sql注入——利用burpsuite进行post注入

最新推荐文章于 2024-05-30 08:48:29 发布
最新推荐文章于 2024-05-30 08:48:29 发布
阅读量8k 收藏 21
点赞数 1
分类专栏: sql注入 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43102772/article/details/104436029
版权

实验环境:
sqli-labs、firefox、burpsuite
将浏览器代理设置为127.0.0.1 端口设置为8080

burpsuite进行post注入

1.打开Burpsuite代理拦截。
2.打开sqli-labs的Less-11进行登录操作
在这里插入图片描述
在这里插入图片描述
这里我们可以看到拦截到了登录的账号和密码。

3.点击右键选择send repeater(或者按crtl+r)发送给Repeater。然后打开顶上的Repeater进行编辑。
在这里插入图片描述
从这里我们可以判断该数据库的sql语句的闭合方式是通过单引号 ' 来闭合的。我们可以尝试密码绕过。

4.绕过密码登录
在这里插入图片描述在这里插入图片描述
成功绕过密码登录

burpsuite进行post盲注

1.打开Burpsuite代理拦截。
2.打开sqli-labs的Less-15进行登录操作
在这里插入图片描述
bp拦截信息如下
在这里插入图片描述
3.发送给Repeater
对其进行库名长度猜解
在这里插入图片描述
这样就可以爆出库名长度。

Benjiamin D
关注
  • 1
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用burpsite和sqlmap进行post注入
Assassin
06-05 4865
尝试用burpsite和sqlmap进行自动post注入,目标(一道题目)http://120.24.86.145:8002/chengjidan/第一步 用burpsite抓包并保存成txt第二步 用sqlmap语句sqlmap -r 保存的txt文件 -p 需要注入的变量然后我们的注入语句为python sqlmap.py -r C:\Users\Assassin\Desktop\inp
使用 Burpsuite 进行POST 方式的SQL注入
枫梓林のBlog
04-25 7901
使用 Burpsuite 进行POST 方式的SQL注入 文章目录使用 Burpsuite 进行POST 方式的SQL注入0x01 Burpsuite介绍1.打开浏览器设置代理2.打开 burp suite0x02 POST 方式注入1.打开 Less-11页面0x03 POST 方式的盲注1.POST 方式的布尔型盲注1.1 Less-152.POST 方式的时间盲注0x04 HTTP 头的注入方式1.HTTP 头注入原理2. HTTP User-Agent 注入Less-183.HTTP Referer
深入探讨POST注入与盲注:Burpsuite实战指南
最新发布
weixin_43822401的博客
05-30 822
Burpsuite是一款集成了多种Web安全测试功能的软件,支持多种操作系统。它能够捕获、分析和修改HTTP请求,是进行SQL注入测试不可或缺的工具。
burp爆破mysql_[技巧]使用Burpsuite辅助Sqlmap进行POST注入测试
weixin_28877505的博客
01-26 823
我们在使用Sqlmap进行post注入时,经常会出现请求遗漏导致注入失败的情况。这里分享一个小技巧,即结合burpsuite来使用sqlmap,用这种方法进行post注入测试会更准确,操作起来也非常容易。1.浏览器打开目标地址http://testasp.vulnweb.com/Login.asp2.配置burp代理(127.0.0.1:8080)以拦截请求3.点击login表单的sub...
利用 Burpsuite Fuzz 实现 SQL 注入
凡宇
07-18 8776
0x01 注入前分析 是个典型的登录框SQL注入题 在源码上还有hint 首先进行注入前的尝试,观察是否有报错情况,或者是有waf: 正常的输入,分2种情况: 用户名正确,显示密码错误password error 用户名错误,显示无此用户no such user! 猜测验证用户名和验证密码是分步进行的,语句如下: select uname from use...
BurpSuitePOST请求,Jmeter使用其信息来创建POST请求
u010804417的博客
01-10 2361
BurpSuitePOST请求,Jmeter使用其信息来创建POST请求 从网上找了一张BurpSuite抓到包的图片,如下图所示(第一个红框是原图上就有的,凑合看吧)。 BurpSuite抓到的信息: 第一行(即第二个红框上方的POST …路径 HTTP/1.1):为“请求类型”和“路径信息”。 第二个红框中的内容:对应Jmeter中的HTTP Header Manager中的信息。可直接将红框内的所有内容全部复制,然后在Jmeter的HTTP Header Manager中点击“Add from
使用sqlmap+burpsuite进行中级sql注入
06-01
使用sqlmap+burpsuite进行中级sql注入,亲测可行
sql注入讲解ppt.pptx
08-10
4. Burpsuite:多功能的工具,可以写 payload 上传,也可以爆破。 四、MySQL 数据库基础知识: 1. 启动 MySQL 服务器:使用 PHPStudy 启动 MySQL 服务器。 2. 进入 MySQL 交互操作界面:使用命令行方式运行 MySQL...
burpsuite小白教程。手把手教学 使用burpsuite拦截浏览器请求,修改请求参数,查看返回结果
06-09
总的来说,Burpsuite是Web安全领域的一款强大工具,通过学习这个教程,你可以掌握如何利用进行基本的网络请求拦截、修改和分析,从而提升你的安全测试技能。记住,实践是掌握任何工具的关键,所以不要害怕尝试和...
BurpSQLTruncSanner:SQL截断漏洞的凌乱BurpSuite插件
04-24
设置与Burp Suite的专业版一起使用时,可能与Community Edition一起使用。 在安装之前,请确保已加载并设置了JPython。 您可以通过更新第268行的有效负载设置参数来修改有效负载填充列表。 # Needed ...
如何在Linux上安装卸载BurpSuite并使用浏览器进行配置
05-17
burpsuite安装详细教程 在任何 Linux 系统上立即轻松地安装和卸载 Burp Suite。 Burp Suite 是最好、最受欢迎、世界上使用最广泛的渗透测试工具之一,也称为 Web 漏洞扫描程序,可帮助您查找 Web 应用程序上的漏洞。...
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
02-23
渗透工具.Burpsuite的使用[抓包改包丢包、重放爆破(多参数)]
burpsuite使用sqlmap插件进行SQL注入
W小哥
12-29 6249
一、burpsuite安装sqlmap插件 教程:https://blog.csdn.net/weixin_40412037/article/details/103648034 在方法二中有教程 二、burpsuite启动sqlmap插件 安装sqlmap插件后,会出现一个框,如下图所示 默认sqlmap是关闭的,得开启,开启的时候需要输入监听端口号与IP,IP:127.0.0.1,端口号,可以输入 python sqlmapapi.py查询,默认是8775 修改好端口号与IP后,点击Start AP
2-1 第一节 Burpsuite+Sqlmap测试SQL注入
山兔的博客
12-05 3153
环境搭建 我们需要有两点条件 1、计算机要具有python2.x 环境 因为我们的sqlmap是运行在python2.x环境上 2、系统具有sqlmap 下载链接:https://sqlmap.org/ 我们可以打开浏览器进行查看 通过这样的站点就可以下载sqlmap 当然我们也需要安装python环境,打开python的官方网站,https://www.python.org 之后Downloads,选择对应的版本 进行下载,这里我们就不进行下载了 因为我们之前已经下载过python了,我们可以打开
SQL注入测试
weixin_42048395的博客
03-15 808
1 黑盒测试 1.1 手工测试 Web应用的主要注入点有: ① POST请求体中的参数 ② GET请求头URL中的参数 ③ Cookie 1.1.1 内联注入 1、字符串内联注入 下面以绕过某系统登录页面为例,介绍字符串内联注入。 场景① 假设登录页面后台校验机制为:从数据库查询对应用户名和密码,存在返回值验证通过。这种情况在用户名输入框输入’ OR 1 = 1 OR ‘1’ = '1,密码为空,则猜测可构造如下SQL语句绕过后台校验登录系统: SELECT * FROM usertable WHERE
burpsuite安全练兵场-服务端1】SQL注入-17个实验(全)
热门推荐
12-27 1万+
【BP靶场-服务端-SQL注入】16个实验-万文详细步骤
burpsuite怎么用get和post方式进行http请求?单独get或post请求以及两种方式混合请求,超详细演示
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
01-28 1788
在burp中怎么进行http常用的两种请求方式?
SQL注入漏洞测试(布尔盲注)
qq_52718293的博客
11-30 5280
一.sqlmap 1.查看库名(测试后发现有5个) python sqlmap.py -u http://219.153.49.228:44485/new_list.php?id=1 --dbs 2.查看表明 python sqlmap.py -u http://219.153.49.228:44485/new_list.php?id=1 -D stormgroup --tables 3.查看字段名 python sqlmap.py -u http://219.153.49.228:44485/new_
burpsuite sql注入
06-07
Burp Suite是一款常用的渗透测试工具,其中包含了很多强大的功能,其中之一就是用于检测和利用SQL注入漏洞的工具。 下面是使用Burp Suite进行SQL注入的一般步骤: 1.使用Burp Suite代理拦截目标网站的请求。 2.在Burp Suite的Proxy中选择拦截到的请求,右键选择“Send to Repeater”。 3.在Repeater中进行注入测试,将参数值替换为常见的SQL注入语句,例如: ``` ' or 1=1 -- ``` 4.观察返回的响应,如果发现页面内容发生变化、报错或者延迟等异常情况,则说明存在SQL注入漏洞。 5.利用Burp Suite进行漏洞利用,例如利用Burp Suite的SQLmap插件进行自动化注入测试,或者手动构造SQL语句进行注入测试。 需要注意的是,在进行SQL注入测试时,一定要先获得网站管理员的授权,并且遵守相关的法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值