使用burpsuite抓包 + sql工具注入 dvwa初级靶场

原创 已于 2023-02-14 20:39:31 修改 · 3.4k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #数据库 #系统安全

于 2023-02-13 17:23:11 首次发布
本文介绍了如何使用BurpSuite进行网络抓包,并配合火狐浏览器设置代理,以192.168.92.1/dvwa-master访问靶场。接着,通过BurpSuite保存注入点的包,并用SQLMap工具查询DVWA靶场的数据库名、数据表和数据列,最终读取用户和密码信息。过程中提到了解决浏览器显示问题和SQLMap更新问题的方法。

使用burpsuite抓包 + sql工具注入 dvwa靶场

记录一下自己重新开始学习web安全之路②。

一、准备工作

1.工具准备 sqlmap + burpsuite

2.浏览器准备 火狐浏览器 + 设置代理。

首先,先设置一下火狐浏览器的代理

1

http代理地址为127.0.0.0.1 ,端口为8080

3.burpsuite 准备 将burpsuite的抓包功能打开。

注:burpsuite 不抓127.0.0.1 /dvwa-master的包,所以需要用本地网卡 ip/dvwa-master 访问

怎么查到本地网卡ip?

在cmd中输入ipconfig

2

得到本地网卡ip 192.168.92.1

如果是无线网,那么找无线网适配器的IPV4地址

3

通过本地网卡ip进入dvwa,把安全等级改为low等级,,设置代

最低0.47元/天 解锁文章
使用sqlmap+burpsuite进行中级sql注入
shatianyzg的博客
06-01 441
使用sqlmap+burpsuite进行中级sql注入
用Burp对DVWA重放爆破攻击
balusi的博客
05-26 1108
利用BurpsuiteDVWA网站HTTP登录凭证进行暴力破解,获得用户名和密码
Kali渗透测试之DVWA系列(四)——使用Burp Suite进行SQL Injection(Blind)(SQL盲注,包括盲注脚本)
weixin_45116657的博客
08-25 6424
目录: 一、SQL盲注 SQL盲注与SQL注入的区别; SQL盲注的过程; 二、实验环境 三、实验过程 基于布尔值的盲注; 基于时间的盲注; 一、SQL盲注简介 1、SQL盲注: 盲注:SQL Injection(Blind),即SQL盲注,目标只会回复是或不是,没有详细内容; 注入:可以查看详细的内容 2、手工盲注思路: 手工盲注的过程,就像你和机器人聊天一样,这个机器人知道的...
5步掌握HttpCanary:Android网络抓包注入实战指南
最新发布
gitblog_01200的博客
11-24 960
HttpCanary是一款专为Android平台设计的强大网络抓包注入工具,支持HTTP、HTTP2、HTTPS和WebSocket等多种协议。无论你是开发调试、安全测试还是网络分析,这款工具都能为你提供专业的网络数据监控能力。 ## 🔍 问题一:如何在Android 7.0+系统抓取HTTPS数据包? **问题背景**:从Android 7.0开始,系统默认不信任用户安装的CA证书,导致
使用Burp爬取网站页面
WeiMengPing_的博客
06-27 1065
Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。Burp Suite可执行程序是Java文件类型的jar文件,免费版可以从官网下载。
开源利器之MySQL抓包工具:MySQL Sniffer
weixin_37098404的博客
03-02 402
这是一个什么样的开源项目? MySQL Sniffer 是一个基于 MySQL 协议的抓包工具,实时抓取 MySQLServer 端的请求,并格式化输出。输出内容包访...
mysql抓包_MySQL抓包工具:MySQL Sniffer【转】
weixin_30155853的博客
01-19 323
简介MySQL Sniffer 是一个基于 MySQL 协议的抓包工具,实时抓取 MySQLServer 端的请求,并格式化输出。输出内容包访问括时间、访问用户、来源 IP、访问 Database、命令耗时、返回数据行数、执行语句等。有批量抓取多个端口,后台运行,日志分割等多种使用方式,操作便捷,输出友好。同时也适用抓取 Atlas 端的请求,Atlas 是奇虎开源的一款基于MySQL协议的数据中...
MySQL抓包工具:MySQL Sniffer【转】
weixin_34405557的博客
03-03 289
本文来自:https://github.com/Qihoo360/mysql-sniffer 简介       MySQL Sniffer 是一个基于 MySQL 协议的抓包工具,实时抓取 MySQLServer 端的请求,并格式化输出。输出内容包访问括时间、访问用户、来源 IP、访问 Database、命令耗时、返回数据行数、执行语句等。有批量抓取多个端口,后台运行,日志分割等多种使用方式,...
burpsuite安全练兵场-服务端1】SQL注入-17个实验(全)
12-27 1万+
【BP靶场-服务端-SQL注入】16个实验-万文详细步骤
Burpsuite + DVWA 入门实战
热门推荐
LYSM
04-10 1万+
Burpsuite 版本:2.0 浏览器:火狐 不再介绍怎么安装和激活 。 1.firefox代理设置 2.firefox的证书设置 url栏输入 http://burp,点击 CA Certificate 下载证书(放桌面就行) 导入证书 3.burpsuite的设置 然后就可以抓包了 注意抓包的时候浏览器打不开网页属于正常现象,如果需要继续浏览,点击“intercept is on”按钮即可...
mysql连接池360_360 MySQL 协议的抓包工具
weixin_39535125的博客
01-20 175
MySQL Sniffer 是一个基于 MySQL 协议的抓包工具,实时抓取 MySQLServer 端或 Client 端请求,并格式化输出。输出内容包括访问时间、访问用户、来源 IP、访问 Database、命令耗时、返回数据行数、执行语句等。有批量抓取多个端口,后台运行,日志分割等多种使用方式,操作便捷,输出友好。特别注意,请先安装依赖: glib2-devel(2.28.8)、libpca...
burpsuitedvwa结合实现抓包和密码爆破
lingdukafeibj的博客
08-02 5556
首先时burpsuite的安装和代理设置,dvwa的平台搭建。(以下内容是本人学习的记录) burpsuite 简介 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。 安装配置 java环境 因为burpsuite是在JAVA环境下运行的,所以首先应该配置好JAVA环境; 安装jdk-8u201-windows-
非常好用的SQL Server 抓取SQL语句工具HOOK
03-23
非常好用的SQL Server 抓取SQL语句工具HOOK 非常好用的SQL Server 抓取SQL语句工具HOOK 非常好用的SQL Server 抓取SQL语句工具HOOK 非常好用的SQL Server 抓取SQL语句工具HOOK
DVWA靶场下的sql注入之文件读写
waxcj的博客
05-09 1450
DVWA的安装配置在我上一篇文章上写过了,不知道的可以去看看,这里直接讲sql注入如何获得文件读写权限 sql注入读写的根本条件 1:数据库用户得是高权限用户(root) 2:数据库下的secure_file_priv不是null(如果是也可以通过其他方法读取和写入,后文会讲,可以在MySQL命令行中用这条语句查看secure_file_priv是否为null SHOW VARIABLES LIKE "secure_file_priv"; 如果为null,我们可以在D:/phpstudy/.
DVWA系列(二)——使用BurpSuite进行Command injection(命令行注入
weixin_45116657的博客
08-21 1116
Command Injection(命令行注入)简介: 1、命令执行概念: 命令执行漏洞是指可以随意执行系统命令,属于高危漏洞之一,也属于代码执行范围;PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一。也就好比一句话<?php @eval($_POST[cmd]);?> ...
DVWA--SQL注入
xiaoxiao的博客
01-07 3567
SQL注入原理 就是通过sql命令插入到web表单递交或输入域名页面请求的查询字符串,最终达到欺骗服务器执行恶意的SDL命令。具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在WEB表单中输入恶意SQL语句得到包含漏洞的网站数据库,而不是按照设计者意图去执行。 SQL注入类型 按照数据提交的方式: GET注入、POST注入、COOKIE注入、HTTP头部...
burpsuitesqlmap联动(sqlipy配置)
Welcome To My6n Blog
12-21 2347
下载好之后将这个jar文件放到某个位置(我是直接拉到了burpsuite位置),然后导入该路径。解压sqlmap的压缩包后里面有一个sqlmapapi.py的文件。第二个路径为你自己Python环境的路径,需要写到lib文件夹。关于配置burpsuitesqlmap联动的介绍至此结束。找到 sqlipy sqlmap integration。下载好后解压,里面还有一个sqlmap的压缩包,一并解压。在burpsuitesqlipy框进行配置。安装成功后会多出一个sqlipy的框。
DVWA系列(二)——使用Burpsuite进行Command Injection(命令行注入
橘子女侠
04-29 3298
1. Command Injection简介 (1)命令执行概念 命令执行漏洞是指可以随意执行系统命令,属于高危漏洞之一,也属于代码执行范围内;PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一;就好比说一句话木马<?php @eval($_POST['cmd']);?> (2)分类 代码过滤不严或无过滤; 系统漏洞造成的命令执行,bash破壳漏洞,该漏洞可以构...
mysql抓包sql_使用mysqlsniffer捕获SQL语句
weixin_28999575的博客
02-08 582
MySQL5.1之前general log不能在运行时启用或禁用,有时想捕捉SQL来查找问题就很麻烦,偶然间发现一个很不错的小工具:mysqlsniffer,可以用来捕捉SQL语句,使用帮助如下:mysqlsniffer --helpmysqlsniffer v1.2 - Watch MySQL traffic on a TCP/IP networkUsage: mysqlsniffer [OPT...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值