faka(利用sqlmap跑post注入)

最新推荐文章于 2025-03-12 19:22:13 发布
最新推荐文章于 2025-03-12 19:22:13 发布
阅读量672 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50644630/article/details/108688943
版权
本文详细介绍了如何使用sqlmap工具对faka界面进行POST注入攻击,包括抓包、保存数据包、运行sqlmap检查数据库、查找敏感信息,直至成功上传木马并利用蚁剑获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入faka界面

  • 用burpsuite抓包工具,抓取交互数据
    在这里插入图片描述

  • 将数据包保存到sqlmap的目录(或者绝对目录)
    在这里插入图片描述

利用sqlmap跑

  • 查看数据库

    sqlmap -r "b.txt" --dbs

    在这里插入图片描述

  • 查看数据库faka里的表

sqlmap -r "b.txt" -D faka --tables

在这里插入图片描述

  • 查看ayangw_config中的字段
sqlmap -r "b.txt" -D faka -T ayangw_config --columns

最低0.47元/天 解锁文章
利用sqlmap进行POST注入
ChuMeng1999的博客
01-19 1万+
目录预备知识了解SqlmapPOST注入形成的原因实验目的实验环境实验步骤一使用sqlmap进行POST注入实验步骤二 预备知识 了解Sqlmap sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。 POST注入形成的原因 POST注入也属于SQL注入,所以究其原因还是由于参数没有过滤导致的。源码如下
mysql post 注入工具_Sqlmap POST注入 三种方法(转载)
weixin_39778582的博客
01-19 1195
不管怎么说?使用工具Sqlmap POST注入都会简单很多,具体说说Sqlmap POST注入 三种方法吧!一、自动填写表单自动填写表单是Sqlmap工具POST注入的第一种方法,具体步骤如下:1、判断是否有post注入?root@Kali:~# sqlmap -u http://vip.fj0730.cn/login.asp --forms出来的提示,一路回车就可以了!结果如下图:从这里,可以得...
sqlmappost注入
weixin_30387339的博客
09-03 2177
bugku-成绩单 题目地址 手工注入: ①看到题目,分别提交1,2,3,出现不同的成绩单,可见参数我们是可以控制,通过POST的方式。 ②我们尝试输入1 and 1=1#和1 and 1=2#发现不报错,应该不是数字型注入。我们输入1',报错,这个数字(id)被'保护起来了。猜测SQL语句:~~~~where id ='$id';我们继续输入1' and 1=1#;和1' and 1=2#,发现...
Sqlmap基础使用
最新发布
dzqxwzoe的博客
03-12 622
SQLMAP 是一个用 python 编写的开源渗透测试工具,内置许多sql语句,用于检测和利用 SQL 注入缺陷。它适用于所有现代数据库,包括 mysql、postgresql、oracle、microsoft sql server 等sqlmap支持五种不同的注入模式。
CTF实战(faka注入
Marsper的博客
09-18 1494
CTF实战 SQL注入faka) 方法一:蚁键注入 首先获取实战链接 访问链接打开,并按上篇文章所学寻找相关post提交处,设法找到注入点,如图,得知付款处即为post提交处 打开burp实行抓包,检测注入点是否正确 将注入点链接抛入sqlmap中寻找准确注入点,找出数据库,爆出后台管理员密码 输入sqlmap.py -u “117.167.136.244:28088/ajax.php?act=selgo” --data “tyid=1” -D faka -T ayangw_config --dum
利用sqlmap进行post注入(实操)
peanut5036的博客
12-23 4152
SQL注入攻击指的是通过特殊的输入作为参数拆入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句中进而执行攻击者所要的操作,起主要原因是程序没有细致地过滤用户输入的数据,致使非法数据入侵系统。 任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中,POST传递的参数
sqlmap注入实战(三)
inslight的博客
09-19 635
一、寻找网站注入点 得到网站 通过burp,抓包,寻找post注入点 复制到sqlmap的根目录中,创建一个txt文件 输入命令sqlmap.py -r +文件名 由此可知,此为注入点 二、暴库 输入命令sqlmap.py -r +文件名 -dbs 输入命令sqlmap.py -r a.txt -D faka --tables获取表 输入命令sqlmap.py -r a.txt -D faka -T ayangw_config --columns获取字段名 输入命令sqlmap.py -r
入侵靶机之实战faka题目注入
weixin_50644728的博客
09-22 453
题目来源:rdctf:8000之faka 1.寻找网站注入点 刚拿到一个新网站,首先大概浏览网站页面内容,该网站比较简单,可点击的地方较少,在购买卡密的地方选择商品后。下面就自动弹出了价格和库存等信息,猜测这里应该跟数据库是有交互的。 2.利用burpsuite抓取数据包 找到了与数据库交互的地方之后,用burpsuite抓包获取网站和数据库之间交换的数据。首先要将burp的intercept处于off状态,回到网站将商品信息选择好后点击付款,但不进行支付。 然后将burp的intercept打开,在h
发卡靶机实战 sqlmap post型 实战及御剑
weixin_46601529的博客
09-17 397
寻找注入点 先利用sqlmap扫描网站 发现靶机网站没有用考虑post利用抓包工具burp suite在可能有注入点的地方进行抓包 1.和数据库交互的地方,需要传参的地方都可能是有注入点的地方 -将在有可能有注入点的地方抓到的包放在一个文档中 -将其放置sqlmap中运行 sqlmap.py -r 1.txt sqlmap.py -r 1.txt --dbs sqlmap.py -r 1.txt -D faka -T ayangw_config --dump -C-D faka -T ayan
渗透测试:详解sqlmap进行POST注入、基于insert的注入(以vulnhub靶机LampSecurity:CTF7为例)
Bossfrank的博客
06-22 5417
本文以vulnhub靶机LampSecurity:CTF7为例,详解了insert(非select)类型的SQL注入方法,包含对报错注入函数updatexml的使用。同时还详解了使用sqlmap进行POST类型注入的方法。
Kali下Sqlmap工具使用方法之POST方法篇
Liu_Bruce的博客
09-18 6146
大家好,上周讲解了SQL注入漏洞实验的GET方法测试过程。今天向大家继续讲解SQL注入漏洞的POST方法测试过程。工具是大家熟悉的SqlmapSqlmap是一款开源的SQL注入漏洞检测与利用神器,没有之一。测试平台是漏洞扫描工具AWVS的测试平台:http://testphp.vulnweb.com,kali系统,今天还用到抓包工具OWASP ZAP2.5.0。因为POST方法需要用抓包工具抓到post请求包,然后存成txt文件。 下面介绍一下操作步骤: ——————————————...
faka:个人发卡源码,发卡系统,二次元发卡系统,二次元发卡源码,发卡程序,动漫发卡,PHP发卡
03-11
快速体验 后台演示: //faka.demo.10.do/admin账号:admin密码:123456 前台演示: : 关于荔枝发卡系统 荔枝发卡系统乃博主历尽数天开发完成,原生php开发,数据库集成使用口才的Eloquent ORM组件,模板渲染使用Smarty3.1组件,会话保持使用session开发,欢迎各位欧尼酱使用以及转载。 云更新,为了去掉繁琐的后续版本更新又要下载又要升级数据库等等琐事,所以本程序实现了自动更新,一旦出现新版本,后台只需要单击按钮即可自动完成程序的所有无缝升级。 基础功能,卡密销售,后台添加商品,然后引入卡密,进行售卡。 批发优惠功能,商品中可开启批发优惠功能,以及编写优惠规则,客户一次性购买达到规定数量进行优惠。 支付对接,为了满足所有人的需求,让用户自己对接支付平台是不现实的,所以支付对接请提交作者,如果你想接收其他支付平台,则只需提交需求提交给作者
sqlmap post注入
zhaozhanyong的专栏
11-19 6096
0x00 常用的 注入点:http://tetasp.vulnweb.com/Login.asp 几种注入方式: sqlmap -r search-test.txt -p tfUPass 其中search-test.txt的内容为以下所抓的post包 0x01 常参数的 sqlmap -r search-test.txt -p tfUPss 0x02 常参数的 sql
利用sqlmap进行post注入学习笔记
weixin_52034407的博客
03-19 3161
使用sqlmap进行post注入学习笔记
sqlmap使用教程(包含POST注入方式)
weixin_73904941的博客
10-25 7790
检测注入点以及可注入类型 sqlmap -u "网址" --batch -–batch(不再询问,默认执行) 查看所有数据库 --dbs sqlmap -u "网址" --batch --dbs 查看当前使用的数据库 --current-db sqlmap -u "网址" --batch --current-db 查看表名 sqlmap -u "网址" -D security --tables --batch -D 指定数据库 --tables 列举所有表名 ....
sqlmap使用之-post注入、head注入(ua、cookie、referer)
weixin_51520483的博客
07-11 1385
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
sqlmap()----POST登陆框注入实战
热门推荐
fendo
02-28 8万+
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs 注:-r表示加载一个文件,
sqlmap执行POST注入的两种方式
总有人间一两风,填我十万八千梦
07-08 2万+
我们都知道在web中进行数据传参用的最多的就是GET型或者POST型方法,所以根据此我们也可以把注入分为GET型注入POST注入 GET型:http://192.168.80.146/2_Shotting_Range/sql/Less-1/?id=1 通过在可见的URL中进行传参 POST型:与数据库交互是通过post数据进行,url不可见 post注入例子 有两种方法,一种是-r的方式,另一种是--data 1. sqlmap -r 如下获取到post的数据,在我们可能认为存在注..
Sqlmap
m0_51227834的博客
01-03 125
sqlmap是一款开源、功能强大的自动化SQL注入工具,支持Access,MySQL,Oracle,SQL Server,DB2等多种数据库。支持get,post ,cookie注入,支持基于布尔的盲注,基于时间的盲注,错误回显注入,联合查询注入,堆查询注入等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值