使用Sqlmap对目标点进行渗透攻击

最新推荐文章于 2023-10-19 16:21:42 发布
最新推荐文章于 2023-10-19 16:21:42 发布
阅读量544 收藏 7
点赞数 3
分类专栏: 云安全-Kali Linux 文章标签: 云安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53786696/article/details/117121598
版权

使用Sqlmap对目标点进行渗透攻击

一、试验环境

1、在VMware中创建Windows Server 2008和Kali Linux虚拟机,并配置两台虚拟机构成局域网,设置Windows Serever 2008的IP地址为192.168.10.8,Kali Linux的IP地址为192.168.10.6,。
2、在Windows中配置IIS,并创建好测试网站DVWA。

二、试验内容

步骤1:打开测试点DVWA的主页面 ,并设置其安全级别为low,如下图所示:
在这里插入图片描述
步骤2:单击左边的SQL injection,打开 如下图所示:

在这里插入图片描述步骤3:在“UserID”文本框中随意输入一串数字,比如123,同时开启Burp Suite的数据包捕获功能。
在这里插入图片描述

步骤4:在Kali Linux 虚拟机的命令状态下运行Sqlmap,并输入如下语句。
在这里插入图片描述
在这里插入图片描述

步骤5:在上述命令的基础上,,后面加上–tables来检测数据库中的表,如下图所示:
在这里插入图片描述
在这里插入图片描述
步骤6:针对其中一个表user,猜测其中的字段。
在这里插入图片描述
在这里插入图片描述
步骤7:执行以下命令,多user表中的所有字段的值进行检测。
在这里插入图片描述
在这里插入图片描述
步骤8:利用上述结果,登录dvwa网站主页进行验证,比如用户名为1337,密码为charley,如下图所示:

在这里插入图片描述

大菜彩
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
sqlmap实战(攻击靶机)
weixin_50644630的博客
09-12 913
sqlmap实战(攻击学校靶机) 进入学校靶机 找到注入点,并放入sqlmap中测试是否可以注入 查看数据库 sqlmap -u "http://117.167.136.244:28011/index/narticle.php?nid=3050" --dbs 查询数据库 “rjxy” 的数据表 sqlmap -u "http://117.167.136.244:28011/index/narticle.php?nid=3050" -D rjxy --tables 查询manager数据表的字段
云计算安全防护技术 ——使用sqlmap目标站点进行渗透攻击
weixin_43853006的博客
05-24 399
云端使用SQL注入攻击 任务二:使用sqlmap目标站点进行渗透攻击 1、打开测试站点DVWA的主页面,并设置安全级别为low 2、单击左边的SQL injection,在user ID文本框中随意输入一串数字 3、同时开启Burp Suite的数据包捕获功能 4、在kali linux虚拟机的命令行状态下运行Sqlmap,得到数据库的名称 5、在上述命令的基础上,后面加上–table...
SQLMAP工具之实战渗透技巧四
Longwaer
02-09 1494
学习掌握SQLMAP各种小技巧,更好的进行渗透测试。
自动化注入工具SQLmap入侵数据库的使用方法(注入攻击
巴胡子
07-31 2180
sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4、联合查询注入,可以使用union的情况下的注入。 5、堆查询注入,可以同...
使用Sqlmap目标站点进行渗透攻击
weixin_53897304的博客
06-13 1849
掌握Kali Linux中的Sqlmap各类功能及参数配置 技能目标使用Sqlmap目标站点进行渗透攻击
sqlmap渗透工具
07-06
为了更好地使用SQLMap,建议熟悉其各种参数和选项,以及如何根据不同的目标和场景定制攻击策略。同时,由于SQLMap可能涉及非法活动,因此必须确保只在合法的渗透测试或研究环境中使用,遵循道德黑客的原则,尊重隐私...
渗透测试sqlmap.rar
05-03
sqlmap是一款基于Python编写的开源渗透测试工具,专门针对SQL注入漏洞进行自动化检测和利用。这款工具广泛应用于Web安全审计,对于初学者来说,是学习SQL注入攻防的优秀起点。 SQL注入是一种常见的网络安全问题,当...
sqlmapproject-sqlmap-1.5.8
08-14
SQLMap的工作原理基于对目标网站的HTTP请求进行篡改,通过发送一系列精心构造的查询来检测是否存在SQL注入漏洞。一旦发现漏洞,SQLMap会自动利用这些漏洞,获取数据库中的敏感信息,甚至完全控制数据库服务器。它...
SQLmap压缩包,SQLmap压缩包
06-07
同时,了解如何正确和合法地使用这个工具至关重要,避免对未经授权的系统进行测试,以免触犯法律。 总的来说,SQLmap是一个强大的工具,对于提高网络安全意识和进行合法的安全测试有着重要的价值。然而,它的使用...
sqlmap使用手册
12-11
7. **命令注入**: 如果目标应用允许,SQLMap可以尝试利用SQL注入执行系统命令,扩大攻击范围。 **cipher.cpp** `cipher.cpp`可能是指SQLMap中用于加密解密通信数据的部分。在渗透测试过程中,为了隐蔽性,工具可能...
数据库挂马
Air的博客
07-28 391
 SQL语句如下:数据库挂马用游标遍历所有表里如下数据类型的字段,然后Update挂马。(全部是允许写入字符的字段)xtype=99 ntextxtype=35 textxtype=231 nvarcharxtype=167 varchar———————YD的分割——————————–DECLARE @T varchar(255),@C varchar(255)DECLARE Table_Curs
利用sqlmap和蚁剑进行简单的渗透测试和挂小马操作
dbabs的博客
01-24 586
利用sqlmap进行文件上传和简单的渗透测试
sqlmap挂马命令
Lyh0558的博客
04-13 4026
--os-shell 写了两个马 一个是上传功能的马 一个是通过上传的马进行shell的上传。 (tmpukjhb.php上传了一个tmpbezal.php的文件,tmpbezal.php这个文件可以用来执行系统命令,并且将结果返回出来) Tmpbezal.php 1 <?php 2 $c=$_REQUEST["cmd"]; 3 @set_time_limit(0); 4 @ignore_user_abort(1); 5 @ini_set('max_execution_tim..
如何使用sqlmap爆库和挂马
Leslieyzz的博客
01-19 2354
如何使用sqlmap爆库和挂马的技术博客
如何在Kali Linux下使用sqlmap攻击服务器数据库的内容 获取用户名和密码 登陆它的服务器
热门推荐
追风筝的孩子
08-01 2万+
        题外话:这里添加一个通过域名获取IP的命令                   Sqlmap是一款开源的命令行自动SQL注入工具。它能够对多种主流数据库进行扫描支持,基于Python环境。它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎,适用于高级渗透测试用户,不仅可以获得不同数据库的指纹信息,还可以从数据库中提取数据,此外还能够处...
Web漏洞手动检测分析
花有重开日,人无再少年。
06-09 1114
1、了解常见Web漏洞及攻击原理。 2、了解Burp Suite的基本功能及Proxy功能。
SQL注入攻击——sqlmap使用
m0_57069925的博客
06-03 3879
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。数据库都是Web应用环境中非常重要的环节。SQL命令就是前端Web和后端数据库之间的接口,使得数据可以传递到Web应用程序,也可以从其中发送出来。需要对这些数据进行控制,保证用户只能得到授权给他的信息。可是,很多Web站点都会利用用户输入的参数动态的生成SQL查询要求,攻击者通过在URL、表格域,或者其他的输入域中输入自己的SQL命令,以此改变查询属性,骗过应用程序,从而可以对数据库进
DVWA靶场 -如何使用sqlmap 工具get注入
最新发布
xiaojiadong2019的博客
10-19 447
SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。注入点初步测试,输入框输入单引号'出现报错,可以看出该输入框存在注入点,且数据库是MySQL数据库。2、通过注入点,尝试获取数据库相关基本信息。2、使用Sqlmap工具测试。
sqlmap常用参数和原理
weixin_64622881的博客
04-18 1465
其原理是通过构造恶意的SQL查询语句,利用应用程序的漏洞来执行SQL注入攻击。具体一点就是,SQLmap首先分析目标网站的结构和参数,尝试检测是否存在SQL注入漏洞。如果存在漏洞,它将尝试利用不同的技术(如布尔盲注、时间盲注、联合查询注入等)来获取数据或者直接对数据库进行修改。
e-1-6-通过sqlnamp检测sql注入漏洞-随堂笔记 .doc
10-23
e-1-6-通过sqlnamp检测sql注入漏洞-随堂笔记 .doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大菜彩

家人们鼓励鼓励!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值