1.2 步骤
实现此案例需要按照如下步骤进行。
步骤一:安装Sqlmap
Sqlmap是一个基于Python的开源的SQL注入渗透测试工具,其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞,目前支持Access、MSSQL、MySQL、Oracle、PostgreSQL等多种数据库类型。
首先在Windows系统中安装Python 2.7,安装Sqlmap只需要在https://github.com/sqlmapproject/sqlmap下载ZIP压缩包,直接解压即可。然后运行sqlmap.py,如图-1所示,说明运行正常。
图-1
步骤二:使用Sqlmap进行SQL注入
1)DVWA安全级别选择Low级别,点击“SQL Injection”,然后输入1(需要先开启Burp Suite),如图-2所示。
图-2
2)在Burp Suite的“Proxy”标签下的“Intercept”或“HTTP history”中获取注入请求,如图-3和图-4所示。
图-3