 MYSQL数据库   数据库A=网站A=数据库用户A     表名           列名              
SQL注入漏洞详解(一)
04-02 1461
收录于话题 #网络安全4#SQL注入1 注意:以下所有代码的环境:MySQL5.5.20+PHP SQL注入是因为后台SQL语句拼接了用户的输入,而且Web应用 程序对用户输入数据的合法性没有判断和过滤,前端传入后端的参数是攻击者可控的,攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。比如查询、删除,增加,修改数据等等,如果数据库的用户权限足够大,还可以对操作系统执行操作。 SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未
SQL注入漏洞总结
weixin_30394251的博客
01-26 847
目录: 一、SQL注入漏洞介绍 二、修复建议 三、通用姿势 四、具体实例 五、各种绕过 一、SQL注入漏洞介绍: SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关闭数据库管理系统)、恢复存在于数据库文件系统中的指定文件内容,在某些...
靶机渗透练习43-Lord Of The Root
hirak0的博客
04-19 2092
靶机描述 靶机地址:https://www.vulnhub.com/entry/lord-of-the-root-101,129/ Description I created this machine to help others learn some basic CTF hacking strategies and some tools. I aimed this machine to be very similar in difficulty to those I was breaking on
文件包含漏洞及修复
静水流深,沧笙踏歌
05-17 2881
发现文件包含漏洞可以上传木马,get到了,之后再研究这个。 利用php伪协议读取源码 ....?file=php://filter/read=convert.base64-encode/resource=index.php //php://filter伪协议 //read=convert.base64.encode以base64编码读链 //resource=index.php文件定位 修复: ...
渗透测试之sql注入
weixin_45380284的博客
03-05 836
sql注入 理论: 1.sql语言: 结构化查询语言 是一种数据库查询和程序设计语言 用于存取数据及查询、更新、管理关系数据库系统 常用的语句: 增:insert into <表名><列名>values(列值) 删:delete from <表名>( where<删除条件>) 改:update <表名> set <列名=更新值>(where<更新条件>) 查:select <列名>from<表名>(w
注入漏洞-sql注入
热门推荐
一个很酷的人
04-30 4万+
注入漏洞 注入漏洞 1 SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。具体来说,它是利用现有应用程序,将SQL语句注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据,而不是按照设计者意图去执行SQL语句。 1.1 SQL注入的...
sql注入攻击技术的靶机
08-31
SQL注入攻击技术的靶机是一个用于模拟和演示SQL注入攻击的系统或应用程序。靶机通常存在安全漏洞,可以被攻击者利用进行SQL注入攻击,以此来加深对SQL注入漏洞的理解和防御技巧。 以下是一些常见的SQL注入漏洞靶机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值