bugku 神奇的登陆框 (kali sqlmap+burpsuite)

最新推荐文章于 2024-07-01 21:26:43 发布
最新推荐文章于 2024-07-01 21:26:43 发布
阅读量315 收藏 3
点赞数
分类专栏: bugku
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348894/article/details/103072614
版权
本文介绍了如何利用sqlmap和burpsuite对一个名为'神奇的登陆框'的bugku平台进行SQL注入攻击。首先通过burpsuite抓包获取POST请求,然后使用sqlmap进行数据库名、表名、列名的爆破,并最终查看到特定列的内容。
摘要由CSDN通过智能技术生成

例题:bugku 神奇的登陆框:http://123.206.87.240:9001/sql/
(想到这个题之前也有一题也是sql注入,题目:成绩单:http://123.206.87.240:8002/chengjidan/

F12查看网页代码:
在这里插入图片描述
由图中可见,提交方式是POST,随意在输入框输入用户名和密码,拿去burpsuite抓包:
在这里插入图片描述
抓包结果如下:
在这里插入图片描述
就把burpsuite结果另存为txt文件:
在这里插入图片描述

最低0.47元/天 解锁文章
kali linux中使用SQLMap完成一次对不安全web网站数据库的扫描
xiaojiakun的博客
12-10 1433
SQLMap扫描不安全web网站的流程 首先收集到目标的网址 此处我不做展示 打开linux 上的终端输入 sqlmap -u "url" 对目标网址进行扫描 发现目标存在漏洞(其id是可注入的) 接着我们输入sqlmap -u "url" --dbs 来查询目标的数据库 我查询到了三个 接着我们来看一些我们所浏览的页面(url)在哪个数据库中 输入sqlmap -u "url" ...
burp 配置sqlmap插件
东方欲晓的晓东的博客
12-05 1126
首先,要有python2环境, 不会安装的去https://blog.csdn.net/u013175604/article/details/84838488 然后下载sqlmap.jar,链接:http://pan.baidu.com/s/1skDVwq5 密码:ce5f,(链接来源:https://blog.csdn.net/m0_37268841/article/details/798757...
2021Kali系列 -- BurpSuite(sqlmap插件)
weixin_41489908的博客
04-08 1366
再等几年我们就在一起上下班,逛超市,做饭,窝在沙发上看电影,在我们自己家里,等我再努力一下。。。 ---- 网易云热评 一、启动BurpSuite,选择Extender--》BAppStore--》SQLiPysqlmapintegration 二、安装Jython 1、点击Downloadjython,选择JythonInstaller,下载 2、安装 java -jar jython-installer-2.7.2\ .jar 一路下一步 3、配置J...
burpsuite 集成 sqlmap 插件
4410的博客
04-25 483
burpsuite 集成 sqlmap 插件 https://blog.csdn.net/fageweiketang/article/details/81951670
SQLMap工具与Burpsuite信息联动
fzy2003的博客
07-03 2088
通过本次实验,成功实现了SQLMap调用burpsuit代理抓包信息进行SQL注入,掌握如何高效利用其它工具信息来进行SQL注入。
使用sqlmap+burpsuite进行中级sql注入
06-01
本篇将详细介绍如何结合sqlmapBurpSuite工具进行中级SQL注入的实战操作。 首先,我们需要了解sqlmapBurpSuite的基本功能。sqlmap是一款自动化SQL注入工具,它能自动检测和利用SQL注入漏洞,获取数据库信息。...
sqlmap批量扫描burpsuite请求日志记录
dieman0446的博客
06-23 982
sqlmap可以批量扫描包含有request的日志文件,而request日志文件可以通过burpsuite来获取, 因此通过sqlmap结合burpsuite工具,可以更加高效的对应用程序是否存在SQL注入漏洞进行地毯式的扫描扫描方式通常有windows扫描与linux扫描两种。 一、Windows下扫描配置 1.配置burpsuite下记录所有的request记录,并...
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4293
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入模
kali系统安装专业版burpsuite_kali安装burpsuite专业版
2401_84138890的博客
04-07 1571
(执行时会报错,原因是因为ssh默认进入的是zsh状态,解决方法:1. exec bash 将命令行从zsh切换为bash3. exec zsh 重新运行zsh命令行工具)安装复制代码(ps:尽量复制,不能复制的情况下一定要检查自己输入的是否正确,本人因为少输入了一个c,导致后面jdk不能使用,欲哭无泪啊,排查了好久才找到这个原因,晕~~~)命令行输入:复制代码然后看看java版本对不对。
BugKu--------POST,题目作者: harry
最新发布
m0_73496792的博客
07-01 936
帮助小伙伴们完成CTF入门的小题目
bugku CTF】POST、头等舱、网站被黑、alert、你必须让他停下、本地管理员、bp
m0_63563528的博客
02-01 1627
burpsuite抓包、爆破等模块的使用,hackbar的使用
BugKu——成绩单
D-R0s1的博客
10-08 914
  sql注入在CTF类竞赛中占着很大的比重,在做BugKu的题目的过程中恰好遇到了一个没有任何过滤,直接注入的题目,因为没有过滤,只是单纯的考察sql注入,所以步骤比较固定,语句也比较简单 1.首先,爆列数 1’ order by 4# 1’ order by 5#按照提示分别输入1,2,3都有回显,然后遍历一遍-1’ union select 1,2,3,4# 目录四个表都有回显 2.暴库...
使用Burp, Sqlmap进行自动化SQL注入渗透测试
thj_blog
11-04 2921
在OWSAP Top10中,注入型漏洞是排在第一位的,而在注入型漏洞中,SQL注入是远比命令行注入、Xpath注入、Ldap注入更常见。这就是本章要讲述的主要内容:在web应用程序的渗透测试中,如何使用Burp和Sqlmap的组合来进行SQL注入漏洞的测试。在讲述本章内容之前,默认为读者熟悉SQL的原理和SqlMap的基本使用,如果有不明白的同学,请先阅读《SQL注入攻击与防御》一书和SqlMap...
sqlmap之(六)----POST登陆注入实战
热门推荐
fendo
02-28 8万+
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs 注:-r表示加载一个文件,
Bugku——成绩单(web)
csu_vc的博客
10-27 2375
可以大概判断出有四个字段 直接上payload-1' union select 1,2,3,database()# -1' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()#-1' union select 1,2,3,group_conc
通过BurpSuitesqlmap配合对dvwa进行sql注入测试和用户名密码暴力破解
weixin_30660027的博客
05-10 327
0x1:工具和环境介绍 dvwa:渗透测试环境 BurpSuite:强大的WEB安全测试工具 sqlmap:强大的sql注入工具 以上工具和环境都在kali linux上安装和配置。 0x2:步骤说明 配置Burp Suite和浏览器。   这一步比较简单,主要是用来抓取用来sql注入的信息。   在Burp中设置proxy代理:127.0.0.1:8080,配置浏览器使用...
bugku---这是一个神奇登陆 (burp配合sqlmap实例)
LuckySec
11-29 565
题目 http://123.206.87.240:9001/sql/ 随便输入账号密码,然后打开burp进行拦截,并生成该页面的文件,保存到本地 然后使用sqlmap工具 构造相应语句 首先爆数据库 python E:\Python27\sqlmap\sqlmapproject-sqlmap-6d48df2\sqlmap.py -r"D:\test.txt" admin_name --dbs ...
bugku成绩单
qq_51283187的博客
08-13 206
bugku成绩单 今天重温经典做了一遍这个题 哎,SQL注入好多细节都忘了该补补课了。 1 sql注入的时候order by 一定要看好10000000是不是也可以 刚刚做题的时候1" order by 10000000000# 这样都行,就很离谱,起不到想知道有多少列的效果了 2 这个时候我们再换用 1’ order by 4 # ok 1’ order by 5 # error 这样就知道只有’在这里才生效 3 对了还要注意前一个为-1,留出位置。好久不复习了,都要忘了 4 并且还要注意噢, -1 un
Kali Linux网络渗透测试食谱指南
3. Web应用程序渗透测试:教授读者如何使用工具如SQLmap、Burp Suite和OWASP ZAP来测试Web应用程序的安全性,包括SQL注入、跨站脚本攻击(XSS)等常见的Web攻击手段。 4. 渗透测试流程:详细阐述渗透测试的整个过程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值