本文详细介绍了如何在Kali Linux环境下使用SQLmap进行SQL注入攻击,包括配置参数、探测数据库信息、获取表名、猜解字段以及读取字段值的全过程。通过实践操作,演示了如何利用SQLmap对DVWA测试平台进行渗透测试。
1. 掌握Kali Linux中的Sqlmap各类功能及参数配置
- 使用Sqlmap对目标站点进行渗透攻击
任务二:使用Kali Linux环境中的Sqlmap实现对目标靶机网站的注入猜解 - 打开测试站点DVWA的主页面,并设置其安全级别为low
1. 单击左边的SQL Injection,在“User ID”文本框中随意输入一串数字,比如123,同时开启Burp Suite的数据包捕获功能
1. 在Kali Linux虚拟机的命令行状态下运行Sqlmap
-u后面的内容来自上图数据包中Referer后面的内容,cookie来自上图cookie后的内容。执行该语句,得到网站数据库的名称。
1. 在上述命令的基础上,后面加上–tables来探测改数据库中的表。
1. 针对其中的一个表users,猜测其中的字段。
1. 对users表中所有字段的值进行探测。
利用上述结果,登录DVWA网站主页进行验证,比如用户名为admin,密码为password
扫一扫
4650
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
