SQL注入: 安装Sqlmap DVWA设置安全级别为Low 使用Sqlmap进行SQL注入

最新推荐文章于 2023-08-15 14:00:00 发布
最新推荐文章于 2023-08-15 14:00:00 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: WEBSEC 安全
彭淦淦
本文链接:https://blog.csdn.net/weixin_45843450/article/details/106012004
版权
本文介绍了如何使用Sqlmap工具对DVWA进行SQL注入攻击。首先,在Windows环境下安装Python 2.7和Sqlmap。然后,将DVWA安全级别设为Low,选择SQL Injection模块。通过Burp Suite捕获注入请求,利用sqlmap进行注入,依次获取数据库版本、数据库名、表名、列名及数据,成功展示了Sqlmap的自动化渗透测试能力。
摘要由CSDN通过智能技术生成

1.2 步骤

实现此案例需要按照如下步骤进行。

步骤一:安装Sqlmap

Sqlmap是一个基于Python的开源的SQL注入渗透测试工具,其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞,目前支持Access、MSSQL、MySQL、Oracle、PostgreSQL等多种数据库类型。

首先在Windows系统中安装Python 2.7,安装Sqlmap只需要在https://github.com/sqlmapproject/sqlmap下载ZIP压缩包,直接解压即可。然后运行sqlmap.py,如图-1所示,说明运行正常。

图-1

步骤二:使用Sqlmap进行SQL注入

1)DVWA安全级别选择Low级别,点击“SQL Injection”,然后输入1(需要先开启Burp Suite),如图-2所示。

图-2

2)在Burp Suite的“Proxy”标签下的“Intercept”或“HTTP history”中获取注入请求,如图-3和图-4所示。

图-3

最低0.47元/天 解锁文章
彭淦淦
关注
专栏目录
sqlmap sql 注入测试工具
03-06
SQLMap是一款强大的、自动化SQL注入测试工具,专为检测和利用SQL注入漏洞而设计。它可以帮助安全专家或IT从业者在不熟悉目标系统的情况下,轻松发现并利用潜在的SQL注入漏洞,确保系统的安全性。 1. SQL注入简介:...
Kali渗透测试之DVWA系列7——SQL Injection(SQL注入
浅浅的博客
06-13 3835
目录 一、SQL注入 1、SQL注入漏洞原理 2、SQL注入类型 3、SQL注入过程 二、实验环境 三、实验步骤 安全级别LOW 安全等级:Medium 安全级别:High 安全级别:Impossible 一、SQL注入 1、SQL注入漏洞原理 把SQL命令插入到Web表单提交、或输入域名、或页面提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。 2、S...
SQL注入爆库渗透测试(初学者必看)
yi152787的博客
04-30 2025
爆库原理基本一致的,也许站点不同但只要存在sql注入则需要进行数据库爆破,步骤及使用的参数基本相同,对参数不够熟悉的网友可以去某百某博查看相关信息,本次实验结束,本文章仅提供参考,请勿在未授权的情况下进行测试。本次实验利用sqlmap爆破工具对SQL靶场进行渗透测试(数据库爆破),最终目标:拿到用户名和密码,实验中页面出现的用户名密码可忽略,真实实战中一般不会直接爆出用户名和密码的。5.在security爆出users,已确定目标所在,进行第三步爆破 所使用到的参数 -D -T --colimn;
DVWA--sql手工注入(初级)
firecjh的博客
06-09 150
判断注入点。 判断列数。 判断显错点。 获取数据库名。 获取表名。 获取列名。 获取数据。
DVWA教程(一) —— Low级别
weixin_47610939的博客
04-29 2039
本篇文章为各位正在学习DVWA提供解题思路,同时也是本人的学习笔记,本文中的方法仅为验证漏洞,并无攻击目的。DVWA安装,可以使用docker容器,非常简单方便,通过以下链接: Docker Hubhttps://hub.docker.com/r/sagikazarmark/dvwa 0x01. 暴力破解 0x02. 代码注入 先看题目,是一个ping命令 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get in...
Kali渗透测试之DVWA系列(三)——SQL Injection(SQL注入
weixin_45116657的博客
08-22 2334
目录: 一、SQL注入简介: SQL注入漏洞原理 SQL注入类型 SQL注入过程 二、实验环境 三、实验步骤 安全级别LOW 安全级别:Medium 安全级别:High 安全级别:Impossible 一、SQL注入简介 1、SQL注入漏洞原理: SQL注入漏洞原理:把SQL命令插入到Web表单提交,或输入域名,或网页提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。(即,将...
sql注入攻击之sqlmap
06-10
SQLMap是一款自动化工具,专为检测和利用SQL注入漏洞而设计,尤其适合信息安全初学者。 SQLMap的工作原理基于探测、枚举、数据提取和权限提升等步骤。首先,它会尝试探测目标站点是否存在SQL注入漏洞,这通常通过...
java开发基于SQLmapSQL注入工具源码.zip
06-01
安装JDK(需要有javafx) 安装Python 安装SQLmap基于SQLmapSQL注入工具源码.。基于SQLmap使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap基于SQLmapSQL注入工具源码.。基于SQLmap,...
使用sqlmap+burpsuite进行中级sql注入
06-01
在本例中,我们使用DVWA(Damn Vulnerable Web Application)作为靶场,其SQL Injection模块为我们提供了一个理想的注入点。访问DVWA并尝试提交可能导致SQL注入的参数,如`sql-injection`页面的`id`参数。 3. **...
sqlmap中文手册-sql注入自动化测试工具
07-19
在实际使用中,如果发现Web页面的参数(如GET、POST或Cookie)可能受到SQL注入的影响,SQLMap可以快速进行验证。例如,通过对URL中的参数进行测试,如`id=1 AND 1=1`和`id=1 AND 1=2`,如果两个请求返回不同的结果,...
sql注入实例--安全等级
12-26
使用WebGoat,根据提示信息 ,完成包括Injection Flaw大类下的String SQL注入,Numeric SQL注入,Log Spoofing,XPATH Injection等安全弱点的攻击测试。
DVWA全级别教程学习及备课笔记:XSS
lm19770429的专栏
03-08 380
最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/) DVWA 1.9的代码分为四种安全级别Low,Medium,High,Impossible。初学者可以通过比较四种级别的代码,接触到一些PHP代码审计的内容。 XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flas
OWASP——SQL注入(二)
cas的无名博客
03-03 3321
SQL注入(一)对数据库注入的详细内容介绍及相关学习测试之后,本篇博文将对medium级别以及high级别进行分享学习测试结果。
SQL注入部分:DVWA+SQLmap+Mysql注入实战
qq_51650968的博客
12-04 876
实验环境搭建。启动Metasploitable2虚拟机 首先在kali上扫描到metasploitable2的ip地址 nmap 192.168.75.0/24 找到靶机ip 在kali的firefox浏览器上搜索ip地址并打开DVWADVWA Security上修改安全等级为low 然后进行注入点发现 在SQL Injection上id搜索1 可以看见上方地址栏有显示id=1 再次输入1,报错,返回 You have an error in your SQL syntax; check th
【网络安全】使用meterpreter进行远控、Mysql注入、反弹型XSS攻防
KiriSoyer
11-08 457
在Win7-1(攻击机)的C:\wamp\www 目录下新建一个文件 xss_hacker.php。设置DVWA Security为“Low” 打开XSS(Reflected)输入。在Win7-2(受害主机)中打开DVWA主页 以管理员admin登陆系统。在Win7-1中使用普通用户登录 gordonb 密码 abc123。Win7-1(安装好WampServer)输入 单击submit。
渗透测试实验_在kali Linux 2021环境下使用sqlmapDVWA进行sql注入
weixin_47133613的博客
04-06 8361
文章目录1. sqlmap是什么2. 启动kali Linux ,进行sqlmap更新3. 启动phpStudy,启动火狐浏览器代理,运行BurpSuite4. 如果sqlmap出现404或者返回test的报错,可以尝试重置DVWA,重启phpStudy5. 选择安全等级“Low”,点击“SQL Injection”,通过报文中的url和cookie构造sqlmap命令获取信息5.1 获取数据库5.2 获取dvwa数据库中的表名5.3 获取dvwa库中users表中的列名5.4 获取dvwa库中users表
DVWAlow级别sql注入
weixin_30349597的博客
07-13 379
将Security level设为low,在左侧列表中选择“SQL Injection”,然后在右侧的“User ID”文本框中输入不同的数字就会显示相应的用户信息。 我们首先需要判断这里所传输的参数是文本型还是数字型,分别输入3和1+2,观察它们显示的结果并不一致,因而就判断出参数类型是文本型 接下来用sqlmap注入 ,比较简单,不过要抓包抓cookie,因为这个是登陆后的...
DVWA平台搭建+SQL注入实验详解
最新发布
Karka_的博客
08-15 5364
最终目的:得到爆破数据库,得到数据库中的用户名和密码,过程:1)查看页面的传递方式2)判断是否存在注入,注入类型是什么3)猜解SQL 查询语句中的字段数4)获取当前数据库名和基本信息5)获取数据库中的表名6)获取表中的字段名7)爆破关键字段的内容(用户名、密码)
dvwa无法修改更改等级 一直impossible 已解决
hello world
02-14 4580
问题 在DVWA Security中将等级修改成low,但是某个模块还是impossible 解决 假设同时在火狐和谷歌登录了admin账号。火狐运行正常,可是谷歌无法将某个模块修改成low。 解决方法就是:两个浏览器同时退出账号,并在谷歌上删除缓存,或者稍等片刻,打开无痕窗口并访问你的ip或域名/dvwa 这里不要加上/vulnerabilities/某个模块名/ 登录后再次设置安全等级成low即可。 参考:[求助]新人求助!!为什么我将DVWA的级别调为low了,但是在用burpsuit
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

彭淦淦

是你的双手成就了我的生活!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值