一起学安全测试——用sqlmap对dvwa实现SQL注入测试

最新推荐文章于 2025-07-08 00:14:24 发布
原创 最新推荐文章于 2025-07-08 00:14:24 发布 · 1.9w 阅读 · 50 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#测试 #sql注入 #安全

本文介绍如何利用sqlmap工具对DVWA进行SQL注入测试。通过设置dvwa为低安全级别,捕获GET请求,携带cookie运行sqlmap,逐步执行获取数据库、表及列的操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

sqlmap是一款进行SQL注入的工具,非常简单好用。我们在dvwa上试着用sqlmap实现注入,拿到数据库的信息。

  1. 搭建dvwa环境并启动。
  2. windows上需要搭建Python环境,下载sqlmap包并解压。kali linux自带(之后演示在kali上)。
  3. 设置dvwa级别为low(medium,high都可以,不要设成impossible就行)
  4. 打开dvwa的SQL Injection,打开浏览器调试,输入user id并submit,查看拦截到的请求。
  5. 可以看到是一条GET请求,url是“http://192.168.7.28/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#”,cookie里有”security=low; PHPSESSID=0nm9krnrptlt5v6ahockigke62”
  6. 我们先只用url试试
sqlmap -u "http://192.168.7.28/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#"

最低0.47元/天 解锁文章

200万优质内容无限畅学
SQLmap注入练习——dvwa
怪味巧克力的博客
04-14 1824
SQLmap注入练习——dvwa 记录一下自己习的知识点 最近自己一直在习使用kali,今天我就用kali中的sqlmap演示一下sql注入 我就从dvwa的low级别开始演示,其实同样的操作在medium和high级别也同样能够实现注入 GET提交参数 通过表单或者F12 观察网络模块,我们可以发现dvwa的low级别是GET提交参数,当然也可以通过burpsuite截断来观察。 提取co...
sqlmapdvwa进行sql注入
weixin_52971422的博客
04-01 4893
渗透环境:dvwa 攻击机:kali 注入测试 在kali使用sqlmap,添加cooki来注入 sqlmap -u "http://192.168.17.152/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#" --cookie="security=low; PHPSESSID=24d706127dc1260818eadf1641c43547" --dbs 成功 继续查询数据库的表 sqlmap -u "http://1
DVWA——SQL注入——sqlmap实现
weixin_46709219的博客
11-14 1589
网络安全-sqlmap习笔记 sqlmap上面的总连接
sqlmapDVWA 进行自动化 SQL 注入测试
最新发布
weixin_43435891的博客
07-08 726
SQLMap是一款功能强大的开源SQL注入工具,能够自动检测和利用SQL注入漏洞。它支持多种数据库(MySQL、Oracle等),可自动识别注入点(GET/POST/Cookie等),并能枚举数据库信息、提取数据甚至执行系统命令。常用命令包括基本检测、查看数据库/表/字段、数据导出等,支持代理/WAF绕过。但需注意:未经授权测试违法,可能造成服务崩溃,且遇到强WAF时需配合其他工具。建议仅用于授权测试或靶场练习。
【渗透测试】|sqlmap工具注入-基于dvwasql injection
yangdan_jiayou的博客
03-27 1423
这个检测结果表明系统对联合查询的处理方式存在漏洞,可以通过联合查询来获取额外的信息或执行其他操作。这个检测结果表明系统对错误消息的处理方式存在漏洞,可以通过错误消息来推断数据库的结构或内容,从而进行注入攻击。这个payload试图通过在查询中嵌入一个时间延迟函数来验证注入点的存在,如果系统在执行这个查询时发生了延迟,那么说明注入点存在,攻击者可以进一步利用这个注入点执行其他操作。这个payload尝试通过在查询中嵌入一个错误,然后通过错误消息中的内容来获取敏感信息或执行其他恶意操作。
Sqlmap
mumuzi2的博客
02-25 432
下载地址: http://sqlmap.org/ 需要环境: python 使用方法:
DVWASQL注入漏洞与SQLmap
leaf_lucky的博客
01-24 1015
对于以上两个语句,1=1会正常输出,而1=2 错误输出,可以说明SQL语句生效,SQL语句存在漏洞。用户输入SQL语句,执行了MySQL内置函数user(),database()而对于以下语句,可以发现没有语句,SQL语句变化,1!= 2,不能得到输出。输入上面的语句有正常输出,对于“#”的作用是注释后续SQL语句。点击第一个,找到cookie,复制下来,即是以下语句。上面语句为原本的SQL语句,下面语句为过滤后的语句。对于上面三句语句,依次进行判断,可以得到。输入1' order by 1#得到。
信安实验三—— XSS 和 SQL 注入
Visual_LXY的博客
12-03 1053
文章目录一,基本概念(一)XSS/CSS1.什么是XSS2.什么是XSS攻击3.什么是Cookie4.XSS漏洞分类5.XSS防御(二)SQL注入攻击1.什么是SQL注入攻击2.为何会有SQL注入攻击3.何时使用SQL注入攻击4.MySQL简介二,XSS/CSS三,SQL注入攻击四,实验小结 一,基本概念 (一)XSS/CSS 1.什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代
2019-2-17 dvwa习-环境搭建和sql字符型注入(级别low)
weixin_42555985的博客
02-17 7548
因为要sqlmap,所以需要搭一个测试环境。 查了网上http://www.360doc.com/content/13/0614/22/11029609_292922372.shtml,打算搞个dvwa环境。 DVWA全称是Damn Vulnerable Web Application,它是用PHP+Mysql编写的一套用于常规WEB漏洞教和检测的WEB脆弱性测试程序。包含了SQL注入、XS...
Web安全攻防 渗透测试实战指南3
jxy191021的博客
04-05 6612
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程序中会有5个选项,如下
Kali linux 习笔记(四十九)Web渗透——sql注入 2020.3.26
闵行小鱼塘
03-26 883
sql注入
SqlMap-Sql注入
08-02
Sqlmap是开源的自动化SQL注入工具,由Python写成,具有如下特点: 完全支持MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDB、HSQLDB和Informix等多种数据库管理系统。 完全支持布尔型盲注、时间型盲注、基于错误信息的注入、联合查询注入和堆查询注入。 在数据库证书、IP地址、端口和数据库名等条件允许的情况下支持不通过SQL注入点而直接连接数据库。 支持枚举用户、密码、哈希、权限、角色、数据库、数据表和列。 支持自动识别密码哈希格式并通过字典破解密码哈希。 支持完全地下载某个数据库中的某个表,也可以只下载某个表中的某几列,甚至只下载某一列中的部分数据,这完全取决于用户的选择。 支持在数据库管理系统中搜索指定的数据库名、表名或列名 当数据库管理系统是MySQL、PostgreSQL或Microsoft SQL Server时支持下载或上传文件。 当数据库管理系统是MySQL、PostgreSQL或Microsoft SQL Server时支持执行任意命令并回现标准输出。
sqlmapSQL注入工具)
10-07
一个常用的SQL注入工具,用来实施SQL注入,蛮好用的。
DVWA-SQL注入sqlmap安装和使用)
m0_64037702的博客
07-12 1226
链接:https://pan.baidu.com/s/1-kQgGgzwAJlIbA6hPbvv9Q 提取码:8eqw 双击安装包进行安装 新建一个文件夹选择安装至这个文件夹 我的电脑找到 属性 点击高级系统设置 出现 “系统属性" , 点击环境变量 出现“环境变量” 在下面的“系统变量”里面找到 Path 变量点击编辑(没有找到的话点击新建) 在变量值那里末尾,填上你的Python安装路径 在path中添加自己python的安装路径就行了 Win+R打开cmd输入python出现这个页面表示安装成功
sqlmap dvwa SQL Injection使用小记
无心插柳
10-29 9602
sqlmap初步使用,测试环境为dvwa
使用sqlmap完成sql注入DVWA
dongf2019的博客
12-12 1553
------------------------------------------------------------------------------------------------------运行结果。4、在kali中启动firefox浏览器,设置代理为127.0.0.1,端口为8080,访问dvwasql injection页面,输入1,submit。显示出users表格所以数据,其中用户密码已经从MD5还原为明文。2、启动dvwa,启动后地址为192.168.88.128。
SQLMap 注入 DVWA实战
Cobra的博客
12-16 3660
一、low级别 1、进入dvwa界面输入1,点击Submit,得到链接 http://localhost/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit# 2、我们用sqlmap进行爆破 sqlmap.py -u "http://localhost/dvwa-master/vulnerabilities/sqli/?id=1&Submit=Submit#" 我们可以看到需要跳转到login的页面,所以,认为这里.
sqlmap进行SQL注入
weixin_45095113的博客
03-16 711
sqlmapSQL注入
sqlmapdvwa低级sql注入
06-21
### 使用sqlmapDVWA低级SQL注入进行渗透测试 在使用sqlmapDVWA的低级SQL注入(Low Level SQL Injection)进行渗透测试时,需要确保正确配置目标URL和相关的Cookies。以下是详细的说明与操作步骤: #### 1. ...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值